1. Специфика защиты информации в виртуальных инфраструктурах ИНФОФОРУМ-ЕВРАЗИЯ Лысенко Александр МОСКВА 9 июня 2011 Код Безопасности

2. Содержание новые элементы архитектуры и связанные с ними угрозы невозможность использования традиционных СЗИ Проблема суперпользователя соответствие требованиям стандартов безопасности и автоматизация vGate 2 2

3. Изменение архитектуры 3

4. Безопасность гипервизора Пока не обнародовано ни одного случая взлома гипервизоров или нарушения изоляции ВМ Возможности Blue Pill & Red Pill пока не доказывают наличие угрозы для гипервизоров Можно получить доступ к гипервизору через средства управления

5. Гипервизор и спящие (выключенные) ВМ 5 Гипервизор может читать и изменять данные ВМ, когда они не работают У проснувшейся ВМ устареют настройки безопасности

6. Безопасность ВИ 6 Blue Pill – зловредный гипервизор, незаметно превращающий ОС в ВМ и перехватывающий ее трафик Red Pill – способ обнаружения присутствия на физическом хосте работающей виртуальной машины

7. Виртуализация и риски ИБ 7 Специалисты ИБ часто не участвует в проекте по виртуализации Взлом слоя виртуализации может привести к взлому всех ВМ Виртуальные ВМ-ВМ сети плохо контролируемы ВМ с разным уровнем ИБ размещены на одном физическом хосте Отсутствие контроля за действиями администратораПотеря разделения ответственности за сеть и ИБ Источник: Gartner, 2010

8. Виртуализация меняет свойства сетей Стандартные МЭ становятся не везде применимы Угроза DoS атаки: ВМ может занять весь трафик Мониторинг и ограничение ресурсов

9. Сетевой трафик для vMotion 9 Синхронизация памяти по Сети ХД без шифрования Должна использоваться защищенная сеть, но: Любой ввод/вывод (LAN,RAM, HDD) чувствителен к угрозам типа Man in The Middle

10. ИБ ВМ 10 Виртуальные машины подвержены тем же угрозам, что и реальные компьютеры

11. Потеря данных через администратора – самый дорогой тип инцидента в ИБ В виртуальной среде нет проактивных средств контроля действий администратора Зловредное ПО с правами администратора может получить контроль над ВМ в обход гипервизора 11 The Value Of Corporate Secrets How Compliance And Collaboration Affect Enterprise Perceptions Of Risk March 2010, Forrester

12. ОС в консоли управления 12 По слухам для vSphere 5 будет упразднена Для VI 3 и vSphere 4 (Linux based) Подвержена обычным угрозам для ОС Используйте рекомендации «VMware Security Hardening Guide»

13. 1. Разделение полномочий 13 Разделить полномочия и ответственность администраторов ВИ и ИБ, один назначает права, второй пользуется (зачастую невозможно при помощи встроенных средств)

14. 2. Специальные инструменты защиты 14 Средства ИБ в составе платформы виртуализации Защита от внешних угроз: сетевых атак, вредоносного ПО, уязвимостей Защита среды гипервизора от НСД, контроль ролей и настроек Контроль ИБ трафика Контроль настроек ИБ, целостности и прав доступа Firewall, зоны безопасности балансировка нагрузки, API

15. Традиционные средства защиты в виртуальной среде могут быть не эффективны Firewall, VPN Антивирусы DLP IDS/IPS Криптосредства Аппаратные МЭ Аппаратные СДЗ Другие средства М.б. неприменимы или снижать производительность среды

16. Облака. Консолидация = централизация рисков «В облачной среде наименьший общий знаменатель безопасности будет разделен со всеми арендаторами виртуального ЦОД.» http://www.cloudsecurityalliance.org/csaguide.pdf 16

17. Облака строятся при помощи ВИ Практически все угрозы справедливые для ВИ работают и в облаке, только становятся более острыми 17

18. 3. Следования стандартам и общим практикам, а также регулирующему законодательству PCI DSS (при потере данных штрафы до $500000)PCI DSS CIS VMware ESX Server Benchmarks (снижает риски потери данных)CIS VMware ESX Server Benchmarks VMware Security Hardening Best Practices (снижает риски потери данных)VMware Security Hardening Best Practices 152ФЗ (при нарушении санкции вплоть до приостановки деятельности)152ФЗ ЦБ РФ: СТО БР ИББССТО БР ИББС 18

19. Лучшие практики ИБ для виртуальных сред В каждом документе более 100 страниц настроек параметров безопасности 19

20. Как использовать лучшие практики ИБ? 20 Ручная настройка и поддержка или Автоматизация и контроль настроек, например с vGate (поставляется с шаблонами настройки для соответствия лучшим практикам ИБ, а также стандартам как мировым так и российским)

21. vGate 2 for VM ware infrastructure 21

22. Security Code vGate for VMware Infrastructure 22 Повышает безопасность виртуальной инфраструктуры VMware VI 3 и VMware vSphere 4 Позволяет снизить риски ИБ для VMware и облегчить использование лучших практик Сертификаты ФСТЭК для использования среды VMware в ИСПДн до К1 (СВТ 5 + НДВ 4)

23. Security Code vGate for VMware Infrastructure: основные функции: 23 Усиленная аутентификация администраторов ВИ и ИБРазделение ролей администратора ВИ и ИБ Разграничение прав администрирования объектов ВИ (мандатный доступ) Защита средств управления виртуальной инфраструктурой от несанкционированного доступа

24. Security Code vGate for VMware Infrastructure: основные функции (2): 24 Контроль целостности конфигурации виртуальных машин и доверенная загрузка Политики безопасности, автоматизация применения и контроль соответствия Регистрация событий ИБЦентрализованное управление и мониторинг

25. 25 В vGate входят: Сервер авторизации Модули защиты ESX Рабочее место администратора Консоль управления Архитектура

26. 26 Право на использование Сервера авторизации vGate Право на использование vGate для защиты ESX- серверов Модель лицензирования шт. сокеты

27. СПАСИБО ЗА ВНИМАНИЕ! ВОПРОСЫ?