Как защитить виртуальную среду? Ключевые факторы в контексте ИБ

 МАРИЯ СИДОРОВА, заместитель руководителя направления «Защита виртуальных инфраструктур» компании «Код Безопасности»

Как защитить виртуальную среду?
Ключевые факторы в контексте ИБ

Первый фактор связан с обеспечением безопасности важной информации с учетом угроз, специфичных для среды виртуализации. Второй – с защитой от «безымянных» утечек. И, наконец, третий – с автоматизацией работы администраторов по конфигурированию и эксплуатации системы безопасности

Виртуальная инфраструктура несет в себе несколько изменений в архитектуре по сравнению с физической инфраструктурой: появляются серверы виртуализации, средства обслуживания и управления виртуальной инфраструктурой (ВИ). Эти компоненты ВИ необходимо защищать в первую очередь, поскольку захват сервера виртуализации или централизованных средств управления ВИ автоматически повышает риск утечки конфиденциальной информации, размещенной на виртуальных машинах. Дополнительно необходимо реализовать механизм мониторинга событий ИБ для этих компонентов, что позволит вовремя пресечь попытки несанкционированного доступа к данным компании.

Помимо новых архитектурных компонентов, потенциальную угрозу в виртуальной среде создает и администратор виртуальной инфраструктуры – «суперпользователь», отследить действия которого очень сложно, а порой и вовсе невозможно. В этом случае выяснить, кто, когда и какие настройки выполнял, помогут функция ведения журнала специализированных событий, усиленная аутентификация, мандатное и ролевое управление доступом. Для решения этих вопросов компании, как правило, применяют либо традиционные средства защиты, которые, к сожалению, не гарантируют 100% результата, либо создают некую комбинацию из уже используемых традиционных средств и ряда специализированных средств защиты, что в конечном счете более эффективно и менее затратно для компании.

Рассмотрим третий ключевой фактор в контексте ИБ, связанный с автоматизацией работы по конфигурированию и эксплуатации системы безопасности.

Автоматизация работы администратора позволяет исключить ошибки и злоупотребления при управлении инфраструктурой. Для этого существуют встроенные наборы политик ИБ , которые позволяют не только пресекать любые действия, противоречащие принятым в компании политикам ИБ, но и контролировать все изменения. Администратор ИБ имеет возможность получать отчеты о соответствии инфраструктуры установленным политикам ИБ и, таким образом, быть уверенным в том, что безопасность информации находится на должном уровне. Помимо встроенных шаблонов, как правило, существует возможность создания собственного шаблона политики ИБ, который будет соответствовать всем требованиям, принятым в компании.

Стандарты, практики, рекомендации, требования…

О полезности и необходимости следования стандартам и лучшим мировым практикам говорится очень много, но, когда дело доходит до определения стоимости приведения своей инфраструктуры в соответствие данным практикам, возникает масса вопросов. В чем же сложность настройки инфраструктуры в соответствии с требованиями принятых стандартов и практик? Во-первых, на изучение и настройку всех рекомендаций уйдет немало времени, во-вторых, реализованные настройки затем нужно постоянно контролировать на предмет каких-либо изменений, в-третьих, необходимо дорогостоящее обучение специалистов, которые будут реализовывать эти задачи. Такой подход неэффективен и в конечном счете затратен для компании.

В этих условиях стали набирать популярность специализированные утилиты, которые позволяют в кратчайшие сроки проверить соответствие виртуальных инфраструктур компании требованиям таких рекомендаций и стандартов, как PCI DSS, CIS VMware ESX Server Benchmarks и VMware Security Hardening Best Practices. Обычно результатом проверки является структурированный отчет, информирующий о положениях стандартов и о соответствии протестированной системы этим положениям. Например, для этого можно использовать приложение vGate Compliance Checker разработки компании «Код Безопасности».

Методические рекомендации и материалы регуляторов ФЗ-152 и СТО БР ИББС не делают различий между физической и виртуальной средой обработки. Вместе с тем выполнение требований и  обработка информации в виртуальной среде имеют специфические особенности, отсутствующие в физической среде. К примеру, для обеспечения контроля целостности и доверенной загрузки виртуальных машин технологически невозможно использовать традиционные электронные замки. На российском рынке существуют решения, способные автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности виртуальных инфраструктур и сертифицированные ФСТЭК.

Комментарии могут оставлять только зарегистрированные пользователи