Виртуальным инфраструктурам – прогрессивная защита

Виртуальным инфраструктурам – прогрессивная защита

В статье приводится анализ актуального состояния мирового рынка виртуализации для предприятий, анализ степени проникновения виртуализации на российских предприятиях. Также рассмотрены средства защиты виртуальных инфраструктур, организованных на базе VMware vSphere. Производителями данных средств является как сама компания VMware, так и другие производители программных средств защиты информации, использующих такие интерфейсы, как VMware vShield.

 

 

1. Введение

2. Виртуализация в России и мире

3. Специфические угрозы, направленные на виртуальные инфраструктуры

4. VMware vShield как интерфейс информационной безопасности vSphere

5. Сторонние решения для организации защиты VMware vSphere

6. Выводы

 

 

Введение

Если смотреть с точки зрения обычного обывателя, немного подкованного в техническом плане, то часто можно услышать мнения о том, что виртуализация, как таковая, является некоторым маркетинговым ходом, всего лишь модной фикцией, которая якобы позволяет более эффективно использовать вычислительные мощности предприятия, удобнее управлять многочисленными рабочими местами пользователей, эффективнее организовывать защиту информации.

Цены на производительные серверы, на которые устанавливаются виртуальные системы, представляют собой числа со многими нулями. При этом стоимость программного обеспечения, которое позволит создать эффективную виртуальную среду предприятия, кажется подчас излишне завышенной. Конечно, теоретически управлять виртуальными системами должно быть проще, но на практике совсем недавно администраторы виртуальных инфраструктур сталкивались с отсутствием подходящих решений для их управления. А защита виртуальных систем с помощью классических корпоративных антивирусных продуктов с клиент-серверной архитектурой оказывается неэффективной, отбирая все плюсы виртуализации.

Тем не менее, плюсы данной модели достаточно очевидны:

  • повышение изоляции одной виртуальной системы от другой, что позволяет увеличить стабильность работы информационной системы предприятия в целом – если какой-то сервис выходит из строя вместе с одним из виртуальных серверов, то остальные виртуальные серверы продолжают работать;
  • распределение задач администрирования – возможность соответствующим образом ограничить права каждого администратора, что позволит ему управлять без проблем объектами, с которыми связана непосредственно его работа. Но, при этом, объекты, не связанные с работой, будут недоступны;
  • распределение аппаратных ресурсов – каждой виртуальной машине выделяется ровно то количество ресурсов, которое необходимо для осуществления возложенных на неё задач;
  • повышение качества администрирования – более лёгкое в исполнении проведение различных тестов и исследований, связанных с изучением эффективности и корректности работы информационной системы предприятия;
  • постоянная доступность – если с одним из хостинг-серверов виртуальных машин возникают проблемы, можно достаточно просто провести их временную миграцию на другой хостинг-сервер без перерыва в обслуживании клиентов; также, благодаря этому преимуществу, можно производить плавное обновление всего парка программного обеспечения, в том числе –  обслуживающего виртуальную инфраструктуру.

Мировой экономический кризис 2008-2009 гг., как ни странно, также благотворно отразился на рынке технологий виртуализации, как в мировых масштабах, так и в России. Многие предприятия осознали, что виртуализация может существенно сократить энергопотребление организации, сократить расходы на бесполезный обогрев воздуха и на кондиционирование помещений. Т.е., плюс к экономической эффективности добавляется также более бережное отношение к экологии – тот редкий случай, когда стремление к максимизации прибыли влияет позитивно на экологическую ситуацию.

Также корпоративных пользователей привлекает технология VDI (Virtual Desktop Infrastructure, инфраструктура виртуальных настольных систем). Она позволяет создавать виртуальную инфраструктуру и разворачивать полноценные рабочие места на базе одного сервера. При этом открывается возможность получения доступа к рабочей системе из любой точки мира, например, с домашнего компьютера.

Из реальных сдерживающих факторов, на данный момент, наверное, можно упомянуть лишь о том, что для эффективного использования виртуализации, особенно в регионах, предприятия сталкиваются с дефицитом квалифицированных кадров сетевых администраторов. Это связано с тем, что обучение по данной тематике является дорогостоящим. В частности, по причине недостатка преподавательских кадров.

Тем не менее, степень проникновения виртуализации на предприятиях постоянно возрастает. Рассмотрим рынок виртуализации в России и мире.

 

Виртуализация в России и мире

Согласно статистике «Лаборатории Касперского» (необходима регистрация на сайте), 59% опрошенных российских компаний с локальными сетями от 100 компьютеров и выше, уже внедрили или планируют внедрить виртуализацию серверов. При этом, почти на всех предприятиях, где используется виртуализация серверов, они используются для обеспечения функционирования баз данных (80%). Далее по популярности идёт электронная почта (64%), ERP-системы (50%), CRM-системы (41%) и приложения для финансового менеджмента (34%).

Среди наиболее важных преимуществ виртуализации отечественные специалисты отмечают надёжность (89%), простоту резервного копирования и восстановления данных (86%), операционную эффективность (85%) и консолидацию серверов с эффективным использованием аппаратных ресурсов (84%).

Если говорить в цифрах, то внедрение виртуализации серверов позволяет:

  • сократить расходы на аппаратное обеспечение – на 50%;
  • сократить расходы на электроэнергию – на 80%;
  • сократить время, необходимое на создание и запуска нового сервера – на 70%.

Популярность платформ для виртуализации серверов в России на настоящий момент распределяется следующим образом: примерно одинаковые доли у VMware (ESX-сервера, 62%) и Microsoft (Hyper-V, 61%), замыкает тройку Citrix Xen (25%).

Если же посмотреть на мировой рынок виртуализации с позиции количества гипервизоров (среда, обеспечивающая параллельное выполнение многих операционных систем на одном хост-компьютере), находящихся в использовании, то, по данным компании Veeam, данная тройка, по итогам третьего квартала 2011 года, распределялась несколько иначе. Лидером виртуализации серверов являлись гипервизоры под управлением VMware, на втором месте – с большим отрывом находился Hyper-V, и далее – Citrix Xen (рисунок 1). Остальные игроки рынка виртуализации серверов занимали несущественную долю рынка.

 

Рисунок 1: Мировой рынок виртуализации серверов на 3 квартал 2011 года по данным компании Veeam

Виртуальным инфраструктурам – прогрессивная защита

 

Если говорить о рынке виртуализации рабочих станций, то можно отметить, что в этом случае на второе место выходит Citrix, а третье занимает Hyper-V, т.е. доли рынков этих двух производителей примерно одного порядка. Можно также заметить некоторую разницу между используемыми гипервизорами для виртуализации серверов и рабочих станций. При этом, согласно данным Veeam, проникновение виртуализации серверов в мире на тот же период (третий квартал 2011 года) составляло 38,9%, а на каждом хост-сервере работало, в среднем, по 5 виртуальных серверов.

Как видно из диаграммы, вполне понятно желание производителей различного прикладного (не связанного с непосредственным обеспечением работы виртуальных инфраструктур) ПО для виртуализации в первую очередь предлагать свои продукты для VMware, как настоящего лидера рынка. Сейчас этот фактор является сдерживающим для роста доли рынка остальных игроков. Но, при этом, данный рынок, всё же, достаточно нестабилен, а игроки (такие как Microsoft) достаточно сильные, что может, со временем, привести к изменению ситуации.

Если говорить про проникновение виртуализации на предприятиях в мире, то можно снова обратиться к информации от компании Veeam. Так, если в 2005-ом году всего 2% систем, работающих на архитектуре x86, запускались в виде виртуальных машин, то в 2011 году проникновение виртуализации возросло до 49%. А к 2018 году аналитики компании Veeam прогнозируют проникновение виртуализации до 86% в мировых масштабах, т.е. подавляющее большинство систем на предприятиях станут виртуальными.

Если вернуться к России, то, как и было сказано выше, возникает проблема с кадрами, обеспечивающими работу виртуализации на предприятиях. Обладают опытом работы в области виртуализации, а также следят за новыми разработками всего 13% опрошенных специалистов. А адекватно оценивают риски, связанные с информационной безопасностью, меньше половины. При этом, хотя большинство предприятий и осознают необходимость перехода на виртуализацию, тем не менее, данный переход предполагает значительные первоначальные вложения, и речь подчас идёт о десятках миллионов долларов, для случаев, когда виртуальная инфраструктура развёртывается непосредственно на серверах, установленных на предприятии (private cloud). При этом количество крупных центров хранения и обработки информации (ЦОД) в России достаточно невелико. Также сдерживающим фактором для более серьёзного проникновения виртуализации на российские предприятия является недостаток информации и сложность с обучением специалистов. У предприятий нет на это денег, либо руководство предприятий не осознаёт выгод от внедрения виртуализации.

Не секрет, что, при всех, преимуществах от использования виртуализации, возникают дополнительные трудности с их защитой. Помимо классических рисков проникновения в виртуальные системы вредоносных программ, существуют уже вполне отработанные схемы, позволяющие вмешиваться в работу хостинг-серверов для виртуальных машин, вплоть до возможности удаления файлов, соответствующих виртуальным машинам, с хостинг-серверов.

Поэтому, рассмотрим средства, которые предлагает компания VMware для защиты виртуальных инфраструктур посредством собственных защитных компонентов на базе технологии VMware vShield, в том числе средства для предоставления защитного сервиса от сторонних производителей средств информационной безопасности. Но сначала посмотрим на угрозы, которые направлены именно на виртуальные инфраструктуры.

 

Специфические угрозы, направленные на виртуальные инфраструктуры

По информации от специалистов компании «Код безопасности», угрозы, направленные на виртуализацию, можно разделить на следующие типы:

  • Атака на гипервизор с виртуальной машины;
  • Атака на гипервизор из физической сети;
  • Атака на диск виртуальной машины;
  • Атака на средства администрирования виртуальной инфраструктуры;
  • Атака на виртуальную машину с другой виртуальной машины;
  • Атака на сеть репликации виртуальных машин;
  • Неконтролируемый рост числа виртуальных машин.

Следует обратить внимание на то, что это не перечисление единичных сценариев, которые возможны при атаке на виртуальную инфраструктуру предприятия, а указание на значительное количество объектов и сервисов, каждый из которых необходимо защищать особым образом.

Реализуются же эти атаки на элементы инфраструктуры самыми различными образами. Например, существует возможность кражи файла, относящегося к виртуальной машине, простым копированием на флешку. Содержимое виртуальных машин при некоторых условиях можно перехватить посредством атаки Man in the middle, во время её миграции с одного хост-сервера на другой. Можно получить доступ непосредственно к хранилищу виртуальных машин на ESXi-сервере и за считанные секунды уничтожить всю виртуальную инфраструктуру предприятия, которая может составлять основную часть информационной системы.

Как видно, количество информационных угроз при использовании виртуальных инфраструктур, существенно возрастает. Поэтому, очень важно правильно организовать их полноценную защиту. В следующем разделе статьи показывается, в том числе, и то, что полноценно защитить виртуальную инфраструктуру предприятия с помощью единственного защитного решения на данный момент  невозможно. Поэтому приходится сочетать как продукты, предлагаемые компанией VMware, так и продукты сторонних разработчиков. Это, в общем-то, ещё более значительно повышает стоимость внедрения виртуализации.

 

VMware vShield как интерфейс информационной безопасности vSphere

В настоящее время в составе программного обеспечения для виртуализации VMware vSphere входит множество компонентов под названием VMware vShield. Данная технология пришла на смену технологии VMware vSafe, которую раньше могли использовать лишь некоторые сторонние производители защитного программного обеспечения. VMware vShield призван упорядочить подход к безопасности виртуальных инфраструктур, и открывает больше возможностей сторонним производителям для интеграции с системой безопасности, созданной VMware для организации защиты виртуальных инфраструктур VMware vSphere. При этом, если обратиться к истории, то именно компания VMware создала интерфейс для подключения к виртуальной инфраструктуре защитного программного обеспечения сторонних производителей. И, пожалуй, единственным среди крупных производителей средств виртуализации.

VMware vShield интегрирован с VMware vCenter Server (рисунок 2). Таким образом, воспользоваться его преимуществами не представляется возможным без установки сервера VMware vCenter. Соответственно, использование преимуществ технологии VMware vShield накладывает дополнительные требования к аппаратному обеспечению локальной сети. Но, при этом, обеспечивает значительные преимущества по защите виртуальных инфраструктур.

 

Рисунок 2: Место VMware vShield в архитектуре VMware vSphere

Виртуальным инфраструктурам – прогрессивная защита

 

На базе технологии VMware vShield компания VMware создала несколько собственных защитных продуктов, среди которых:

  • VMware vShield App – для защиты приложений от сетевых угроз;
  • VMware vShield Edge – обеспечение безопасности периметра сети;
  • VMware vShield Zones – базовая защита от сетевых угроз;
  • VMware vShield Manager – полноценное управление системой безопасности;
  • VMware vShield Endpoint – перенос средств защиты с клиентских систем на уровень гипервизора

При этом, VMware vShield Endpoint как раз позволяет сторонним антивирусным продуктам устанавливаться на хост-сервере в качестве одной из виртуальных систем, обеспечивая возможность осуществлять защиту извне защищаемых виртуальных систем без необходимости установки антивирусного агента на каждую защищаемую систему (рисунок 3).

 

Рисунок 3: Схема работы VMware vShield Endpoint

Виртуальным инфраструктурам – прогрессивная защита 

 

Сторонние решения для защиты виртуализации для VMware vSphere

Среди известных в России производителей защитных продуктов для виртуальных инфраструктур, которые в различное время начали продвигать защиту виртуализации на базе решений VMware, отличную от классической клиент-серверной архитектуры, можно выделить Trend Micro Deep Security , Symantec и BitDefender.

«Лаборатория Касперского», представив 16 апреля 2012 года продукт Kaspersky Security для виртуальных сред, присоединилась к клубу производителей продуктов в области информационной безопасности, защищающих пользователей VMware vSphere. Здесь же можно указать на такие продукты, как vGate от компании «Код Безопасности».

Компания Trend Micro первой в России начала предлагать антивирусную защиту для виртуализации, выпустив продукт Trend Micro Deep Security. В этом продукте используется интерфейс VMware vShield Endpoint, при этом различные компоненты защиты могут устанавливаться и использоваться как в безагентном варианте, так и с помощью установки антивирусного агента. Антивирусная составляющая в данном продукте работает только через VMware vShield Endpoint, т.е. по безагентной технологии.

Подобная технология интеграции с VMware vShield Endpoint существует и в специальном продукте от компании BitDefender – Security for Virtualized Environments (SVE). Тем не менее, данный продукт не сильно распространён в России. Данное решение позволяет SVE защищать не только виртуальные машины Windows, но и те, на которых установлены ОС Linux и Solaris.

В продукте Symantec Endpoint Protection 12 для защиты виртуальных сред реализованы другие схемы оптимизации. С одной стороны, некоторые файлы не сканируются, благодаря использованию репутационных технологий. Также не сканируются файлы, входящие в состав эталонного образа виртуальной машины. С другой стороны, реализован механизм, исключающий повторное сканирование файлов внутри всей виртуальной инфраструктуры. Данная технология носит название Shared Insight Cache. При этом следует особо подчеркнуть, что Symantec Endpoint Protection 12 не работает на уровне гипервизора, это не безагентная технология, поэтому у данного решения в плане оптимизации защиты для виртуальных инфраструктур есть ряд существенных минусов.

В продукте Kaspersky Security для виртуальных сред реализована безагентная технология защиты посредством интеграции с VMware vShield Endpoint. Отличительной чертой данного продукта является возможность управлять всей защитой предприятия (виртуальной инфраструктуры, физических и мобильных устройств) из единого центра управления Kaspersky Security Center – эта консоль администратора теперь интегрируется и с Kaspersky Security для виртуальных сред.

Продукт компании «Код Безопасности» компании vGate не несёт в себе антивирусную составляющую, но будет полезен на предприятиях, на которых жёстко регламентируется доступ персонала к объектам виртуальных инфраструктур. В частности, vGate отслеживает целостность виртуальных машин, запрещать их клонирование, может запрещать создание снимков состояния виртуальных машин, контролирует подключаемые устройства и передаваемую на них информацию, а также ограничивает доступ к консоли виртуальной машины.

 

Выводы

Как видно, проникновение виртуализации в производственные процессы предприятий, в том числе отечественных, происходит достаточно динамично, несмотря на различные трудности, с которыми приходится сталкиваться – высокая стоимость внедрения решений, связанных с виртуализацией, а также недостаточная квалификация сетевых администраторов.

Данный рынок выглядит ещё достаточно молодым, но, при этом, экономически ёмкий ввиду большой стоимости аппаратных ресурсов и программных средств виртуализации. При этом, для предприятий данный подход к организации производственных процессов значительно более выгоден, чем покупка отдельных серверов для каждой задачи, или же увеличение риска от того, что на одном сервере одновременно работают множество сервисов, каждый из которых может вызвать сбой.

С каждым годом удобства использования виртуализации становятся всё более очевидными. Пробелы в программных продуктах постепенно закрываются, и в области защиты виртуализации теперь у администраторов есть выбор, кому из производителей защитного программного обеспечения доверить защиту виртуальной инфраструктуры предприятия, т.е., объект повышенного риска.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru