teofrast

Виртуальные машины и безопасность

В этой теме 8 сообщений

В свете кое-каких событий на фирме возник вопрос - как можно обеспечить безопасность виртуальных машин? Например, VMWare.

Ведь если поставить антивирус, обновить его базы и сделать снапшот, то после какого то времени работы может возникнуть нужда отресториться и продолжить работу.

В случае единичных случаев это не критично. А если рабочих снапшотов больше десятка и все они из разных временных промежутков, то каждый раз ждать загрузки обновлений, а потом сохранение этих снапшотов создает большие проблемы с рабочим временем.

Заодно сюда можно привести проблему с лицензиями. Например, для теста необходимо поднять на какое то время тысячу машин - как обеспечить их безопасность?

(просто весело было обнаружить в этом месяце на VMWare одного из девелоперов Net-Worm.Win32.Welchia.a. Отменно причем работающую. Жаль, что пришлось убить сорванца :rolleyes: )

Косвенно в эту тему еще хотелось бы привести проблему false detect'a. Можно ли как то решить проблему с программистами (да и вообще любой народ, имеющий связь с новым кодом), которые отключают антивирусы, потому что те мешают им работать?

С ходу в голову приходят такие решения этих проблем - административные меры, включение виртуальных машин в домен.

Однако хотелось бы услышать мнение экспертов на эту тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

teofrast

Не совсем понял какую задачу Вы хотите решить, если для вас важен контроль для виртуальных машин и не только обновленности АВ баз, запущенности антивируса и т.д., то это решается технологией Network Access Control, например Symantec NAC, встроенной в антивирус для рабочих станций. Если это интересно, то могу предоставить более подробную информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, или ждать решения VMsafe, или ставить внутрь виртуальной машины HIPS- они малочувствительны к обновлениям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В случае единичных случаев это не критично. А если рабочих снапшотов больше десятка и все они из разных временных промежутков, то каждый раз ждать загрузки обновлений, а потом сохранение этих снапшотов создает большие проблемы с рабочим временем.

Я для себя не решил эту проблему. Стоит куча виртуалок, которые после каждого отката приходится обновлять по-новому. Этим приходится расплачиваться за удобство моментально отката к нужному состоянию ОС. Ладно бы дело было только в антивирусных базах, большее неудобств доставляют обновлении Windows, а их ведь тоже хорошо бы ставить.

Пока вижу только один способ. Если изменения в системе, которые вызывают необходимость отката не так существенны, то можно обойтись использованием утилит типа TotalUninstaller, а не ревертить все машину целиком.

или ставить внутрь виртуальной машины HIPS- они малочувствительны к обновлениям.

Кстати, это вариант, если нужно именно обеспечить безопасность машин, а не гонять на на них разные антивирусы ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо за советы.

По поводу выбора конкретных инструментов дело пока что не дошло. И вопрос интересовал с теоретической точки зрения. Ибо компания сейчас работает по старому принципу "пока гром не грянет". Однако ИТ-отдел работает над этим. :)

По поводу HIPS - я полный нуль, так что щас нужно будет покопать в этом направлении. Однако с 1-го моего взгляда проблема HIPS вроде бы заключается в умении юзера настроить его и продолжать работать? Или я не прав? Просто в таком случае в среде разработко-тестинга программных продуктов HIPS вряд ли так же приживется, как и АВ. Юзеры просто будут отключать его. <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ибо компания сейчас работает по старому принципу "пока гром не грянет". Однако ИТ-отдел работает над этим.

В смысле, над громом? :lol:

По поводу HIPS - я полный нуль, так что щас нужно будет покопать в этом направлении. Однако с 1-го моего взгляда проблема HIPS вроде бы заключается в умении юзера настроить его и продолжать работать? Или я не прав?

Это точно- не прав... Типов HIPS много- есть построенные на основе белых списков, поведенческих сигнатур и песочницы.

Просто в таком случае в среде разработко-тестинга программных продуктов HIPS вряд ли так же приживется, как и АВ.

Пользуйте песочницы- они очень удобны именно для данной задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У vmware есть опция shared folders.

При должном желании/умении практически любой антивирус с базами можно инсталлировать именно на такой диск, тогда revert на модули антивируса и базы не распространится.

Но:

1) могут быть синьки при расхождении модулей, так как драйвера вы способом описанным выше не обновите.

2) недавно проходила инфа о критической уезвимости в vmware при использовании shared folders. Суть в том что при заражении виртуальной машины, зловред может убежать и на реальную. Не знаю, исправлена ли ошибка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ещё есть возможность указать при создании раздела флажок "Independent disk" - тогда создаваемый раздел тоже не будет подвержен снапшотам. Ну и с теми же прилегающими проблемами, естессна.

Если уж на то пошлО, то универсальный вариант - поднять локальный сервер обновлений антивируса, приобретя соответствующее корпоративное решение, каковые есть у многих АВ-вендоров и установить на ВМваревские машины клиентский модуль антивируса. Ну и снять снапшоты после этого. При таком решении время простоя по причине апдейта антивирусного ПО сократится в разы, а трафик вообще тратиться не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS