Виртуальные машины и безопасность

[teofrast 0]

В свете кое-каких событий на фирме возник вопрос - как можно обеспечить безопасность виртуальных машин? Например, VMWare.

Ведь если поставить антивирус, обновить его базы и сделать снапшот, то после какого то времени работы может возникнуть нужда отресториться и продолжить работу.

В случае единичных случаев это не критично. А если рабочих снапшотов больше десятка и все они из разных временных промежутков, то каждый раз ждать загрузки обновлений, а потом сохранение этих снапшотов создает большие проблемы с рабочим временем.

Заодно сюда можно привести проблему с лицензиями. Например, для теста необходимо поднять на какое то время тысячу машин - как обеспечить их безопасность?

(просто весело было обнаружить в этом месяце на VMWare одного из девелоперов Net-Worm.Win32.Welchia.a. Отменно причем работающую. Жаль, что пришлось убить сорванца )

Косвенно в эту тему еще хотелось бы привести проблему false detect'a. Можно ли как то решить проблему с программистами (да и вообще любой народ, имеющий связь с новым кодом), которые отключают антивирусы, потому что те мешают им работать?

С ходу в голову приходят такие решения этих проблем - административные меры, включение виртуальных машин в домен.

Однако хотелось бы услышать мнение экспертов на эту тему.

[Кирилл Керценбаум 671]

teofrast

Не совсем понял какую задачу Вы хотите решить, если для вас важен контроль для виртуальных машин и не только обновленности АВ баз, запущенности антивируса и т.д., то это решается технологией Network Access Control, например Symantec NAC, встроенной в антивирус для рабочих станций. Если это интересно, то могу предоставить более подробную информацию.

[Илья Рабинович 521]

Ну, или ждать решения VMsafe, или ставить внутрь виртуальной машины HIPS- они малочувствительны к обновлениям.

[Сергей Ильин 1538]

В случае единичных случаев это не критично. А если рабочих снапшотов больше десятка и все они из разных временных промежутков, то каждый раз ждать загрузки обновлений, а потом сохранение этих снапшотов создает большие проблемы с рабочим временем.

Я для себя не решил эту проблему. Стоит куча виртуалок, которые после каждого отката приходится обновлять по-новому. Этим приходится расплачиваться за удобство моментально отката к нужному состоянию ОС. Ладно бы дело было только в антивирусных базах, большее неудобств доставляют обновлении Windows, а их ведь тоже хорошо бы ставить.

Пока вижу только один способ. Если изменения в системе, которые вызывают необходимость отката не так существенны, то можно обойтись использованием утилит типа TotalUninstaller, а не ревертить все машину целиком.

или ставить внутрь виртуальной машины HIPS- они малочувствительны к обновлениям.

Кстати, это вариант, если нужно именно обеспечить безопасность машин, а не гонять на на них разные антивирусы

[teofrast 0]

Спасибо за советы.

По поводу выбора конкретных инструментов дело пока что не дошло. И вопрос интересовал с теоретической точки зрения. Ибо компания сейчас работает по старому принципу "пока гром не грянет". Однако ИТ-отдел работает над этим.

По поводу HIPS - я полный нуль, так что щас нужно будет покопать в этом направлении. Однако с 1-го моего взгляда проблема HIPS вроде бы заключается в умении юзера настроить его и продолжать работать? Или я не прав? Просто в таком случае в среде разработко-тестинга программных продуктов HIPS вряд ли так же приживется, как и АВ. Юзеры просто будут отключать его.

[Илья Рабинович 521]

Ибо компания сейчас работает по старому принципу "пока гром не грянет". Однако ИТ-отдел работает над этим.

В смысле, над громом?

По поводу HIPS - я полный нуль, так что щас нужно будет покопать в этом направлении. Однако с 1-го моего взгляда проблема HIPS вроде бы заключается в умении юзера настроить его и продолжать работать? Или я не прав?

Это точно- не прав... Типов HIPS много- есть построенные на основе белых списков, поведенческих сигнатур и песочницы.

Просто в таком случае в среде разработко-тестинга программных продуктов HIPS вряд ли так же приживется, как и АВ.

Пользуйте песочницы- они очень удобны именно для данной задачи.

[dan 10]

У vmware есть опция shared folders.

При должном желании/умении практически любой антивирус с базами можно инсталлировать именно на такой диск, тогда revert на модули антивируса и базы не распространится.

Но:

1) могут быть синьки при расхождении модулей, так как драйвера вы способом описанным выше не обновите.

2) недавно проходила инфа о критической уезвимости в vmware при использовании shared folders. Суть в том что при заражении виртуальной машины, зловред может убежать и на реальную. Не знаю, исправлена ли ошибка.

[dot_sent 140]

Ещё есть возможность указать при создании раздела флажок "Independent disk" - тогда создаваемый раздел тоже не будет подвержен снапшотам. Ну и с теми же прилегающими проблемами, естессна.

Если уж на то пошлО, то универсальный вариант - поднять локальный сервер обновлений антивируса, приобретя соответствующее корпоративное решение, каковые есть у многих АВ-вендоров и установить на ВМваревские машины клиентский модуль антивируса. Ну и снять снапшоты после этого. При таком решении время простоя по причине апдейта антивирусного ПО сократится в разы, а трафик вообще тратиться не будет.