Документ рассматривает информационную безопасность и защиту персональных данных в контексте виртуальной инфраструктуры. Основное внимание уделяется ключевым рискам, лучшим практикам и требованиям к информационной безопасности, а также методам защиты от угроз, связанных с виртуализацией. Освещаются современные угрозы, такие как злоупотребление концепцией облака и несанкционированный доступ к данным.

1. Sator Arepo Tenet Opera Rotas
Информационная безопасность (ИБ)
и защита персональных данных в
виртуальной инфраструктуре (ВИ)
Михаил Козлов
Консультант по развитию
http://devbusiness.ru/mkozloff
…

2. Sator Arepo Tenet Opera Rotas
Михаил Козлов
Консультант по развитию бизнеса и продаже решений на
основе бизнес-ценности (ROI)
20 лет в ИТ и консалтинге
VDEL, Trend Micro, VMware, Microsoft, V6, CARANA,
Cognitive Technologies…
…

3. Sator Arepo Tenet Opera Rotas
Сокращения
АИБ (АВИ) – администраторинформационной безопасности (виртуальной инфраструктуры)
ВИ/ВС – виртуальная инфраструктура/среда
ВМ – виртуальная машина (англ. VM)
ИБ – информационная безопасность
ИС – информационная система
НСД – несанкционированный доступ
ПДн – персональные данные
СВТ – средствавычислительной техники
СЗИ – средство защиты информации
СХД – система хранения данных (Storage) или сеть хранения данных (SAN)
…3

4. Sator Arepo Tenet Opera Rotas
Содержание
Виртуализация и • Ключевые риски
новые риски • Кто контролирует администратора?
Виртуализация,
• Лучшие практики по защите
облака и безопасность
Виртуализация и • Требования к ИСПДн
защита персональных • Сертификация платформы
данных • Наложенные средства
…4

5. Sator Arepo Tenet Opera Rotas
Изменение парадигмы
Облачно с вероятностью осадков
“Тревога о безопасности сдерживает ИТ менеджеров от ухода в облака.”
-The Economist, March 5, 2010
…5

6. Sator Arepo Tenet Opera Rotas
Виртуализация и риски ИБ
Специалисты ИБ не участвует в проекте по
виртуализации
Взлом слоя виртуализации может привести к взлому всех ВМ
Виртуальные ВМ-ВМ сети плохо контролируемы
ВМ с разным уровнем ИБ размещены на одном физическом
хосте
Отсутствие контроля за действиями администратора
Источник:
Потеря разделения ответственности за сеть и ИБ Gartner, 2010
…6

7. Sator Arepo Tenet Opera Rotas
2010, безопасность и виртуализация
Появились новые Приоритеты клиентской
изощренные виды виртуализации 2011
монетизации киберугроз
Виртуализация
инфраструктуры – ключевой
тренд в корпоративных ИТ
•VDI
•Облака
Как обстоят дела с
безопасностью виртуальных
инфраструктур?
Источник: http://www.enterprisemanagement.com/
…

8. Sator Arepo Tenet Opera Rotas
Стоимость потери информации
285М взломанных записей в 2008 г. (Verizon
Business RISK Team)
В 2008 в США потеря каждой записи стоила $202,
включая $152 косвенного ущерба (Ponemon
Institute)
True Cost of Compliance Report, Ponemon Institute LLC, January 2011 …8

9. Sator Arepo Tenet Opera Rotas
Типы и стоимость инцидентов с ИБ
…9

10. Sator Arepo Tenet Opera Rotas
Потеря данных через администратора – самый
дорогой тип инцидента в ИБ
В виртуальной среде нет проактивных средств
контроля действий администратора
Зловредное ПО с правами администратора может
получить контроль над ВМ в обход гипервизора
The Value Of Corporate Secrets
How Compliance And Collaboration Affect Enterprise Perceptions Of Risk
March 2010, Forrester
… 10

11. Sator Arepo Tenet Opera Rotas
Что делать?
Разделить полномочия
и ответственность
администраторов
ВИ и ИБ
… 11

12. Sator Arepo Tenet Opera Rotas
Лучшие практики информационной безопасности
БЕЗОПАСНАЯ ВИРТУАЛИЗАЦИЯ
… 12

13. Sator Arepo Tenet Opera Rotas
Виртуализация и безопасность
Люди
• Обучение
Технологии
• Разделение ответственности
Процессы
Процессы • Лучшие практики
• Требования регуляторов
Технологии
• Платформа
• Наложенные средства
… 13

14. Sator Arepo Tenet Opera Rotas
Ключевые процессы
Тестовая Обновления
Разработка и Гипервизор =
среда: ПО и
виртуальное
внедрение железо
тестирование утверждения
безопасности изменений
Контроль
Ввод ВМ в внешних Сетевая
Эксплуатация эксплуатацию виртуальных безопасность
устройств (ВУ)
Лучшие
практики ИБ Virtualization
Security PCI DSS CIS
и требования Hardening
регуляторов
… 14

15. Sator Arepo Tenet Opera Rotas
Традиционные средства защиты в виртуальной
среду не эффективны
Firewall, VPN М.б. неприменимы или снижать
производительность среды
Антивирусы
DLP Нужны специальные средства
IDS/IPS
Другие средства
защиты 010110
100101
000101
010110
100101
000101
010110
100101
000101
…

16. Sator Arepo Tenet Opera Rotas
Безопасность гипервизора
Пока не обнародовано ни Сервер виртуализации
одного случая взлома Console
гипервизоров или нарушения OS
изоляции ВМ
Средства
управления
Возможности Blue Pill & Red виртуальной
инфраструктурой
Pill пока не доказывают
наличие угрозы для
Гипервизор
гипервизоров, НО
Можно получить доступ к
гипервизору через средства
управления
…

17. Sator Arepo Tenet Opera Rotas
Матрица и безопасность
виртуальной среды
Red Pill – способ обнаружения Blue Pill – зловредный
присутствия на физическом гипервизор, незаметно
хосте работающей виртуальной превращающий ОС в ВМ и
машины перехватывающий ее трафик
… 17

18. Sator Arepo Tenet Opera Rotas
Обнаружить blue pill можно только по деградации
производительности:
… 18

19. Sator Arepo Tenet Opera Rotas
Ядро (kernel) гипервизора VMware
ESX – самое маленькое ядро на рынке
VMware VMsafe – API к ядру гипервизора: позволяет «видеть» идущий
через него трафик (аналог для Hyper-V отсутствует)
ВМ ИБ:
App App App • МЭ
• IDS / IPS
OS OS OS • Антивирус
• Мониторинг
целостности
ESX Server VMsafe APIs … 19

20. Sator Arepo Tenet Opera Rotas
Средства платформы: vShield Endpoint
Антивирусная зашита гостевых ВМ
Позволяет
использовать
специальную
антивирусную ВМ без
А/В агентов в
гостевых ВМ
…

21. Sator Arepo Tenet Opera Rotas
ОС в консоли управления
По слухам для vSphere 5 будет упразднена
Для VI 3 и vSphere 4 (Linux based)
• Подвержена обычным угрозам для ОС
• Используйте рекомендации «VMware Security
Hardening Guide»
• Трудоемкая ручная настройка автоматизируется с
vGate
… 21

22. Sator Arepo Tenet Opera Rotas
VMware Linux Clients Advisory
Трафик между клиентом vSphere и vCenter
зашифрован (SSL+сертификаты)
Linux клиенты, выполняющие vSphere клиента не
проверяют годность сертификатов
Угроза атаки man-in-the-middle
Рекомендация VMware не использовать Linux
клиент для управления
…

23. Sator Arepo Tenet Opera Rotas
Файлы конфигурации ВМ
Уделяйте отдельное внимание их защите и
поддержанию целостности
VMware .vmx файлы контролируют все параметры
и настройки
VMX файлы – это простой редактируемый текст
Зловреды могут их читать и модифицировать
…

24. Sator Arepo Tenet Opera Rotas
Виртуализация меняет свойства сетей
Стандартные МЭ становятся
не везде применимы Сервер виртуализации Сервер виртуализации
Угроза DoS атаки: ВМ может
занять весь трафик
• Мониторинг и ограничение
Гипервизор Гипервизор
ресурсов
Трудоемкая ручная
настройка параметров ИБ
автоматизируется с vGate
…

25. Sator Arepo Tenet Opera Rotas
Сетевая безопасность – приоритет №1
… 25

26. Sator Arepo Tenet Opera Rotas
VMware vShield: балансировка нагрузки, МЭ,
VPN, зоны безопасности
Load
balancer
Firewall
VPN
vShield
Virtual
Etc…
Appliance
МЭ
VPN
Проблема для России: низкий
Балансировщик нагрузки уровень сертификации
… 26

27. Sator Arepo Tenet Opera Rotas
Сетевой трафик для vMotion
Синхронизация памяти по Сети ХД без
шифрования
Должна использоваться защищенная сеть, но:
Любой ввод/вывод (LAN,RAM, HDD)
чувствителен к угрозам типа Man in The Middle
… 27

28. Sator Arepo Tenet Opera Rotas
ПРИМЕР ОБХОДА CAPTCHA В СТИЛЕ
MAN IN THE MIDDLE
… 28

29. Sator Arepo Tenet Opera Rotas
Koobface
Пример сложного
социального
зловреда,
использующего
технику MitM
… 29

30. Sator Arepo Tenet Opera Rotas
CAPTCHA передается на
зараженную машину и
пользователь превращает ее в
текст
… 30

31. Sator Arepo Tenet Opera Rotas
Защита от атак «Man in the Middle»
Сервер виртуализации
Перед вводом в
эксплуатацию все
самоподписанные SSL
сертификаты
необходимо заменить Man in The
Middle
на доверенные
сертификаты 3-х
сторон
Гипервизор
…

32. Sator Arepo Tenet Opera Rotas
Гипервизор и спящие (выключенные) ВМ
Сервер виртуализации
Гипервизор может читать
и изменять данные ВМ,
когда они не работают
OFF
У проснувшейся ВМ
устареют настройки
безопасности Гипервизор
… 32

33. Sator Arepo Tenet Opera Rotas
Аппаратные средства защиты в
виртуальной среде
Могут не работать в ВС
• Традиционные средства доверенной загрузки.
• Во многих случаях аппаратное средство
нельзя «пробросить» в виртуальную машину
… 33

34. Sator Arepo Tenet Opera Rotas
Используйте стандартный образ ВМ с
максимальными настройками ИБ
Заблокированный
App
стандартный образ
ВМ позволит
избежать ошибок OS
настройки ИБ
…

35. Sator Arepo Tenet Opera Rotas
Изолированные (Out of Band) сети для
управления виртуальной инфраструктурой
Все управление ВИ должно осуществляться в
изолированной OOB сети
ВМ по умолчанию не должны иметь к ней доступ
ВМ могут иметь доступ к OOB сети только через
средства ИБ (МЭ, VPN, IPS, ...)
Используйте технологии NAC или VPN для
контроля ролевого доступа, аудита и
шифрования трафика в/из сети управления
…

36. Sator Arepo Tenet Opera Rotas
Сегментация системы хранения данных
СХД гипервизора должна быть отделена от СХД, к
которой имеют доступ ВМ (особенно для NFS)
Разделение СХД между гипервизором и ВМ
разрушает концепцию изоляции трафика
Отделите трафик СХД (iSCSI, NFS…) от
промышленного (production) трафика
Включите двунаправленную аутентификацию
CHAP для iSCSI
Используйте SAN Zoning и LUN Masking
…

37. Sator Arepo Tenet Opera Rotas
Лучшие практики ИБ для виртуальных сред
PCI DSS 2.0
CIS VMware ESX Server Benchmarks
VMware Security Hardening Best Practices
Hyper-V Security Guide
В каждом документе более 100 страниц настроек параметров
безопасности
… 37

38. Sator Arepo Tenet Opera Rotas
Лучшие практики ИБ для виртуальных сред
В каждом документе более 100
страниц настроек параметров
безопасности
… 38

39. Sator Arepo Tenet Opera Rotas
Hypervisor Rootkit Detection
HookSafe (Microsoft и NC State)
Hypersight Rootkit Detector
Intel Trusted Boot
…

40. Sator Arepo Tenet Opera Rotas
Применение лучших практик
Ручная настройка VMware или Hyper-V
•или
автоматизация с vGate for VMware: поставляется с шаблонами
настройки для соответствия лучшим практикам ИБ
Как узнать
правильность
моих настроек?
Hyper-V Best Practices Analyzer for
Windows Server 2008 R2 … 40

41. Sator Arepo Tenet Opera Rotas
Безопасность для VMware
Требования Продукты VMware Продукты партнеров
Управление VMware vCenter Server • EMC Ionix for Virtualization
конфигурациями, VMware vSphere Host Profiles • NetIQ Secure Configuration Manager
мониторинг, аудит VMware vCenter ConfigControl • Tripwire Enterprise for VMware
(future) • vGate for VMware (Код Безопасности)
Управление VMware vCenter Orchestrator
процессами VMware vCenter Lifecycle
Manager
Обновление VMware Update Manager • Shavlik NetChk Protect
выключенных ВМ
Безопасность VMware vShield Zones • Cisco
виртуальных сетей vNetwork Distributed Switch • Checkpoint
• Reflex
• Trend Micro
• vGate for VMware (Код Безопасности)
…

42. Sator Arepo Tenet Opera Rotas
Некоторые решения для VMware
http://www.networkworld.com/reviews/2011/030711-virtualization-security-test.html … 42

43. Sator Arepo Tenet Opera Rotas
Безопасность Microsoft Hyper-V R2
Входит в Windows Одна выявленная
2008 Server OS уязвимость за 2 года
Нет API для на рынке
мониторинга трафика Поддерживает защиту
в гипервизоре от подмены (спуфинг)
Нет API для сторонних MAC адресов в
средств ИБ (МЭ, IPS…) виртуальном
В гипервизоре нет коммутаторе
методов для Надежная технология
определения rootkits обновлений
Hyper-V security Guide
…

44. Sator Arepo Tenet Opera Rotas
Инструменты 5nine Virtual Firewall
2.0 for Hyper-V
Защита от
внешних угроз:
сетевых атак,
вредоносного Контроль ИБ
VMware vShield: ПО, уязвимостей трафика для
Firewall, Средства ИБ в VMware, требует
зоны составе платформы vShield
безопасности виртуализации
балансировка
нагрузки, API Защита среды
гипервизора от
НСД, контроль Контроль настроек ИБ,
ролей и настроек
целостности и прав
доступа для VMware
…

45. Sator Arepo Tenet Opera Rotas
Вывод:
… 45

46. Sator Arepo Tenet Opera Rotas
VMware vShield – базовые возможности ИБ
Ясное Сетевой администратор
разделение
Администратор ИБ Политики
ответствен-
ности
Администратор ВИ
Простая
настройка
vShield
… 46

47. Sator Arepo Tenet Opera Rotas
Trend Micro Deep Security for VMware
vNIC vNIC vNIC vNIC
vSwitch
• Специальная гостевая виртуальная машина на гипервизоре
• Защищает все VM снаружи, без изменения VM
• FW, IDS/IPS и антивирусное сканирование на уровне гипервизора
… 47

48. Sator Arepo Tenet Opera Rotas
Безопасность виртуальной инфраструктуры в облаках
ОБЛАКА И БЕЗОПАСНОСТЬ
… 48

49. Sator Arepo Tenet Opera Rotas
Влияние виртуализации на ИБ ЦОД
Абстракция и консолидация Слияние коммутаторов и серверов
• ↑ Экономия CapEx и OpEx • ↑ Гибкость
• ↓ Новый слой • ↑ Экономия затрат
инфраструктуры • ↓ Прозрачность сетевого
• ↓ Риски атак и ошибок трафика
конфигурации • ↓ По умолчанию нет
разделения ответственности …

50. Sator Arepo Tenet Opera Rotas
Влияние виртуализации на ИБ ЦОД
Быстрее внедрение Мобильность ВМ Инкапсуляция ВМ
• ↑ Реакция ДИТ • ↑ Рост качества • ↑ Проще внедрение
• ↓ Тяжелее обслуживания и управление
планировать • ↓ ID не привязана к • ↑ Не зависит от
• ↓ Тяжело оценить
текущее состояние
расположению оборудования
• ↓ Плохо описанные • ↓ Устаревание
процессы настроек
• ↓ Ошибки настройки выключенных ВМ
• ↓ Выше риск кражи!
…

51. Sator Arepo Tenet Opera Rotas
Cloud Security Alliance – лучшие практики
ИБ для критически важных элементов
облачных вычислений
… 51
http://www.cloudsecurityalliance.org/

52. Sator Arepo Tenet Opera Rotas
Консолидация = централизация рисков
• «В облачной среде наименьший общий
знаменатель безопасности будет
разделен со всеми арендаторами
виртуального ЦОД.»
http://www.cloudsecurityalliance.org/csaguide.pdf
… 52

53. Sator Arepo Tenet Opera Rotas
Ключевые угрозы в облаке v1.0
Угроза #1: злоупотребление концепцией
Угроза #2: небезопасные интерфейсы и APIs
Угроза #3: вредоносные инсайдеры
Угроза #4: общее использование старых технологий
Угроза #5: утечки и потери данных
Угроза #6: взлом учетных записей и сервисов
Угроза #7: неизвестные характеристики рисков
Top Threats to Cloud Computing
… 53

54. Sator Arepo Tenet Opera Rotas
Hardware Root of Trust
Совместное предприятие Intel, RSA, RSA Archer
Tech и VMware
Проверка безопасности ВИ от чипов до
гипервизоров
…

55. Sator Arepo Tenet Opera Rotas
Intel TXT
Trusted Execution Technology (TXT) - Intel TXT для
защиты от атак на гипервизоры, BIOS и другой
firmware
 Разрешает миграцию ВМ только на доверенные
хосты
 При использовании совместно с Intel® Virtualization
Technology (VT), дает возможность строить цепи
доверенных отношений в ВИ
…

56. Sator Arepo Tenet Opera Rotas
Trusted Platform Module (TPM)
Элемент оборудования в основе цепи доверия
для проверки загрузки
Проверяет целостность ядра гипервизора и
загружаемых модулей при старте с диска или из
памяти
…

57. Sator Arepo Tenet Opera Rotas
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ
РЕГУЛЯТОРОВ
… 57

58. Sator Arepo Tenet Opera Rotas
Регулирование и виртуализация
PCI DSS
152ФЗ
ЦБ РФ: СТО БР ИББС
… 58

59. Sator Arepo Tenet Opera Rotas
Категории ПДн и классы ИСПДн
В зависимости от объема одновременно обрабатываемых ПДн
3 2 1
Кате-
Описание категории менее чем 1000 субъектов от 1000 до 100 000 более чем 100 000
гория ПДн или ПДн субъектов субъектов ПДн или субъектов ПДн или
ПДн
ПДн ПДн в пределах ПДн субъектов ПДн ПДн субъектов ПДн в
конкретной организации пределах субъекта РФ
или РФ в целом
Обезличенные и (или)
4 общедоступные ПДн К4 К4 К4
ПДн, позволяющие
3 идентифицировать субъекта ПДн К3 К3 К2
ПДн, позволяющие
идентифицировать субъекта ПДн и
получить о нем дополнительную
2 информацию, за исключением К3 К2 К1
персональных данных,
относящихся к категории 1
ПДн, касающиеся расовой,
национальной принадлежности,
политических взглядов,
1 религиозных и философских К1 К1 К1
убеждений, состояния здоровья,
интимной жизни …

60. Sator Arepo Tenet Opera Rotas
Требования к наличию
сертифицированных подсистем в СЗПДн
Управление Межсетевое Регистрация и
доступом экранирование учет
Обеспечение Антивирусная Обнаружение
целостности защита вторжений
Анализа
Шифрование
защищенности
…

61. Sator Arepo Tenet Opera Rotas
152ФЗ и VMware – как быть с ПДн?
Ответственность с 1 июля 2011 г.
VMware vSphere 4.1 в vSphere 4.х + vGate
составе:  Сертификат ФСТЭК для
 ESX 4.0 Update 1 и VMware использования в ИСПДн до
vCenter Server 4.0 Update 1 К1 включительно
Сертификат ФСТЭК для
использования в ИСПДн до
К2 включительно
…

62. Sator Arepo Tenet Opera Rotas
Сертификаты vGate for VMware Infrastructure
vGate 2
vGate 1.0 и 2
(в процессе)
ФСТЭК СВТ 5 и НДВ 4 ФСТЭК НДВ 2
• для АС до 1Г включительно • для АС до 1Б включительно
• ИСПДн до К1 включительно • ИСПДн до К1 включительно
… 62

63. Sator Arepo Tenet Opera Rotas
Технологии ИБ vGate для ВС VMware
Управление Управление Защита данных на
Аудиторский след Производительность
конфигурациями доступом СХД и при передаче
СХД
Шифрование
и защита
Настройки ИБ данных
гипервизора Защита от Интеграция
Безопасность
для защиты от пользова- средств ВИ с
vs.
НСД телей и SNMP или
Производи-
админи- WMI уведо-
Контроль Защита от тельность
страторов млениями
целостности атак на
файлы ВМ и
сетевого
трафика
TM, VMW TM, …
VMW
63

64. Sator Arepo Tenet Opera Rotas
152ФЗ и Hyper-V– как быть с ПДн?
Операционная система Для К1 необходимы
Microsoft Windows Server наложенные средства
2008 R2 в редакциях  Например, от Код Безопасности
Standard, Enterprise и
Datacenter
 по 5 классу СВТ
• 1Г
• ИСПДн до 2 класса
включительно
http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
…

65. Sator Arepo Tenet Opera Rotas
Сертифицированные наложенные средства защиты от «Код
Безопасности» для использования Windows Server в ИСПДн К1
TrustAccess: Соболь (АО):
• Межсетевой экран • Обеспечение
целостности
• Регистрация и учет
ПДн Security Studio Endpoint
Protection
• Управление доступом
• Антивирус
SecretNet (ПО): • Обнаружение вторжений
• Мандатный доступ
• Обеспечение Или бандл: Trust Access +
целостности
Security Studio Suite
…

66. Sator Arepo Tenet Opera Rotas
PCI-DSS: штрафы до $500,000
… 66

67. Sator Arepo Tenet Opera Rotas
Соответствие требованиям PCI DSS 2.0
vSphere Hyper-V
В ручную В ручную
vGate for VMware
… 67

68. Sator Arepo Tenet Opera Rotas
PCI DSS 2.0: требования к виртуальной среде
ВМ рассматривается как физический сервер
Одна ключевая функция на ВМ
Запрещено давать сотрудникам доступ к гипервизору
Минимально необходимый уровень прав доступа
•Например администратор ВМ не может назначить ей другой vSwitch
Разделение функций и сетей с разными уровнями безопасности
•На vSwitch нельзя использовать VLANs с 802.1Q, если у них разные функции
или уровни безопасности (п. 2.2.1). Добавьте vSwitch для изоляции трафика
Нельзя совмещать тестовые и производственные среды
… 68

69. Sator Arepo Tenet Opera Rotas
vGate и PCI DSS
vGate поставляется с
шаблонами настройки
VMware для
соответствия PCI DSS
… 69

70. Sator Arepo Tenet Opera Rotas
www.sanctummovie.com
…

71. Sator Arepo Tenet Opera Rotas
Дополнительная информация
Подробнее о vGate:
 http://www.securitycode.ru/products/sn_vmware/
vGate Compliance Checker for VMware (free)
 http://www.securitycode.ru/products/sn_vmware/vgtate_checker/
Hyper-V Security Guide
 http://bit.ly/dsrnXc
Security Best Practices for Hyper-V and Server Virtualization
 http://bit.ly/hq6chE
Virtualization Security Overview by Cisco
 http://isaca-ut.org/documents/speakers/2010/Virtualization
Security Overview.pptx
… 71

72. Sator Arepo Tenet Opera Rotas
Персональные данные в виртуальной
инфраструктуре
Ситуация Последствия Решение
Для ИСПДн К1
необходимо vSphere и HyperV в Включить
использовать России не могут специалистов ИБ в
сертифицированные использоваться в проекты
ФСТЭК средства, ИСПДн К1 виртуализации
включая НДВ
В виртуальной среде Использовать
Виртуализация можно украсть весь наложенные
несет новые риски бизнес средства ИБ
ИБ
… 72

73. Sator Arepo Tenet Opera Rotas
СПАСИБО ЗА ВНИМАНИЕ!
ВОПРОСЫ?
…