Юлия Смирнова, специалист по защите виртуальных сред компании «Код Безопасности»

Применение средств виртуализации значительно повышает экономическую эффективность центра обработки данных (ЦОД) за счет консолидации ресурсов. Именно поэтому в последнее время появляется все больше ЦОД, построенных с использованием технологий виртуализации.

Обеспечение безопасности данных клиентов, обрабатываемых в виртуализированных ЦОД — важная и непростая задача. Ведь помимо обычных угроз безопасности данных в ЦОД добавляются еще и специфичные угрозы, присущие виртуальной среде.

Поскольку коммерческие ЦОД находятся вне IT-инфраструктуры предприятия, то клиентам гораздо труднее поддерживать целостность и конфиденциальность данных, а также следить за соответствием нормативным требованиям, чем при нахождении вычислительных ресурсов на территории собственной организации.

Неэффективность традиционных средств защиты в виртуальной среде

Основная проблема обеспечения безопасности виртуальной среды связана с тем, что традиционные средства защиты информации не способны обеспечить защиту от новых угроз безопасности информации, специфичных для виртуальной инфраструктуры. Кроме того, привычные решения не всегда совместимы со средой виртуализации, так как изначально разрабатывались для использования в физической среде.

Новый продукт vGate компании «Код безопасности», разработанный специально для защиты виртуальных сред, обеспечивает полноценную защиту гипервизора и средств управления виртуальной инфраструктурой от утечки информации по каналам, специфичным для виртуальной среды. Политики безопасности vGate, контролируя критически важные параметры серверов виртуализации и виртуальных машин, обеспечивают контроль доступа, контроль целостности и доверенную загрузку ВМ, контроль монтирования устройств и т. д.

Проблема «суперпользователя» и ее решение

В виртуализированных ЦОД можно выделить новый слой привилегированных пользователей — администраторы виртуальной инфраструктуры. Из-за широких полномочий таких «суперпользователей» важно контролировать их действия и ограничивать полномочия.

В vGate реализовано разделение ролей пользователей: управление виртуальной инфраструктурой закреплено за администраторами виртуальной инфраструктуры, а управление безопасностью — за администратором безопасности. Полномочия каждого администратора виртуальной инфраструктуры ограничены в соответствии с его задачами администратором безопасности, а для администратора безопасности ограничен доступ к виртуальной инфраструктуре.

Проблема совместного хранения ресурсов разных клиентов

Важной особенностью виртуализации является возможность совместного хранения ресурсов разных клиентов: ВМ разных клиентов могут выполняться на одном сервере виртуализации, а их диски — находиться в одном хранилище. Совместное хранение ресурсов разных клиентов — источник ряда проблем, таких как потенциальный ущерб для соседей в случае компрометации ресурсов (ВМ) хотя бы одного клиента или возможность доступа к ресурсам соседа со стороны пользователей клиента. Очевидно, что эти проблемы решит разграничение ресурсов разных клиентов, но в силу специфики виртуализации это не всегда просто.

Для разделения ресурсов разных клиентов в vGate реализовано мандатное управление доступом на основе меток безопасности. Пометив ресурсы разных клиентов метками разных цветов, можно гарантировать логическое отделение ресурсов одних клиентов от ресурсов других. И хотя физически эти ресурсы могут находиться на одном сервере или в одном хранилище, такое логическое разделение гарантирует то, что ресурсы одной организации или ее сотрудники не получат доступа к ресурсам другой.

С помощью меток безопасности можно также разграничить доступ администраторов к ресурсам клиентов: администратор без нужной метки не сможет получить доступ к этим ресурсам и выполнить какие-либо действия с ними.

Нормативное соответствие и отчетность

Для ряда клиентов также немаловажной является задача обеспечения соответствия требованиям отраслевых стандартов (например, PCI DSS) или требованиям ФЗ-152 «О персональных данных».

vGate позволяет обеспечить соответствие отраслевым стандартам безопасности (например, PCI DSS) и лучшим мировым практикам (VMware Security Hardening Best Practice, CIS VMware ESX Server 3.5 Benchmark). Кроме того, на данный момент vGate —единственный продукт, имеющий сертификат ФСТЭК для защиты ИСПДн до класса К1 включительно.

vGate позволяет подготовить отчеты о состоянии настроек безопасности, соответствии политик безопасности отраслевым стандартам и др.

Заключение

С помощью vGate владельцы коммерческих ЦОД могут обеспечить оптимальную защиту данных клиентов и выполнить нормативные требования даже в условиях виртуальной среды, где традиционные средства защиты информации малоэффективны. vGate обеспечивает сертифицированную защиту данных от специфичных угроз виртуальной среды, разделение ресурсов разных клиентов, управление доступом администраторов к серверам виртуализации и ВМ и т. д.

Перейти на главную страницу обзора