Презентация с Форума ИБ Директоров 16 апреля 2012г....

1

Обеспечение информационной безопасности инфраструктуры виртуализации на базе VMware vSphere

Федотенко Максим Геннадьевич, ведущий специалист Управления информационной безопасности ООО “ЛУКОЙЛ-ИНФОРМ”

16 апреля 2012г.

2

Содержание

ООО “ЛУКОЙЛ-ИНФОРМ”

1. Цели использования виртуализации и ВИ

2. Инфраструктура виртуализации

3. Защита ландшафта ВИ

4. Виртуальные АРМ и антивирусная защита

5. Заключение

3

Цели использования виртуализации







4



Сокращение затрат на серверную инфраструктуру

Быстрое выделение серверов под срочные задачи

Более легкое построение отказоустойчивых конфигураций систем

(непрерывность бизнеса)

Быстрый процесс восстановления после сбоев

Гибкость серверной инфраструктуры

Более эффективное использование аппаратных ресурсов

Снижение потребляемой электроэнергии (проектируемой мощности

часто не хватает)

…

Цели:

1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение

5



Сокращение инвестиционных затрат

Сокращение операционных затрат

Стратегическим выгодам по услугам для клиентов – компаний Группы

IDC. White Paper “От виртуализации серверов к виртуализации инфраструктуры бизнеса”, 2009


6

Инфраструктура виртуализации







7



Серверная виртуализация

VMware vSphere

Gartner. White Paper “Magic Quadrant for x86 Server Virtualization Infrastructure”, 2011

Облако

SaaS

Платформа для облачных вычислений


8



Cloud Software as a Service

NIST. SP 800-146. Cloud Computing Synopsis and Recommendations. Раздел 5.4.3

Услуги

Электронная почта

Антивирусная защита и защита от спама Продажа и дистрибуция (Сбыт)

Планирование производства

Бухгалтерский учет (Финансы)

Управление персоналом

Документооборот

Управление проектами

Услуги Удостоверяющего центра


9



Cloud Software as a Service

NIST. SP 800-146. Cloud Computing Synopsis and Recommendations. Раздел 5.4.3

Услуги

Электронная почта

Антивирусная защита и защита от спама Продажа и дистрибуция (Сбыт)

Планирование производства

Бухгалтерский учет (Финансы)

Управление персоналом

Документооборот

Управление проектами

Услуги Удостоверяющего центра

Каталог услуг

SLA

ITSM/ITIL


10



На данный момент:

1. Используется VMware vSphere 4.1

2. Около 50 ESXi в 3 распределенных ЦОД

3. Около 2 000 виртуальных машин

4. Сетевые интерфейсы 10 Гбит/с

Планируется:

1. Переход на vSphere 5.0

2. До 100 ESXi

3. Увеличение кол-ва ВМ

4. Гетерогенные сети – все по IP

HP Proliant BL460c, BL 620c, BL 680c

Процессоры: 2x6, 4x6, 2x10 ядер

ОЗУ: 128, 192, 256 Гб

Доступ к хранилищам данных Пример: FCoIP, NFS


11

Инфраструктура виртуализации. ИБ



Разработан и внедрен стандарт ИБ ВИ VMware vSphere 4

Планируется:

1. Разработка и внедрение системы защиты ВИ VMware vSphere

2. Разработка стандарта ИБ ВИ VMware vSphere 5

3. Разработка стандарта ИБ инфраструктуры виртуальных АРМ на

базе VMware VIEW

4. Разработка системы защиты системы виртуальных АРМ

История:

Разработан и внедрен стандарт ИБ ВИ VMware Virtual Infrastructure 3

Существенная переработка стандарта

2009г.

2011г. 2012г.


12

Инфраструктура виртуализации. ИБ


Все угрозы, присущие физической инфраструктуре, есть и в виртуальной

Многие защитные механизмы из физической инфраструктуры могут быть

перенесены в виртуальную

Появляются новые защитные механизмы, реализованные более удобно, чем в

физической инфраструктуре

Виртуализация позволяет получить больший контроль на серверами и АРМами

Основная мысль:

Не следует бояться виртуализации

Угрозы и меры по защите:

Но:

Нужно защищать новый слой ПО – слой

виртуализации (VMware vSphere)

В основном достаточно защитных механизмов

VMware vSphere и организационных мер

Наш взгляд:

Стандарт на ИБ инфраструктуры

виртуализации VMware vShere


13

Защита ВИ





Сетевая архитектура



Защита ВИ. Сетевая архитектура физического мира

Cisco SAFE

1 модуль – несколько физических серверов

Стандарт на сетевую инфраструктуру

Модули: ЦОД, Интранет ДМЗ, Интернет ДМЗ, Управления, ЛВС и т.д.

14



Защита ВИ. Сетевая архитектура физического и виртуального мира


15

Сеть управления виртуальной инфраструктурой

Сеть доступа к хранилищам данных

Сети внутреннего взаимодействия виртуальной инфраструктуры

Сети гостевых виртуальных машин


Защита ВИ. Сетевая архитектура VI 3. Гостевые сети

1 набор ESXi – 1 сетевой модуль

16



Защита ВИ. Сетевая архитектура VI 3. Гостевые сети

1 набор ESXi – 1 сетевой модуль

Экономически не выгодно

17


Существуют теоретические атаки на гипервизор из виртуальной машины

Слишком много аппаратных серверов


Защита ВИ. Сетевая архитектура vSphere 4. Гостевые сети

1 набор ESXi – ЦОД, Интранет ДМЗ

18


1 набор ESXi – Интернет ДМЗ

Компромисс ИБ – ИТ




19

Сети приложений Сети организаций

Сети приложений Сети организаций

Взаимодействие между ВМ разных VLAN-ов – через физический МЭ

Высокая нагрузка на аппаратный МЭ

(более 1 400 правил)




20

Взаимодействие между ВМ разных модулей – через физический МЭ




21

Виртуальный МЭ

Взаимодействие между

ВМ одного модуля – через

виртуальный МЭ





22

Виртуальный МЭ

Взаимодействие между

ВМ одного модуля – через

виртуальный МЭ


Уменьшение нагрузки на аппаратный МЭ

Технология VMware VMSafe API


Защита ВИ. Сетевая архитектура vSphere 5. Гостевые сети. Программные продукты

23

Межсетевые экраны

CheckPoint VE


VMware vShield App

HP vFW + vMC (Reflex OEM)

IBM Proventia Virtual Server Protection for VMware

Cisco VSG

Использует VMsafe Маршрутизатор ~ физический МЭ

Hypervisor Mode CheckPoint VE Network Mode

Использует vPath

StoneGate Virtual Firewall

Технология Cisco Nexus 1000V

Технология VMware

Конкурс продуктов защиты виртуальных инфраструктур

http://www.virtualizationsecuritygroup.ru/news/zavershenie-pervogo-jetapa-konkursa-produktov.html


Защита ВИ. Сетевая архитектура vSphere 5. Гостевые сети. Программные продукты

24

Межсетевые экраны

CheckPoint VE


VMware vShield App

HP vFW + vMC (Reflex OEM)

IBM Proventia Virtual Server Protection for VMware

Cisco VSG

Использует VMsafe Маршрутизатор ~ физический МЭ

Hypervisor Mode CheckPoint VE Network Mode

Использует vPath

StoneGate Virtual Firewall

Технология Cisco Nexus 1000V

Технология VMware



• Интерфейс администрирования ~ физическому МЭ

• Разделение ответственности • Поддержка технологий VMware

– vMotion, HA … с VMsafe API


Защита ВИ. Сетевая архитектура vSphere. Разделение ответственности

25

Необходимо разделение ответственности между администраторами ВИ, сетевыми администраторами, администраторами средств защиты

Vmware vNetwork dSwitch

Администраторы аппаратного обеспечения

Cisco Nexus 1000V Series Дополнительно: Защита от атак типа ARP-spoofing Технология Encapsulated Remote SPAN (ERSPAN)


Требование:

Понятный сетевому инженеру интерфейс администрирования

Сетевые администраторы

Администраторы межсетевого

экранирования

Администраторы ВИ

Понятный администратору межсетевого экрана интерфейс

Межсетевой

экран


Защита ВИ. Сетевая архитектура vSphere 4 и 5. Качество обслуживания (QoS)

26


QoS VMware vDS Cisco Nexus 1000V



27


VMware vDS Технология

Network I/O Control

Технология Traffic Shaping

Shares и Limits на типы трафика

Average Bandwidth, Peak Bandwidth и Burst Size для группы портов или на физических адаптерах

Не осуществляет маркировку пакетов и приоритезацию трафика по его маркировке



28


Cisco Nexus 1000V Классификация и

маркировка пакетов

Новые для сети организации виды трафика

vEth

Сеть Значения

маркировки DSCP CoS

Сеть vMotion 18 2 Сеть vFT 18 2 Сеть

vManagement 48 6

Сеть vStorage 24 4

Трафик гостевых машин маркируется по принятым в организации правилам

Eth

Гарантированная пропускная способность

для типов трафика

Сеть Абсолютное

значение (10Гбит/с) Относительное

значение, %

Сеть vMotion 1 Гбит/c 10 Сеть vFT 1 Гбит/c 10 Сеть vManagement 100 Мбит/c 1 Сеть

vStorage NFS 2 Гбит/c 20 iSCSI 2 Гбит/c 20

Сеть vGuest 3.9 Гбит/с 39

Гарантированные пропускные способности для трафика ВМ

Остаток пропускной способности для сети vGuest

<=


Защита ВИ. Сетевая архитектура vSphere. Разное


29

Каждая ВМ должна быть подключена только к

одному виртуальному коммутатору (не должна

быть шлюзами между сетями)

Port security

DHCP Snooping для защиты от

подмены DHCP-сервера

ARP Inspection для защиты от ARP

Spoofing

IP Source Guard (Edge Port) для

защиты от атак IP Spoofing

Для защиты ВМ, использующих статические IP- адреса

Для защиты ВМ, получающих IP-адреса при помощи DHCP


30

Защита ВИ





Системы хранения данных



Storage Area Network (Fiber Channel)

Защита ВИ. СХД. SAN


31

Зоны должны образовываться исходя из

принципа “один инициатор (HBA) – несколько

устройств хранения (targets)”

Зонирование необходимо осуществлять с

использованием портов оптических

коммутаторов, а не по World-Wide-Name (WWN)




32

Физические сервера не должны

иметь доступ к устройствам

хранения, которые выделены для ВИ





33

Физические сервера не должны

иметь доступ к устройствам

хранения, которые выделены для ВИ



Защита ВИ. СХД. NAS и NFS


34

Network Attached Storage (iSCSI) и Network File System (NFS)

Разграничение доступа

при помощи VLAN

Разграничение доступа по IP-

адресам к точкам монтирования


35

Защита ВИ





ESXi


5. Заключение VMware vSphere 4.1

Security Hardening Guide

36

Защита ВИ





Виртуальные машины



Защита ВИ. ВМ

37

Требования к виртуальным машинам (пример):

Изоляция гостевой ОС. Отключение возможности изменения конфигурационных файлов vmx из гостевой ОС


В файлах vmx ВМ должна содержаться следующая запись:

isolation.tools.setinfo.disable = true

Одна из мер по защите гипервизора от ВМ


Защита ВИ. ВМ

38

Требования к виртуальным машинам (пример):

Изоляция гостевых машин друг от друга. Отключение возможности взаимодействия ВМ между собой по протоколу VMCI (по-умолчанию отключена)


В файлах vmx ВМ должна содержаться следующая запись:

vmci0.unrestricted = FALSE

Одна из мер по защите несетевого взаимодействия между ВМ

В VMware vSphere появляются новые интерфейсы взаимодействия между ВМ, например, VMCI (~ PCI)


39

Защита ВИ





Контроль за администраторами ВИ



Защита ВИ. Контроль администраторов ВИ

40

Требования:

Недопущение доступа администратора ВИ к данным ВМ (без физического доступа к дискам)

Способы доступаВозможность

блокирования vGate

Администратор скачивает диск ВМ на свой АРМ +

Администратор подсоединяет (mount) VMDK файл к консоли ESX.

Необходим доступ к локальной консоли или через SSH+

Администратор использует утилиты, работающие через VIX API.

Например, VMware Guest Console+

Администратор заходит внутрь ВМ используя удаленный доступ.

Например, RDP

Администратор ВИ

должен быть

авторизован внутри ВМ


Файлы vmx ВМ должны содержать следующую запись:

guest.command.enabled=FALSE

Администратор ВИ всегда может поменять данный параметр



41



















Security Code vGate for VMware Infrastructure



42



















Или просто использование SIEM и настройка оповещений по событиям ?

+

+

+


43

Защита ВИ





Требования по защите ПДн и меры по их

выполнению



Защита ВИ. ПДн. Вопросы

44

Где границы ИСПДн?

Как выполнить требования по: 1. Межсетевое экранирование 2. Управлению доступом 3. Регистрации и учету 4. Обеспечению целостности 5. Контроля отсутствия НДВ?

Разный уровень конфиденциальности обрабатываемой информации

Какие существуют сертифицированные продукты для ВИ?



Защита ВИ. ПДн. Межсетевое экранирование

Требования ФСТЭК к МЭ. Приказ №58

Между

подсистемами

распределенной

ИСПДн

Класс 2,3 Класс 3 Класс 2

2.4 2.4 3.4

Класс 4

Функционал Средство 2.3

Фильтрация на сетевом уровне для каждого сетевого

пакета независимо (решение о фильтрации принимается

на основе сетевых адресов отправителя и получателя или

на основе других эквивалентных атрибутов)

2.2.1 5 класс

Фильтрация пакетов служебных протоколов, служащих для

диагностики и управления работой сетевых устройств2.3.1 4 класс

Фильтрация с учетом входного и выходного сетевого

интерфейса как средства проверки подлинности сетевых

адресов

2.3.1 4 класс

Фильтрация с учетом любых значимых полей сетевых

пакетов2.3.1 4 класс

Регистрация

Регистрация и учет фильтруемых пакетов (в параметры

регистрации включаются адрес, время и результат

фильтрации)

2.3.2 4 класс

Администрирование:

идентификация и

аутентификация

Идентификация и аутентификация администратора МЭ при

его локальных запросах на доступ по идентификатору

(коду) и паролю

2.2.2 5 класс

Регистрация входа (выхода) администратора МЭ в систему

(из системы) либо загрузки и инициализации системы и ее

программного останова

2.2.3 5 класс

Регистрация запуска программ и процессов (заданий,

задач)2.3.4 4 класс

ЦелостностьКонтроль целостности программной и информационной

части МЭ2.2.4 5 класс

ВосстановлениеВосстановление свойств МЭ после сбоев и отказов

оборудования2.2.5 5 класс

Реализации правил фильтрации 2.2.6 5 класс

Процесса регистрации 2.3.7 4 класс

Процесса идентификации и аутентификации

администратора МЭ2.2.6 5 класс

Процесса регистрации действий администратора МЭ 2.2.6 5 класс

Процесса контроля за целостностью программной и

информационной части2.2.6 5 класс

Процедуры восстановления 2.2.6 5 класс

Регламентное

тестирование

5 класс

5 класс

5 класс

5 класс

5 класс

5 класс

5 классАдминистрирование:

регистрация

5 класс

СВТ. МЭ. Защита

от НСД.

Показатели

защищенности

от НСД

2.2

2.3.1

Управление

доступом

(фильтрация данных

и трансляция

адресов)

Класс МЭ

4 класс

Класс 4

(Класс 5 + 1 требование)

5 класс

ФСТЭК. Приказ от 05 февраля 2010г. Положение о методах и способах ЗИ в ИСПДн. Приложение

Взаимодействие

Класс ИСПДн

Между ИСПДн и сетями

международного

информационного обмена

5 класс

Взаимодействие

Между подсистемами распределенной ИСПДн

Между ИСПДн и Internet

ИСПДн класс 2 ИСПДн класс 3 ИСПДн класс 2

МЭ класс 5 + требование фильтрации служебных

протоколов

МЭ класс 4

РД ФСТЭК. СВТ. МЭ. Защита от НСД. Показатели защищенности от НСД

МЭ класс 2 Сертификация МЭ

Привязка не к IP-адресу,

а к контексту ВМ

45


?


Защита ВИ. ПДн. Сертификация ФСТЭК

46

Требования по управлению доступом, регистрации и учету и обеспечению целостности

Сертифицированные СЗИ

Security Code vGate for VMware Infrastructure

Сертификат СВТ 5

Использование в ИСПДн до 2 класса

Сертифицированная версия VMware vSphere

Использование в ИСПДн до 1 класса

Сертификат на версию 4.0 ESX и vCenter Производство

• Необходимо обновлять ВИ VMware (для ESXi и версия 4.1 не сертифицированы)

• Установка дополнительного ПО, меняющего бинарные модули, - потеря сертификата


Уже вышла версия 5.0


Защита ВИ. ПДн. vGate

47

Класс 2, Класс 3

Многопользовательский

Разные права

2.3

3.3

1Д

Подсистема Методы и способы ЗИАС. Защита от НСД. Классификация

АС и требования по ЗИ. п.2.12

Идентификатор (код)

Пароль >= 6 букв/цифр

Дата и время

Результат попытки входа

(успех/неуспех)

Идентификатор (код или фамилия)

Целостность ПС СЗПДн.

Проверка компонентов СЗПДн при загрузке

ОС

По контрольным суммам +

Контроль целостности файлов и каталогов при:

- загрузке ОС

- входе пользователя в ВИ

Осуществляется модулем защиты ESX

Использование трансляторов с

языков высокого уровня

Отсутсвие средств модификации

объектного кода

Тестирование функций СЗПДн при изменении

программной среды с имитацией НСД - Орг.меры

Средства восстановления СЗПДн

2 копии ПС

Периодическое обновление

Контроль работоспособности+

Восстановление СЗИ при помощи программы

установки

Область применения

Доступ к ВИ.

Аутентификация по протоколу Kerberos

Регистрация событий пользователя при доступе к ВИ.

Регистрируются:

- дата и время

- тип события (вход, запрет входа)

- имя пользователя

- уровень конфиденциальности пользователя

- Орг.мерыОбеспечение

целостности

Целостность программной среды

Класс ИСПДн

Режим обработки

Режим разграничения прав доступа

Класс АС

Регистрация входа/выхода пользователя

или

Регистрация загрузки и инициалицзации ОС

Управление

доступом+

+

vGate 2ФСТЭК. Приказ от 05 февраля 2010г. Положение о методах

и способах ЗИ в ИСПДн. Приложение

Идентификация и проверка подлинности

пользователя

Регистрация

и учет

Выполнение требований vGate к защите ИСПДн классов 2 и 3


Контроль целостности ВМ


48

Виртуальные АРМ и антивирусная защита







49




1. Пилот

2. VMware vSphere 5 + View 5

3. 2 ESXi

4. Около 50 виртуальных АРМ




50

Пользователь

Сервер

туннелирования

Брокер

соединений

Виртуальный

АРМ


Виртуальные АРМ и антивирусная защита. Антивирусы для ВИ

51




Не нужно путать:

Антивирус для виртуальных инфраструктур

Облачный антивирус

Безагентная технология

защиты ВМ в инфраструктуре

виртуализации

Агент, использующий

облачные сервисы (обычно в

Интернете)

Endpoint Protection

Deep Security



52


Endpoint Protection

Deep Security

Агент на ВМ Антивирусное сканирование в зависимости

от загрузки ESXi

Агент на ВМ не используется

Используется технология

VMware vShield EndPoint

Kaspersky Security для

виртуальных сред

Появился только в 2012г.



53


Endpoint Protection

Deep Security

Агент на ВМ Антивирусное сканирование в зависимости

от загрузки ESXi

Агент на ВМ не используется

Используется технология

VMware vShield EndPoint

Kaspersky Security для

виртуальных сред

Появился только в 2012г.

Дополнительно (без агента):

Local Firewall

HIPS

Virtual Patching



54


Агент Агент Агент

Deep Security Manager

vSphere ESXi



55


vSphere ESXi

vShield Endpoint

Deep Security

Virtual Appliance

Deep Security Manager



56


1 Доступ между виртуальными АРМ-ами

(например, разделяемые ресурсы) Deep Security Firewall

2 Включение ВМ без антивируса Deep Security Security

Profiles и Tasks

3 Долгая установка патчей безопасности

на ВМ

5 Защита ВМ при осуществлении check-in

(выгрузка ВМ из VI на ноутбук)

4 IPS/IDS не во всех сегментах сети

Deep Security Virtual

Patching

Deep Security Deep Packet

Inspection (IDS/IPS)

Deep Security Agent

Можно ли

автоматизировать?


Виртуальные АРМ и антивирусная защита. SIEM

57


enVision

57

ESM

Поддержка ESXi (Syslog)

Поддержка vCenter Audit (VMware API)

Поддержка VMware View (ODBC

SQL)

Поддержка CheckPoint VE (OPSEC LEA)

Поддержка TrendMicro Deep

Security (Syslog)


58

Заключение




3. Требования к защищенному ландшафту ВИ

4. Требования защиты ПДн в ВИ и меры по их

выполнению


Что почитать?

59

По защите VMware VI 3.5, но тоже полезно :

1. White Papers VMware “Security Design of the VMware Infrastructure 3 Architecture” “Managing VMware Virtual Center Roles and Permission” “VMware Infrastructure 3. Security Hardening” 2. DISA “ESX Server. Security Technical Implementation Guide” 3. NSA “VMware ESX Server 3 Configuration Guide” 4. The Center for Internet Security “Security Configuration Benchmark For VMware ESX 3.5”



Что почитать?

60

1. VMware Guide: “vSphere Hardening Guide” 2. VMware White Papers: “Securing the Cloud. A review of Cloud Computing, Security Implications and Best Practices” 3. Решения VMware: Межсетевой экран - VMware vShield Zones 4. Решения вендоров: Check Point VE SecureCode vGate HyTrust Reflex VMC … 5. Книги Scott Lowe. Mastering VMware vSphere 4 Scott Lowe, Jason W. McCarty, Matthew K. Johnson VMware vSphere 4 Administration

По защите VMware vSphere:

http://www.virtualizationsecuritygroup.ru/

tematicheskie-dokumentyi.htm



http://www.virtualizationsecuritygroup.ru/tematicheskie-dokumentyi.htm




Облачная ИБ архитектура

61

White Paper “Securing the Cloud. A Review of Cloud Computing, Security Implications and Best Practices”

Cisco SAFE

Архитектурный

справочник



62

СПАСИБО ЗА ВНИМАНИЕ!

тел.: (495) 980-3678 e-mail: [email protected] ICQ: 216-409-786 Skype: mfedotenko

Федотенко Максим Геннадьевич Ведущий специалист Управления информационной безопасности ООО “ЛУКОЙЛ-Информ”

mailto:[email protected]

Презентация с Форума ИБ Директоров 16 апреля 2012г....

Documents