Презентация с Форума ИБ Директоров 16 апреля 2012г....
DESCRIPTION
TRANSCRIPT
1
Обеспечение информационной безопасности инфраструктуры виртуализации на базе VMware vSphere
Федотенко Максим Геннадьевич, ведущий специалист Управления информационной безопасности ООО “ЛУКОЙЛ-ИНФОРМ”
16 апреля 2012г.
2
Содержание
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Защита ландшафта ВИ
4. Виртуальные АРМ и антивирусная защита
5. Заключение
3
Цели использования виртуализации
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Защита ландшафта ВИ
4. Виртуальные АРМ и антивирусная защита
5. Заключение
4
Цели использования виртуализации
ООО “ЛУКОЙЛ-ИНФОРМ”
Сокращение затрат на серверную инфраструктуру
Быстрое выделение серверов под срочные задачи
Более легкое построение отказоустойчивых конфигураций систем
(непрерывность бизнеса)
Быстрый процесс восстановления после сбоев
Гибкость серверной инфраструктуры
Более эффективное использование аппаратных ресурсов
Снижение потребляемой электроэнергии (проектируемой мощности
часто не хватает)
…
Цели:
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
5
Цели использования виртуализации
ООО “ЛУКОЙЛ-ИНФОРМ”
Сокращение инвестиционных затрат
Сокращение операционных затрат
Стратегическим выгодам по услугам для клиентов – компаний Группы
IDC. White Paper “От виртуализации серверов к виртуализации инфраструктуры бизнеса”, 2009
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
6
Инфраструктура виртуализации
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Защита ландшафта ВИ
4. Виртуальные АРМ и антивирусная защита
5. Заключение
7
Инфраструктура виртуализации
ООО “ЛУКОЙЛ-ИНФОРМ”
Серверная виртуализация
VMware vSphere
Gartner. White Paper “Magic Quadrant for x86 Server Virtualization Infrastructure”, 2011
Облако
SaaS
Платформа для облачных вычислений
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
8
Инфраструктура виртуализации
ООО “ЛУКОЙЛ-ИНФОРМ”
Cloud Software as a Service
NIST. SP 800-146. Cloud Computing Synopsis and Recommendations. Раздел 5.4.3
Услуги
Электронная почта
Антивирусная защита и защита от спама Продажа и дистрибуция (Сбыт)
Планирование производства
Бухгалтерский учет (Финансы)
Управление персоналом
Документооборот
Управление проектами
Услуги Удостоверяющего центра
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
9
Инфраструктура виртуализации
ООО “ЛУКОЙЛ-ИНФОРМ”
Cloud Software as a Service
NIST. SP 800-146. Cloud Computing Synopsis and Recommendations. Раздел 5.4.3
Услуги
Электронная почта
Антивирусная защита и защита от спама Продажа и дистрибуция (Сбыт)
Планирование производства
Бухгалтерский учет (Финансы)
Управление персоналом
Документооборот
Управление проектами
Услуги Удостоверяющего центра
Каталог услуг
SLA
ITSM/ITIL
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
10
Инфраструктура виртуализации
ООО “ЛУКОЙЛ-ИНФОРМ”
На данный момент:
1. Используется VMware vSphere 4.1
2. Около 50 ESXi в 3 распределенных ЦОД
3. Около 2 000 виртуальных машин
4. Сетевые интерфейсы 10 Гбит/с
Планируется:
1. Переход на vSphere 5.0
2. До 100 ESXi
3. Увеличение кол-ва ВМ
4. Гетерогенные сети – все по IP
HP Proliant BL460c, BL 620c, BL 680c
Процессоры: 2x6, 4x6, 2x10 ядер
ОЗУ: 128, 192, 256 Гб
Доступ к хранилищам данных Пример: FCoIP, NFS
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
11
Инфраструктура виртуализации. ИБ
ООО “ЛУКОЙЛ-ИНФОРМ”
На данный момент:
Разработан и внедрен стандарт ИБ ВИ VMware vSphere 4
Планируется:
1. Разработка и внедрение системы защиты ВИ VMware vSphere
2. Разработка стандарта ИБ ВИ VMware vSphere 5
3. Разработка стандарта ИБ инфраструктуры виртуальных АРМ на
базе VMware VIEW
4. Разработка системы защиты системы виртуальных АРМ
История:
Разработан и внедрен стандарт ИБ ВИ VMware Virtual Infrastructure 3
Существенная переработка стандарта
2009г.
2011г. 2012г.
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
12
Инфраструктура виртуализации. ИБ
ООО “ЛУКОЙЛ-ИНФОРМ”
Все угрозы, присущие физической инфраструктуре, есть и в виртуальной
Многие защитные механизмы из физической инфраструктуры могут быть
перенесены в виртуальную
Появляются новые защитные механизмы, реализованные более удобно, чем в
физической инфраструктуре
Виртуализация позволяет получить больший контроль на серверами и АРМами
Основная мысль:
Не следует бояться виртуализации
Угрозы и меры по защите:
Но:
Нужно защищать новый слой ПО – слой
виртуализации (VMware vSphere)
В основном достаточно защитных механизмов
VMware vSphere и организационных мер
Наш взгляд:
Стандарт на ИБ инфраструктуры
виртуализации VMware vShere
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
13
Защита ВИ
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Защита ландшафта ВИ
Сетевая архитектура
4. Виртуальные АРМ и антивирусная защита
5. Заключение
Защита ВИ. Сетевая архитектура физического мира
Cisco SAFE
1 модуль – несколько физических серверов
Стандарт на сетевую инфраструктуру
Модули: ЦОД, Интранет ДМЗ, Интернет ДМЗ, Управления, ЛВС и т.д.
14
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура физического и виртуального мира
ООО “ЛУКОЙЛ-ИНФОРМ”
15
Сеть управления виртуальной инфраструктурой
Сеть доступа к хранилищам данных
Сети внутреннего взаимодействия виртуальной инфраструктуры
Сети гостевых виртуальных машин
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура VI 3. Гостевые сети
1 набор ESXi – 1 сетевой модуль
16
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура VI 3. Гостевые сети
1 набор ESXi – 1 сетевой модуль
Экономически не выгодно
17
ООО “ЛУКОЙЛ-ИНФОРМ”
Существуют теоретические атаки на гипервизор из виртуальной машины
Слишком много аппаратных серверов
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere 4. Гостевые сети
1 набор ESXi – ЦОД, Интранет ДМЗ
18
ООО “ЛУКОЙЛ-ИНФОРМ”
1 набор ESXi – Интернет ДМЗ
Компромисс ИБ – ИТ
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere 4. Гостевые сети
ООО “ЛУКОЙЛ-ИНФОРМ”
19
Сети приложений Сети организаций
Сети приложений Сети организаций
Взаимодействие между ВМ разных VLAN-ов – через физический МЭ
Высокая нагрузка на аппаратный МЭ
(более 1 400 правил)
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere 4. Гостевые сети
ООО “ЛУКОЙЛ-ИНФОРМ”
20
Взаимодействие между ВМ разных модулей – через физический МЭ
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere 4. Гостевые сети
ООО “ЛУКОЙЛ-ИНФОРМ”
21
Виртуальный МЭ
Взаимодействие между
ВМ одного модуля – через
виртуальный МЭ
Взаимодействие между ВМ разных модулей – через физический МЭ
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere 4. Гостевые сети
ООО “ЛУКОЙЛ-ИНФОРМ”
22
Виртуальный МЭ
Взаимодействие между
ВМ одного модуля – через
виртуальный МЭ
Взаимодействие между ВМ разных модулей – через физический МЭ
Уменьшение нагрузки на аппаратный МЭ
Технология VMware VMSafe API
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere 5. Гостевые сети. Программные продукты
23
Межсетевые экраны
CheckPoint VE
ООО “ЛУКОЙЛ-ИНФОРМ”
VMware vShield App
HP vFW + vMC (Reflex OEM)
IBM Proventia Virtual Server Protection for VMware
Cisco VSG
Использует VMsafe Маршрутизатор ~ физический МЭ
Hypervisor Mode CheckPoint VE Network Mode
Использует vPath
StoneGate Virtual Firewall
Технология Cisco Nexus 1000V
Технология VMware
Конкурс продуктов защиты виртуальных инфраструктур
http://www.virtualizationsecuritygroup.ru/news/zavershenie-pervogo-jetapa-konkursa-produktov.html
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere 5. Гостевые сети. Программные продукты
24
Межсетевые экраны
CheckPoint VE
ООО “ЛУКОЙЛ-ИНФОРМ”
VMware vShield App
HP vFW + vMC (Reflex OEM)
IBM Proventia Virtual Server Protection for VMware
Cisco VSG
Использует VMsafe Маршрутизатор ~ физический МЭ
Hypervisor Mode CheckPoint VE Network Mode
Использует vPath
StoneGate Virtual Firewall
Технология Cisco Nexus 1000V
Технология VMware
Конкурс продуктов защиты виртуальных инфраструктур
http://www.virtualizationsecuritygroup.ru/news/zavershenie-pervogo-jetapa-konkursa-produktov.html
• Интерфейс администрирования ~ физическому МЭ
• Разделение ответственности • Поддержка технологий VMware
– vMotion, HA … с VMsafe API
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere. Разделение ответственности
25
Необходимо разделение ответственности между администраторами ВИ, сетевыми администраторами, администраторами средств защиты
Vmware vNetwork dSwitch
Администраторы аппаратного обеспечения
Cisco Nexus 1000V Series Дополнительно: Защита от атак типа ARP-spoofing Технология Encapsulated Remote SPAN (ERSPAN)
ООО “ЛУКОЙЛ-ИНФОРМ”
Требование:
Понятный сетевому инженеру интерфейс администрирования
Сетевые администраторы
Администраторы межсетевого
экранирования
Администраторы ВИ
Понятный администратору межсетевого экрана интерфейс
Межсетевой
экран
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere 4 и 5. Качество обслуживания (QoS)
26
ООО “ЛУКОЙЛ-ИНФОРМ”
QoS VMware vDS Cisco Nexus 1000V
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere 4 и 5. Качество обслуживания (QoS)
27
ООО “ЛУКОЙЛ-ИНФОРМ”
VMware vDS Технология
Network I/O Control
Технология Traffic Shaping
Shares и Limits на типы трафика
Average Bandwidth, Peak Bandwidth и Burst Size для группы портов или на физических адаптерах
Не осуществляет маркировку пакетов и приоритезацию трафика по его маркировке
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere 4 и 5. Качество обслуживания (QoS)
28
ООО “ЛУКОЙЛ-ИНФОРМ”
Cisco Nexus 1000V Классификация и
маркировка пакетов
Новые для сети организации виды трафика
vEth
Сеть Значения
маркировки DSCP CoS
Сеть vMotion 18 2 Сеть vFT 18 2 Сеть
vManagement 48 6
Сеть vStorage 24 4
Трафик гостевых машин маркируется по принятым в организации правилам
Eth
Гарантированная пропускная способность
для типов трафика
Сеть Абсолютное
значение (10Гбит/с) Относительное
значение, %
Сеть vMotion 1 Гбит/c 10 Сеть vFT 1 Гбит/c 10 Сеть vManagement 100 Мбит/c 1 Сеть
vStorage NFS 2 Гбит/c 20 iSCSI 2 Гбит/c 20
Сеть vGuest 3.9 Гбит/с 39
Гарантированные пропускные способности для трафика ВМ
Остаток пропускной способности для сети vGuest
<=
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Сетевая архитектура vSphere. Разное
ООО “ЛУКОЙЛ-ИНФОРМ”
29
Каждая ВМ должна быть подключена только к
одному виртуальному коммутатору (не должна
быть шлюзами между сетями)
Port security
DHCP Snooping для защиты от
подмены DHCP-сервера
ARP Inspection для защиты от ARP
Spoofing
IP Source Guard (Edge Port) для
защиты от атак IP Spoofing
Для защиты ВМ, использующих статические IP- адреса
Для защиты ВМ, получающих IP-адреса при помощи DHCP
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
30
Защита ВИ
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Защита ландшафта ВИ
Системы хранения данных
4. Виртуальные АРМ и антивирусная защита
5. Заключение
Storage Area Network (Fiber Channel)
Защита ВИ. СХД. SAN
ООО “ЛУКОЙЛ-ИНФОРМ”
31
Зоны должны образовываться исходя из
принципа “один инициатор (HBA) – несколько
устройств хранения (targets)”
Зонирование необходимо осуществлять с
использованием портов оптических
коммутаторов, а не по World-Wide-Name (WWN)
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. СХД. SAN
ООО “ЛУКОЙЛ-ИНФОРМ”
32
Физические сервера не должны
иметь доступ к устройствам
хранения, которые выделены для ВИ
Storage Area Network (Fiber Channel)
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. СХД. SAN
ООО “ЛУКОЙЛ-ИНФОРМ”
33
Физические сервера не должны
иметь доступ к устройствам
хранения, которые выделены для ВИ
Storage Area Network (Fiber Channel)
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. СХД. NAS и NFS
ООО “ЛУКОЙЛ-ИНФОРМ”
34
Network Attached Storage (iSCSI) и Network File System (NFS)
Разграничение доступа
при помощи VLAN
Разграничение доступа по IP-
адресам к точкам монтирования
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
35
Защита ВИ
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Защита ландшафта ВИ
ESXi
4. Виртуальные АРМ и антивирусная защита
5. Заключение VMware vSphere 4.1
Security Hardening Guide
36
Защита ВИ
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Защита ландшафта ВИ
Виртуальные машины
4. Виртуальные АРМ и антивирусная защита
5. Заключение
Защита ВИ. ВМ
37
Требования к виртуальным машинам (пример):
Изоляция гостевой ОС. Отключение возможности изменения конфигурационных файлов vmx из гостевой ОС
ООО “ЛУКОЙЛ-ИНФОРМ”
В файлах vmx ВМ должна содержаться следующая запись:
isolation.tools.setinfo.disable = true
Одна из мер по защите гипервизора от ВМ
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. ВМ
38
Требования к виртуальным машинам (пример):
Изоляция гостевых машин друг от друга. Отключение возможности взаимодействия ВМ между собой по протоколу VMCI (по-умолчанию отключена)
ООО “ЛУКОЙЛ-ИНФОРМ”
В файлах vmx ВМ должна содержаться следующая запись:
vmci0.unrestricted = FALSE
Одна из мер по защите несетевого взаимодействия между ВМ
В VMware vSphere появляются новые интерфейсы взаимодействия между ВМ, например, VMCI (~ PCI)
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
39
Защита ВИ
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Защита ландшафта ВИ
Контроль за администраторами ВИ
4. Виртуальные АРМ и антивирусная защита
5. Заключение
Защита ВИ. Контроль администраторов ВИ
40
Требования:
Недопущение доступа администратора ВИ к данным ВМ (без физического доступа к дискам)
Способы доступаВозможность
блокирования vGate
Администратор скачивает диск ВМ на свой АРМ +
Администратор подсоединяет (mount) VMDK файл к консоли ESX.
Необходим доступ к локальной консоли или через SSH+
Администратор использует утилиты, работающие через VIX API.
Например, VMware Guest Console+
Администратор заходит внутрь ВМ используя удаленный доступ.
Например, RDP
Администратор ВИ
должен быть
авторизован внутри ВМ
ООО “ЛУКОЙЛ-ИНФОРМ”
Файлы vmx ВМ должны содержать следующую запись:
guest.command.enabled=FALSE
Администратор ВИ всегда может поменять данный параметр
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Контроль администраторов ВИ
41
Требования:
Недопущение доступа администратора ВИ к данным ВМ (без физического доступа к дискам)
Способы доступаВозможность
блокирования vGate
Администратор скачивает диск ВМ на свой АРМ +
Администратор подсоединяет (mount) VMDK файл к консоли ESX.
Необходим доступ к локальной консоли или через SSH+
Администратор использует утилиты, работающие через VIX API.
Например, VMware Guest Console+
Администратор заходит внутрь ВМ используя удаленный доступ.
Например, RDP
Администратор ВИ
должен быть
авторизован внутри ВМ
ООО “ЛУКОЙЛ-ИНФОРМ”
Файлы vmx ВМ должны содержать следующую запись:
guest.command.enabled=FALSE
Администратор ВИ всегда может поменять данный параметр
Security Code vGate for VMware Infrastructure
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. Контроль администраторов ВИ
42
Требования:
Недопущение доступа администратора ВИ к данным ВМ (без физического доступа к дискам)
Способы доступаВозможность
блокирования vGate
Администратор скачивает диск ВМ на свой АРМ +
Администратор подсоединяет (mount) VMDK файл к консоли ESX.
Необходим доступ к локальной консоли или через SSH+
Администратор использует утилиты, работающие через VIX API.
Например, VMware Guest Console+
Администратор заходит внутрь ВМ используя удаленный доступ.
Например, RDP
Администратор ВИ
должен быть
авторизован внутри ВМ
ООО “ЛУКОЙЛ-ИНФОРМ”
Файлы vmx ВМ должны содержать следующую запись:
guest.command.enabled=FALSE
Администратор ВИ всегда может поменять данный параметр
Или просто использование SIEM и настройка оповещений по событиям ?
+
+
+
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
43
Защита ВИ
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Защита ландшафта ВИ
Требования по защите ПДн и меры по их
выполнению
4. Виртуальные АРМ и антивирусная защита
5. Заключение
Защита ВИ. ПДн. Вопросы
44
Где границы ИСПДн?
Как выполнить требования по: 1. Межсетевое экранирование 2. Управлению доступом 3. Регистрации и учету 4. Обеспечению целостности 5. Контроля отсутствия НДВ?
Разный уровень конфиденциальности обрабатываемой информации
Какие существуют сертифицированные продукты для ВИ?
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. ПДн. Межсетевое экранирование
Требования ФСТЭК к МЭ. Приказ №58
Между
подсистемами
распределенной
ИСПДн
Класс 2,3 Класс 3 Класс 2
2.4 2.4 3.4
Класс 4
Функционал Средство 2.3
Фильтрация на сетевом уровне для каждого сетевого
пакета независимо (решение о фильтрации принимается
на основе сетевых адресов отправителя и получателя или
на основе других эквивалентных атрибутов)
2.2.1 5 класс
Фильтрация пакетов служебных протоколов, служащих для
диагностики и управления работой сетевых устройств2.3.1 4 класс
Фильтрация с учетом входного и выходного сетевого
интерфейса как средства проверки подлинности сетевых
адресов
2.3.1 4 класс
Фильтрация с учетом любых значимых полей сетевых
пакетов2.3.1 4 класс
Регистрация
Регистрация и учет фильтруемых пакетов (в параметры
регистрации включаются адрес, время и результат
фильтрации)
2.3.2 4 класс
Администрирование:
идентификация и
аутентификация
Идентификация и аутентификация администратора МЭ при
его локальных запросах на доступ по идентификатору
(коду) и паролю
2.2.2 5 класс
Регистрация входа (выхода) администратора МЭ в систему
(из системы) либо загрузки и инициализации системы и ее
программного останова
2.2.3 5 класс
Регистрация запуска программ и процессов (заданий,
задач)2.3.4 4 класс
ЦелостностьКонтроль целостности программной и информационной
части МЭ2.2.4 5 класс
ВосстановлениеВосстановление свойств МЭ после сбоев и отказов
оборудования2.2.5 5 класс
Реализации правил фильтрации 2.2.6 5 класс
Процесса регистрации 2.3.7 4 класс
Процесса идентификации и аутентификации
администратора МЭ2.2.6 5 класс
Процесса регистрации действий администратора МЭ 2.2.6 5 класс
Процесса контроля за целостностью программной и
информационной части2.2.6 5 класс
Процедуры восстановления 2.2.6 5 класс
Регламентное
тестирование
5 класс
5 класс
5 класс
5 класс
5 класс
5 класс
5 классАдминистрирование:
регистрация
5 класс
СВТ. МЭ. Защита
от НСД.
Показатели
защищенности
от НСД
2.2
2.3.1
Управление
доступом
(фильтрация данных
и трансляция
адресов)
Класс МЭ
4 класс
Класс 4
(Класс 5 + 1 требование)
5 класс
ФСТЭК. Приказ от 05 февраля 2010г. Положение о методах и способах ЗИ в ИСПДн. Приложение
Взаимодействие
Класс ИСПДн
Между ИСПДн и сетями
международного
информационного обмена
5 класс
Взаимодействие
Между подсистемами распределенной ИСПДн
Между ИСПДн и Internet
ИСПДн класс 2 ИСПДн класс 3 ИСПДн класс 2
МЭ класс 5 + требование фильтрации служебных
протоколов
МЭ класс 4
РД ФСТЭК. СВТ. МЭ. Защита от НСД. Показатели защищенности от НСД
МЭ класс 2 Сертификация МЭ
Привязка не к IP-адресу,
а к контексту ВМ
45
ООО “ЛУКОЙЛ-ИНФОРМ”
?
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. ПДн. Сертификация ФСТЭК
46
Требования по управлению доступом, регистрации и учету и обеспечению целостности
Сертифицированные СЗИ
Security Code vGate for VMware Infrastructure
Сертификат СВТ 5
Использование в ИСПДн до 2 класса
Сертифицированная версия VMware vSphere
Использование в ИСПДн до 1 класса
Сертификат на версию 4.0 ESX и vCenter Производство
• Необходимо обновлять ВИ VMware (для ESXi и версия 4.1 не сертифицированы)
• Установка дополнительного ПО, меняющего бинарные модули, - потеря сертификата
ООО “ЛУКОЙЛ-ИНФОРМ”
Уже вышла версия 5.0
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Защита ВИ. ПДн. vGate
47
Класс 2, Класс 3
Многопользовательский
Разные права
2.3
3.3
1Д
Подсистема Методы и способы ЗИАС. Защита от НСД. Классификация
АС и требования по ЗИ. п.2.12
Идентификатор (код)
Пароль >= 6 букв/цифр
Дата и время
Результат попытки входа
(успех/неуспех)
Идентификатор (код или фамилия)
Целостность ПС СЗПДн.
Проверка компонентов СЗПДн при загрузке
ОС
По контрольным суммам +
Контроль целостности файлов и каталогов при:
- загрузке ОС
- входе пользователя в ВИ
Осуществляется модулем защиты ESX
Использование трансляторов с
языков высокого уровня
Отсутсвие средств модификации
объектного кода
Тестирование функций СЗПДн при изменении
программной среды с имитацией НСД - Орг.меры
Средства восстановления СЗПДн
2 копии ПС
Периодическое обновление
Контроль работоспособности+
Восстановление СЗИ при помощи программы
установки
Область применения
Доступ к ВИ.
Аутентификация по протоколу Kerberos
Регистрация событий пользователя при доступе к ВИ.
Регистрируются:
- дата и время
- тип события (вход, запрет входа)
- имя пользователя
- уровень конфиденциальности пользователя
- Орг.мерыОбеспечение
целостности
Целостность программной среды
Класс ИСПДн
Режим обработки
Режим разграничения прав доступа
Класс АС
Регистрация входа/выхода пользователя
или
Регистрация загрузки и инициалицзации ОС
Управление
доступом+
+
vGate 2ФСТЭК. Приказ от 05 февраля 2010г. Положение о методах
и способах ЗИ в ИСПДн. Приложение
Идентификация и проверка подлинности
пользователя
Регистрация
и учет
Выполнение требований vGate к защите ИСПДн классов 2 и 3
ООО “ЛУКОЙЛ-ИНФОРМ”
Контроль целостности ВМ
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
48
Виртуальные АРМ и антивирусная защита
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Защита ландшафта ВИ
4. Виртуальные АРМ и антивирусная защита
5. Заключение
49
Виртуальные АРМ и антивирусная защита
ООО “ЛУКОЙЛ-ИНФОРМ”
На данный момент:
1. Пилот
2. VMware vSphere 5 + View 5
3. 2 ESXi
4. Около 50 виртуальных АРМ
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Виртуальные АРМ и антивирусная защита
ООО “ЛУКОЙЛ-ИНФОРМ”
50
Пользователь
Сервер
туннелирования
Брокер
соединений
Виртуальный
АРМ
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Виртуальные АРМ и антивирусная защита. Антивирусы для ВИ
51
ООО “ЛУКОЙЛ-ИНФОРМ”
Конкурс продуктов защиты виртуальных инфраструктур
http://www.virtualizationsecuritygroup.ru/news/zavershenie-pervogo-jetapa-konkursa-produktov.html
Не нужно путать:
Антивирус для виртуальных инфраструктур
Облачный антивирус
Безагентная технология
защиты ВМ в инфраструктуре
виртуализации
Агент, использующий
облачные сервисы (обычно в
Интернете)
Endpoint Protection
Deep Security
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Виртуальные АРМ и антивирусная защита. Антивирусы для ВИ
52
ООО “ЛУКОЙЛ-ИНФОРМ”
Endpoint Protection
Deep Security
Агент на ВМ Антивирусное сканирование в зависимости
от загрузки ESXi
Агент на ВМ не используется
Используется технология
VMware vShield EndPoint
Kaspersky Security для
виртуальных сред
Появился только в 2012г.
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Виртуальные АРМ и антивирусная защита. Антивирусы для ВИ
53
ООО “ЛУКОЙЛ-ИНФОРМ”
Endpoint Protection
Deep Security
Агент на ВМ Антивирусное сканирование в зависимости
от загрузки ESXi
Агент на ВМ не используется
Используется технология
VMware vShield EndPoint
Kaspersky Security для
виртуальных сред
Появился только в 2012г.
Дополнительно (без агента):
Local Firewall
HIPS
Virtual Patching
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Виртуальные АРМ и антивирусная защита. Антивирусы для ВИ
54
ООО “ЛУКОЙЛ-ИНФОРМ”
Агент Агент Агент
Deep Security Manager
vSphere ESXi
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Виртуальные АРМ и антивирусная защита. Антивирусы для ВИ
55
ООО “ЛУКОЙЛ-ИНФОРМ”
vSphere ESXi
vShield Endpoint
Deep Security
Virtual Appliance
Deep Security Manager
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Виртуальные АРМ и антивирусная защита. Антивирусы для ВИ
56
ООО “ЛУКОЙЛ-ИНФОРМ”
1 Доступ между виртуальными АРМ-ами
(например, разделяемые ресурсы) Deep Security Firewall
2 Включение ВМ без антивируса Deep Security Security
Profiles и Tasks
3 Долгая установка патчей безопасности
на ВМ
5 Защита ВМ при осуществлении check-in
(выгрузка ВМ из VI на ноутбук)
4 IPS/IDS не во всех сегментах сети
Deep Security Virtual
Patching
Deep Security Deep Packet
Inspection (IDS/IPS)
Deep Security Agent
Можно ли
автоматизировать?
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Виртуальные АРМ и антивирусная защита. SIEM
57
ООО “ЛУКОЙЛ-ИНФОРМ”
enVision
57
ESM
Поддержка ESXi (Syslog)
Поддержка vCenter Audit (VMware API)
Поддержка VMware View (ODBC
SQL)
Поддержка CheckPoint VE (OPSEC LEA)
Поддержка TrendMicro Deep
Security (Syslog)
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
58
Заключение
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования виртуализации и ВИ
2. Инфраструктура виртуализации
3. Требования к защищенному ландшафту ВИ
4. Требования защиты ПДн в ВИ и меры по их
выполнению
5. Заключение
Что почитать?
59
По защите VMware VI 3.5, но тоже полезно :
1. White Papers VMware “Security Design of the VMware Infrastructure 3 Architecture” “Managing VMware Virtual Center Roles and Permission” “VMware Infrastructure 3. Security Hardening” 2. DISA “ESX Server. Security Technical Implementation Guide” 3. NSA “VMware ESX Server 3 Configuration Guide” 4. The Center for Internet Security “Security Configuration Benchmark For VMware ESX 3.5”
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Что почитать?
60
1. VMware Guide: “vSphere Hardening Guide” 2. VMware White Papers: “Securing the Cloud. A review of Cloud Computing, Security Implications and Best Practices” 3. Решения VMware: Межсетевой экран - VMware vShield Zones 4. Решения вендоров: Check Point VE SecureCode vGate HyTrust Reflex VMC … 5. Книги Scott Lowe. Mastering VMware vSphere 4 Scott Lowe, Jason W. McCarty, Matthew K. Johnson VMware vSphere 4 Administration
По защите VMware vSphere:
http://www.virtualizationsecuritygroup.ru/
tematicheskie-dokumentyi.htm
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
Облачная ИБ архитектура
61
White Paper “Securing the Cloud. A Review of Cloud Computing, Security Implications and Best Practices”
Cisco SAFE
Архитектурный
справочник
ООО “ЛУКОЙЛ-ИНФОРМ”
1. Цели использования 2. Инфраструктура 3. Защита ВИ 4. Защита VDI и AV 5. Заключение
62
СПАСИБО ЗА ВНИМАНИЕ!
тел.: (495) 980-3678 e-mail: [email protected] ICQ: 216-409-786 Skype: mfedotenko
Федотенко Максим Геннадьевич Ведущий специалист Управления информационной безопасности ООО “ЛУКОЙЛ-Информ”