Взгляд на безопасность со стороны инфраструктуры
DESCRIPTION
Презентация Александра Самойленко (VM Guru) о защите виртуальных инфраструктур с точки зрения менеджеров датацентра и отдела ИТ. Конференция "Инфобезопасность 2011".TRANSCRIPT
Powerpoint TemplatesСлайд 1
Круглый стол:Безопасность виртуальных инфраструктур
Powerpoint TemplatesСлайд 2
Участники
Ведущий:
Александр Самойленко
Эксперты:
Михаил Козлов
Евгений Климов
Александр Лысенко
Мария Сидорова
Николай Троицкий
Powerpoint TemplatesСлайд 3
Powerpoint Templates
Взгляд на безопасность со стороны инфраструктуры:
Почему ИБ - это важная проблема виртуализованного ЦОД
Powerpoint TemplatesСлайд 4
Что хорошего дает виртуализация компаниям?
Объективные факторы
Экономия затрат (↓TCO)
Управляемость
Гибкость
Масштабируемость
Непрерывность бизнеса и т.п.
Субъективные факторы
Свобода – больше инструментов
Контроль – больше систем
на администратора и полномочий
Выбор – ВМ не привязана к хосту,
приложения к ВМ
Powerpoint TemplatesСлайд 5
“Virtualization technology introduces new risks that may not be relevant to other
technologies, and that must be assessed when adopting virtualization.”
«Технология виртуализации добавляет новые
риски, которые могут не иметь отношения к
другим технологиям и должны быть оценены
при внедрении виртуализации»
Information Supplement:
PCI DSS Virtualization Guidelines, June 2011
Что мы будем обсуждать?
Powerpoint TemplatesСлайд 6
Что нового появляется с приходом виртуализации?
Новые сущности:
Виртуальная машина ( ≠ ОС+приложения, может быть офлайн)
Гипервизор и консольная ОС
Средства управления и распределенные службы
Виртуальные: сети, хранилища, ресурсы
Вспомогательные ВМ (Virtual Appliances)
+ VDI и Cloud
Изменение ролей и рабочих процессов:
Администратор виртуальной инфраструктуры
Администратор «виртуальных» сущностей
«Новые» пользователи – самообслуживание, мобильность
Powerpoint TemplatesСлайд 7
Ключевые проблемы, которых раньше не было
Высокая динамика среды
Усложнение сетевой структуры
Большое количество новых компонентов
и конфигураций
Выше ставки потерь из-за консолидации
Суперадминистраторы и свобода
принятия решений
Ограничение применимости стандартных
средств
«60% виртуальных серверов к 2012 году будут защищены хуже физических»
Gartner
Powerpoint TemplatesСлайд 8
Чего мы хотим (ИТ)? и Чего хотят они (ИБ)?
Получать сервис (ВМ) по
требованию
Свободы выбора
Не думать о мелочах
Чтобы нам не мешали при
внедрении и эксплуатации
ЦОД должен быть
защищен
Соблюдение стандартов
Спецсредства контроля
Вовремя участвовать в
проекте, понимать как
это устроено
Powerpoint TemplatesСлайд 9
Угрозы в виртуальной среде: серверная инфраструктура
Инсайд (администраторы)
Компрометация гипервизора: доступ ко всем
ВМ и хранилищам
Компрометация средства управления
Компрометация вспомогательных ВМ
Внедрение и расширение SAN (FC и IP SAN)
Консолидация = риск DoS
Powerpoint TemplatesСлайд 10
Угрозы в виртуальной среде: VDI и Cloud
VDI
Больше средств управления
Все данные пользователей централизованы
Лавинообразное распространение вредоносного ПО
Отказ в обслуживании (100 ВМ на хост)
Доступ из WAN + офлайн + Mobile
Cloud
Сложная структура
Самообслуживание
Данные разных организаций в одном ЦОД
API облачных структур
Powerpoint TemplatesСлайд 11
Что нам предлагают вендоры платформ (VMware)?
Сертификация Common Criteria EAL4+
Платформа ESXi (VMkernel Protection,
Memory Hardening, TPM, Policies)
Изоляция виртуальных машин и сетей
ESXi и vCenter permissions, сертификаты
VMware VMsafe
VMware vShield
VMware Security Hardening Guide
VMware Host Profiles
vCenter Configuration Manager
Сертификат ФСТЭК (vSphere 4.0 U1)
Powerpoint TemplatesСлайд 12
Что нам предлагают сторонние производители?
Антивирусы с поддержкой виртуализации
Сетевые экраны в виде виртуальных
модулей
IDS/IPS-системы
Сканеры конфигураций
Настройка в соответствии
со стандартами (vGate)
Сертифицированная защита от НСД
(vGate)
Отчетность и аудит
Контроль целостности
Powerpoint TemplatesСлайд 13
А что на самом деле нужно пользователям
Виртуальная инфраструктура должна быть
защищена не хуже, чем физическая
Не только рекомендации, стандарты и
регламенты, но и техсредства
Единая среда управления средствами
безопасности (+физическая среда)
Защита гетерогенной среды
Защита VDI и облаков
Прозрачность для администраторов
Set&Forget для средств безопасности
Соответствие требованиям регуляторов
Powerpoint TemplatesСлайд 14
С чего начать?
Организационные меры:
Привлечение специалистов ИБ при внедрении
Разграничение полномочий администраторов
Разъяснительная работа – службы ИТ и ИБ
Регулярный аудит и оценка рисков
Технические меры:
Встроенные средства защиты
Сторонние средства :
Настройка безопасной конфигурации среды
Защита от НСД
Антивирусные решения для виртуализации
Аудит
Powerpoint TemplatesСлайд 15
«Менее 20% организаций, использующих технологии
виртуализации, внедряют средства безопасности для
работы совместно с таким ПО, чтобы снизить риски,
присущие виртуальной среде».
John Burke, Nemertes Research, IT Roadmap, Бостон
Вопрос: Почему?
Ответ: «Мы еще не сталкивались со взломом виртуальных сред»
Причина: у службы ИБ нет знаний о виртуализации и об обеспечении
безопасности виртуальных сред
Как обстоят дела?
Powerpoint TemplatesСлайд 16
16 августа 2011 года, Computerworld:
Осенью 2010 года бывший работник
фармацевтической компании, используя
консоль VMware vCenter, удалил 88
виртуальных серверов компании один за
одним, включая почтовые сервера,
систему обработки заявок, финансовые
сервисы и прочее.
Работник был недоволен своим несправедливым
увольнением.
Пример
Powerpoint TemplatesСлайд 17
Что в итоге?
Виртуальная инфраструктура
нуждается в дополнительной защите
Стоимость рисков выше
Нужны технические и
организационные меры
На рынке нет единого решения для
защиты виртуализации
Не забывать о требованиях ФЗ 152,
стандартах и регламентах