tulskiy
DESCRIPTION
TRANSCRIPT
© 2009 VMware Inc. All rights reserved
Угрозы и риски виртуальной среды
Содержание
2
Угрозы и вызовы виртуальной инфраструктуры
Безопасность операционной среды
Как обеспечить безопасность виртуальной инфраструктуры?
Угрозы и вызовы виртуальной инфраструктуры
3
4
Угрозы и вызовы виртуальной инфраструктуры
ОС
Прил.
ESX ESXi
КонсольУпр.
ОС
Прил.
ОС
Прил.
ESX
ОС
Прил.Консоль
Упр.ОС
Прил.
ESXi
ОС
Прил.
ОС
Прил.
vMotion
ОС
Прил.
vMotion
Доступность
Целостность
Конфиденциальность
5
Стратегия безопасности VMware
Новые технологии защитыСтратегия тонкого гипервизораЗащита памятиЗащита модулей ядра
Интеграция решений VMware в существующую операционную среду компании
Предоставление всеобъемлющей безопасности для каждой ВМ“Демократизация” безопасности
Автоматическая конфигурация безопасности Фокусировка на продукты и операции
Безопасность платформы
Безопасность операционной
среды
Безопасность Virtual
Appliances
Лучше чем физическая инфраструктура:
Адаптация безопасности
.OVF
Что характерно для виртуальной инфраструктуры
6
Снижение капитальных и эксплуатационных затратВыше урон от атаки
Изоляция положена в основу дизайна
7
Изоляция ВМ• Изоляция
процессорных команд
• Контроль переполнения буфера
• Изоляция ОЗУ виртуальных машин
• Нет возможности для «утечки» оперативной памяти
Изоляция сети• Нет кода, для
объединения виртуальных коммутаторов
• Виртуальные коммутаторы, неуязвимые к атакам характерных для физической среды
Изоляция хранилища
• Виртуальные машины видят только виртуальные диски
• Доступ к виртуальным дискам регулируется на уровне файла
Безопасная реализация
8
Защита оперативной памяти
Предотвращение универсальных атак переполнения буфера
Обеспечение случайного расположения адресного пространства
Целостность модулей ядра
Обеспечение целостности и аутентичности модулей
Идентификация производителей модулей сертифицированных VMware
Целостность диска
Контроль неизменности модулей с момента последней перезагрузки
Защита данных
Принудительная двухсторонняя CHAP аутентификация
Комплексный подход к безопасности
9
Обучение
Анализ рисков/Моделирование угроз
Разработка и следование нормативным требованиям
Следование рекомендованным практикам
Аудит системы
Работа и вовлечение сторонних специалистов
Независимая сертификация
10
Common Criteria Certification EAL (Evaluation Assurance Level)
CC EAL 4+ certification
DISA STIG для ESX
NSA Central Security Service
НДВ класс 4Г
НСД класс 1Г
ФСТЭК России
*
*
* Процедура в процессе оформления
Угрозы и вызовы операционной среды
11
Что привносит виртуализация?
12
Объединение коммутаторов и серверов в одном устройствеГибкость, масштабируемость, снижение затратПо умолчанию нет разграничение полномочий администрированияПовышается риск неправильной настройки
Что привносит виртуализация? Инкапсуляция.
13
Легче обеспечить отказоустойчивость и непрерывность бизнесаВозможность введения ограничений на системахУправление новыми типами систем (приостановленные,
выключенные)
Что привносит виртуализация? Мобильность.
Улучшенные возможности по предоставлению услуг Уникальность не привязана к аппаратному обеспечению
Что привносит виртуализация? Простота внедрения.
Большая предсказуемость
Отсутствие адекватного планирования
Отсутствие полного понимания текущего состояния инфраструктуры
Плохо разработанные, не автоматизированные процедуры
Непоследовательность конфигураций
Как обеспечить безопасность виртуальной
инфраструктуры?
16
Используйте принципы информационной безопасности
Укрепление и строгая изоляция
Использование принципа «Защита в глубину»
Аутентификация, Авторизация и Контроль
Разделение обязанностей, использование принципа «Наименьших привилегий»
Административный контроль
Оборона в глубину или многоуровневая защита
Много уровней защиты инфраструктуры осложняют злоумышленнику способы проникновения систему
Чем больше уровней у вас есть, тем сложнее атаковать
Дополнительные уровни защиты увеличивают требования к управлению
Уровни защиты должны быть прозрачными для конечных пользователей
VMware
ОС
Прил.
Прил.
Прил.
Обеспечение безопасности ВМ
Виртуальная машина
Антивирусная защита
Управление обновлениями
Сеть
Система обнаружения/ предотвращения атак
Межсетевой экран
Обеспечьте ту же защиту что и для физических серверов
Дизайн безопасности для уровня виртуализации
ОС
Прил.Консоль
Упр.ОС
Прил.
ESX
root
VMw@rEpa$$ my0wnP@ss
1synEPSec!
Минимально
HDD 2 Гб
RAM 272 Мб
SWAP 544 Мб
Сеть управления
Сеть ВМ
ОС
Прил.
ОС
Прил.
ESX
root
VMw@rEpa$$ my0wnP@ss
1synEPSec!
Сеть управления
Сеть ВМ
Минимально
HDD 2 Гб
RAM 272 Мб
SWAP 544 Мб
КонсольУпр.
Профили узлов
Кластер
Эталонный узел
Минимизируют время конфигурирования и позволяют создать единую и целостную конфигурацию
Authentication, Authorization, and Accounting (AAA)
Принцип безопасности
Реализация в инфраструктуре VMware
Authentication Использует Active Directory и LDAP, чтобы обеспечить аутентификацию при предоставлении доступа к инфраструктуре
Authorization Более 100 гранулированных привилегий для решения индивидуальных задач по каждому объекту инфраструктуры
Accounting Регистрируется вся административная деятельность в рамках инфраструктуры и сохраняется в базу данных vCenter
23
Распределенный коммутатор
• Снижает риски некорректной настройки
• Сетевая статистика и политики путешествуют вместе с виртуальной машиной (Network vMotion)
• Предусматривает расширенные настройки и стороннюю разработку
vSwitch vSwitchvSwitch
Распределенный комутатор
Стандартные виртуальные коммутаторы Распределенный виртуальный коммутатор
24
Административный контроль для безопасностии соблюдению требований
Требования Продукты VMware
Управление конфигурациями, мониторинг, аудит
VMware vCenter ServerVMware vSphere Host ProfilesVMware vCenter ConfigControl (future)
Контролируемые и повторяемые процедуры
VMware vCenter OrchestratorVMware vCenter Lifecycle Manager
Обновление, в том числе выключенных ВМ
VMware Update Manager
Безопасность виртуальной сети
VMware vShield ZonesvNetwork Distributed Switch
Разнообразная и растущая экосистема продуктов позволяет обеспечить безопасную виртуальную
инфраструктуру
25
Спасибо!