Форум Тринити

Открытый технический форум по серверам и системам хранения данных, кластерным решениям, SAN, NAS.
Microsemi infortrend storage
Текущее время: 15 ноя 2018, 22:32

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ 1 сообщение ] 
Автор Сообщение
СообщениеДобавлено: 23 авг 2013, 20:26 
Не в сети
Junior member

Зарегистрирован: 22 май 2013, 11:14
Сообщения: 15
Откуда: Санкт-Петербург
В условиях финансовых ограничений технология виртуализации оказалась наиболее эффективной по критерию доступности приложений, главным образом, за счет относительно дешевого создания отказоустойчивых масштабируемых кластеров.

Поэтому ведущие мировые производители поддерживают виртуализацию, формируя ста-бильную тенденцию к увеличению объемов финансирования на внедрение технологии виртуализации в большинстве серверных операционных систем и при производстве современных универсальных процессоров.

«Защита информации в существующих информационных системах, построенных с использованием виртуализации, направлена на обеспечение
• безопасности информации ограниченного доступа,
• доступности пользователю программных приложений и информационных технологий, входящих в состав конкретной информационной системы. Пользователь с правом доступа должен быть уверен в обеспечении непрерывности функционирования информационных систем с приемлемым временем отклика на запросы.

При этом приходится учитывать возможность нарушений безопасности информации, обрабатываемой в виртуальной среде, за счет реализации угроз несанкционированного доступа к информации путем эксплуатации уязвимостей средств и систем виртуа-лизации.
Согласно концепции виртуализации, в любой информационной системе, построенной на основе виртуализации, могут быть условно выделены три логических уровня архитектуры информационной системы:
1. виртуальный «физический» уровень – виртуальное оборудование или технический состав виртуальной машины,
2. Уровень среды - виртуализация,
3. Уровень управления виртуализацией.

Каждое из средств своего уровня обладает собственными уязвимостями. Отсутствие единого стандарта на технологию виртуализации неизбежно приводит к её слабостям.
Одной из основных и первой из выявленных угроз безопасности информации в таких си-стемах можно считать угрозу выхода программного процесса за пределы виртуальной машины.
Реализация такой угрозы была продемонстрирована программистами Microsoft Research и University of Michigan, разработавшими руткит для платформы Intel в 2005 году. Опасность данной угрозы заключается в отсутствии каких-либо действенных, прямых мер по идентификации и нейтрализации подобного несанкционированного получения прав доступа. Это метод позволяет
перейти из пользовательского режима на гостевой машине в режим ядра, получая доступ ко всем запущенным виртуальным машинам.

Другая угроза – возможная атака на защищаемые виртуальные машины со стороны дру-гих незащищенных виртуальных машин. Злоумышленник, легально имеющий доступ к одной виртуальной машине, может пытаться получить доступ к информации, обрабатываемой на других виртуальных машинах, находящихся в одном виртуальном сегменте с его виртуальной машиной или тем более расположенных на одном физическом сервере.

Всего в настоящий момент известно более 10 типов угроз безопасности информации в
информационных системах, построенных на основе технологии виртуализации:
1. Атака на защищаемые виртуальные машины из физической сети;
2. Атака на гипервизор со стороны виртуальных машин;
3. Неконтролируемый рост числа виртуальных машин;
4. Атака на сеть репликации виртуальных машин;
5. Выход процесса за пределы виртуальной машины;
6. Перехват управления в среде виртуализации;
7. Нарушение работоспособности информационных систем за счет несанкционированного доступа к средствам виртуализации;
8. Нарушение процедуры аутентификации субъектов виртуализованного информационно-го взаимодействия;
9. Атака на защищаемые виртуальные машины со стороны других виртуальных машин;
10. Атака на виртуальные каналы передачи данных;
11. Нарушение изоляции пользовательских данных внутри виртуальной машины;
12. Атака на гипервизор из физической сети;
13. Несанкционированный доступ к образам виртуальных машин.

С момента обнаружения первой угрозы безопасности открыто множество путей защиты информации в данных системах:
1. Контроль над изоляцией гостевых операционных систем;
2. Контроль целостности разграничения доступа к образам виртуальных машин;
3. Использование усиленных механизмов аутентификации администратора при доступе к интерфейсу администрирования;
4. Использование средств защиты информации, функционирующих на нижних логических уровнях информационных систем согласно модели ЭМВОС;
5. Использование межсетевого экранирования и средств шифрования трафика при удаленном администрировании;
6. Удаление неиспользуемого программного обеспечения;
7. Отключение неиспользуемых функций гипервизора, а также виртуального и аппаратного оборудования информационной системы, построенной на основе виртуализации;
8. Мониторинг данных, передаваемых сетевыми виртуальными машинами с использованием сканеров безопасности;
9. Контроль на соответствие виртуального оборудования виртуальной машины на соответствие заранее заданному реальному оборудованию информационной системы.

Перечисленные пути не только позволяют обеспечить защищенность от угроз безопасно-сти информации, но и повысить общий уровень доверия конечного пользователя к технологии виртуализации в целом».
Наиболее продуктивным по критерию безопасность\стоимость техническим способом обеспечить безопасность виртуального сервера, является применение рекомендуемого Кодом безопасности программного решения V-Gate R2 в комплексе со средством доверенной загрузки самого физического сервера ПАК Соболь (при условии доступа к данному серверу более, чем одного системного администратора).
Впрочем, контролировать доступ к ресурсам любой, в том числе и виртуальной среды можно с использованием средств устойчивых на рынке вендоров (с предупреждением возможных проблем совместимости с существующим оборудованием в инфраструктуре заказчика):
• подсистем DLP Seachinform, McAfee, Symantec, Websense
• Автоматизированной системы Varonis управления и контроля доступа к неструктурированным данным.
Важно не забыть понимать, что результаты такого контроля должны быть систематически нужны кому-то из ответственных работников службы безопасности. Из-за неучета данного требования дорогостоящие системы незаметно умирали.
Материал подготовлен с использованием Информационно-аналитического журнала для операторов персональных данных «Персональные данные» № 2 (55), февраль 2013

Руководитель проектов защиты информации Мялковский И.К.
25 августа 2013г


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ 1 сообщение ] 

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB