5 Августа, 2013

Заметка об аудите безопасности виртуальной инфраструктуры путем анализа конфигурации

Иван Бойцов
Тема автоматизированного аудита безопасности виртуальной инфраструктуры уже не раз поднималась в различных публикациях. Сегодня на Хабре появилась очередная статья по данной теме.
В статье автор приводит краткий обзор отличий угроз физической инфраструктуры от виртуальной, хотя, на мой взгляд, в части угроз, старая публикация на том же Хабре от компании КРОК более информативная и полна.
Суть же статьи сводится к анонсу разработки автоматизированного средства для аудита настроек виртуальной инфраструктуры для поиска ошибок в конфигурации. В конечном счете всё сводится к проверки на соответствие VMware Security Hardening Guides .
VMware Security Hardening Guides - это Exсel-документ, содержащий список критически важных настроек для ESXi, виртуальных машин, виртуальных сетей и т.д. По каждому параметру описана проблематика, приведено рекомендуемое значение параметра и различные комментарии.
Проверяя соответствие ВИ рекомендациям VMware Security Hardening Guides добиться закрытия угрозы неправильного конфигурирования ВИ нельзя. Существует еще много возможных вариантов реализации этой угрозы - неправильные настройки доступов, некорректные сетевые настройки виртуальных машин (например, добавление виртуальной машины во внутреннюю сеть администрирование - частая ошибка администраторов ВИ) и так далее.
Кроме того, уже существуют утилиты для автоматизированных проверок на соответствие требованиям - vGate Compliance Checker , VMware vCenter Configuration Manager Free Compliance Checkers (в отличие от vGate CC, не поддерживает vSphere 5.1) и другие.
Однако готового автоматизированного средства для реальной проверки правильности конфигурирования, а не проверки соответствия требованиям и рекомендациям, в данный момент на рынке нет. Кроме того, написать такое средство достаточно сложно - либо в нем нужно будет реализовывать сложную эвристику с множеством ложных срабатываний, либо процесс подготовки к автоматизированному аудиту будет сравним по сложности с самим аудитом.
или введите имя

CAPTCHA