Виртуальная безопасность
До виртуализации
В лучшем случае до «эпохи» виртуализации каждый сервер выполнял какую-нибудь единственную бизнес- или инфраструктурную роль. В худшем случае, если таких задач было несколько, инфраструктурные и бизнес-функции были совмещены на одном оборудовании, и это особенно плохо сказывалось на надежности сервисов.
Применение виртуализации
Теоретически технологии виртуализации призваны отделить задачи друг от друга, в том числе задачи бизнес уровня от уровня инфраструктуры. Более того, хорошим тоном в части обеспечения высоких показателей надежности является выполнение (размещение) лишь единственной задачи на каждом виртуальном сервере. Именно так и рекомендует поступать компания Microsoft. Недостатком такого подхода является большое количество необходимых дополнительных лицензий на серверные операционные системы.
Далее рассмотрим несколько таблиц, из которых станут ясны как достоинства, так и недостатки технологии виртуализации, а также риски информационной безопасности и технологии защиты среды виртуализации и самих виртуальных машин.
Плюсы и минусы виртуализации
Плюсы виртуализации | Минусы виртуализации |
Большее количество ВМ на том же количестве физических серверов | Выход из строя физического сервера делает недоступным сразу несколько ВМ |
Простое разворачивание ВМ из шаблонов | Общее падение быстродействия при загрузке дисковой подсистемы какой-либо ВМ |
Возможность клонирования ВМ | |
Возможность миграции ВМ между физическими серверами и/или эвакуации ВМ на другие сервера | |
Быстрое восстановление ВМ после сбоев оборудования | |
Возможность централизованного управления ВМ | |
Возможность резервного копирования на уровне ВМ | |
Экономия места в коммутационных шкафах и стойках серверной | |
Снижение уровня потребления электроэнергии, уровня шума, тепловыделения оборудования и т.д. |
Изменение рисков при использовании виртуализации
Уменьшение рисков | Увеличение рисков |
Риск зависимости программной части сервера от работоспособности физического сервера | Риск потери доступности при выходе из строя физического сервера |
Риск простоя переведенных на ВМ серверов | Риск уничтожения всех ВМ при выходе из строя дисковой подсистемы |
Риск утечки данных вместе с ВМ | |
Риски хранения конфиденциальных данных вместе с обычными данными | |
Риски сетевого взаимодействия ВМ, не выходящие за пределы физического сервера |
Как видно из приведенных выше таблиц у технологии виртуализации есть много преимуществ в сравнении с классической ИТ-инфраструктурой, однако данная технология приводит к увеличению рисков ИБ. Для «парирования» рисков ИБ должны применяться как общепринятые методы, так и применимые только к среде виртуализации. Далее будут показаны методы обеспечения безопасности, как среды виртуализации, так и самих ВМ.
Методы защиты физических и виртуальных машин
Методы защиты физического сервера |
Бесперебойное обеспечение электропитанием |
Защита хостовой ОС |
Защита гипервизора |
Защита сервера управления |
Защита консоли управления |
Разграничение доступа к каждой ВМ |
Разграничение ресурсов для каждой ВМ |
Защита ВМ друг от друга |
Обеспечение безопасности трафика между компонентами среды виртуализации |
Общие методы защиты |
Доверенная загрузка ОС |
Разграничение доступа |
Регистрация и учет |
Антивирусная безопасность |
Межсетевое экранирование |
Анализ защищенности |
Предотвращение вторжений |
Контроль портов и интерфейсов |
Криптозащита (при необходимости, как функциональная и обеспечивающая составляющие) |
Методы защиты виртуальной машины следуют из общих методов защиты, а также: |
Контроль целостности каждой ВМ |
Защита от возможных целевых атак на гипервизор, хостовую ОС, сервер управления, консоль управления. |
