Security Lab

Про RISSPA о виртуализации

Про RISSPA о виртуализации

Попался мне документ по защите виртуальной инфраструктуры, который разработали Мария Сидорова и Евгений Родыгин при участии нескольких рецензентов. Красной нитью всего документа проходит мысль о том, что нужно использовать правильные СЗИ.
Приводятся актуальные угрозы виртуальной инфраструктуры:
·         НСД к ВМ через гипервизор;
·         НСД к ВМ через управление;
·         прямой доступ к файлам ВМ;
·         изменение конфигураций ВМ;
·         модификация команд управления;
·         модификация гипервизора в т.м. вирусом;
·         потеря производительности, отказ в обслуживании гипервизора.

Угрозы правильные, на их основе и должна строиться защита. А вот и нет!

Далее приводится стандартный список требованийиз 21 Приказа ФСТЭК, и сразу возникают вопросы, как это многочисленные МСЭ могут парировать чуть ли не все угрозы:


Требование
МСЭ
1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуализированной инфраструктуре, в том числе администраторов управления средствами виртуализации
Х
2
Управление доступом субъектов доступа к объектам доступа в виртуализированной инфраструктуре, в том числе внутри виртуальных машин
Х
3
Регистрация событий безопасности в виртуализированной инфраструктуре
Х
4
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информациимежду компонентами виртуализированной инфраструктуры, а также по периметру виртуализированной инфраструктуры
Х
5
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

6
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
Х
7
Контроль целостности виртуализированной инфраструктуры и ее конфигураций
Х
8
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуализированной инфраструктуры, а также каналов связи внутри виртуализированной инфраструктуры
Х

9
Реализация и управление антивирусной защитой в виртуализированной инфраструктуре

10
Разбиение виртуализированной инфраструктуры на сегменты (сегментирование виртуализированной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
Х

Понятно, что МСЭ будет располагаться перед входом в виртуальную инфраструктуру, но совершенно не понятно как его использование будет выполнять выделенные мною требования.

Было бы куда интереснее, если авторы прошлись по этим требованиям и рассмотрели возможность их реализации штатными средствами или же доказали невозможность этого подхода в принципе.
А теперь, берем Уровень защищенности 3, к которому придут большинство операторов ПДн, размышлением и последующим написанием правильной Модели угроз. Сертифицированные СЗИ также учитываться не будут в виду постоянной размытости формулировок «в том числе посредством», «в случаях, когда применение таких средств необходимо».

Требований по защите получается всего четыре и с ними прекрасно справляются штатные средства:


Требование
Штатные средства
1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуализированной инфраструктуре, в том числе администраторов управления средствами виртуализации
VMware/Hyper-V
2
Управление доступом субъектов доступа к объектам доступа в виртуализированной инфраструктуре, в том числе внутри виртуальных машин
VMware/Hyper-V
3
Регистрация событий безопасности в виртуализированной инфраструктуре
VMware/Hyper-V
9
Реализация и управление антивирусной защитой в виртуализированной инфраструктуре
Любой антивирус
10
Разбиение виртуализированной инфраструктуры на сегменты (сегментирование виртуализированной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
Любой МСЭ

Коллеги, если кто-то считает, что высказанная точка зрения не имеет право на существование, прошу закидать меня комментариями.

Виртуализация ПДн
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Евгений Шауро

Блог специалиста по информационной безопасности