Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN)

Регулярные проблемы с нарушением конфиденциальности корпоративных данных, атаки на инфраструктуру и приложения, запущенные в виртуальной среде, прямые многомиллионные потери денег банками – это результат использования средств защиты информации (СЗИ), не соответствующих современной архитектуре виртуализированных ЦОД.  Регуляторы, отслеживающие многочисленные инциденты информационной безопасности (ИБ), стараются учесть широкое использование виртуальных сред в информационных системах (ИС). С февраля 2013 года действуют Приказы №17 и 21, регламентирующие требования к СЗИ для обеспечения безопасности персональных данных  в среде виртуализации. Впервые в официальном документе появился перечень требований к защите виртуальной среды, но он не был достаточно детализирован. Это привело к практике использования устаревших СЗИ, разработанных для физической среды, в виртуальной, что было на руку производителям, но понизило уровень защиты ИС клиентов, потерявших из-за использования старых технологий деньги, информацию и клиентов. Производители платформ виртуализации тоже не успевали за развитием технических средств и компетенций злоумышленников, предлагая переходные архитектуры своих решений, не соответствовавших требованиям для виртуализированных ЦОД. Одной из ключевых характеристик современных СЗИ является безагентная архитектура. Но в самой популярной три года назад платформе виртуализации VMware vSphere v.5, анонсировавшей «безагентный» антивирус, на самом деле использовался агент vShield, который устанавливался в  ВМ. Первым гипервизором, предложившим SDNархитектуру виртуального коммутатора, стал появившийся в Windows Server 2012 Extensible Switch Hyper-V, позволивший сторонним разработчикам – Cisco, NEC, Inmon и 5nine – предложить расширения безопасности собственной разработки и впервые реализовать безагентный антивирус в виртуальной среде.

Расширяемость коммутатора позволила приложениям безопасности работать непосредственно на уровне виртуальных сетей. Примерами таких расширений являются межсетевые экраны с SPI (Stateful Packet Inspection)  и DPI (Deep Packet Inspection), антивирусные сканеры, системы обнаружения и предотвращения вторжения (IDS/IPS), защищающие от атак на уровне приложений (DDoS, spoofing и т.п.),  средства управления полосой пропускания, обеспечивающие QoS в виртуальной среде.  Создавая специализированные драйверы для фильтрации и изменения TCP/IP-пакетов, контроля и авторизации соединений, фильтрации протоколов, продукты партнеров   проверяют, фильтруют или отклоняют вредоносные или подозрительные пакеты, используя сигнатурные или эвристические методы анализа. В отличие от СЗИ предыдущего поколения, которые обеспечивали безопасность только ВМ или хоста, современные технические средства позволяют контролировать и защищать всю среду виртуализации: parent partition хоста, vNIC, сетевой трафик, диски и память ВМ, не оставляя уязвимостей или неконтролируемых областей.

В чем же проблема использования устаревших агентных СЗИ?

1. Многие вирусы стараются блокировать работу агента в ВМ. Халатный работник или злоумышленник могут удалить агент или отключить его. Множество последних инцидентов начинались с проникновения и отключения СЗИ на рабочем месте, а потом злоумышленник получал доступ к управлению всей сетью предприятия или банка.
2. Базы сигнатур, их регулярные обновления и сам антивирусный агент потребляют большой объем ресурсов ВМ, загружая сеть, приводя к понижению производительности хоста или количества ВМ, что уменьшает экономический эффект от виртуализации ресурсов.
3. При инфицировании одной или нескольких ВМ на хосте или одновременном сканировании повышается кол-во обращений к дискам, что приводит к антивирусному шторму и деградации производительности хоста.
4. Атаки на уровне виртуальной сети или с одной ВМ на другую не определяются аппаратными СОВ, контролирующих физическую среду и атаки in/out. Этим активно пользуются злоумышленники, которые при помощи средств социальной инженерии или ненадежности персонала получают доступ к одной ВМ и затем развивают атаку на всю внутреннюю сеть, обойдя мощные и дорогие пограничные межсетевые экраны и IDS/IPS.

Современные безагентные СЗИ, такие как 5nine Cloud Security для Hyper-V, в базовом режиме не устанавливают агенты в ВМ, сканируя VHD/VHDX ВМ при помощи собственного сервиса управления на хосте.  Продукт использует современную технологию инкрементального сканирования при помощи драйвера CBT (Changed Block Tracking), обрабатывая только измененные блоки данных файлов на диске ВМ. В результате повторные сканирования занимают всего от 40 секунд до 3 минут, вместо обычного многочасового процесса, сохраняя ресурсы процессора и памяти. Сканирование безагентного антивируса производится до 70 раз быстрее, чем у устаревших решений на базе агентов в ВМ. Также на наличие вирусов сканируется трафик HTTP виртуальной сети, что вообще недоступно технологиям предыдущего поколения.

Итак, используя современные безагентные технологии защиты виртуальной среды, компании и организации могут:

1. Защититься от новых угроз в виртуальной среде и получить надежную комплексную многоуровневую защиту без «пробелов».
2. Уменьшить влияние своего персонала на безопасность.
3. Понизить трудоемкость обеспечения безопасности: нет необходимости проверять и обновлять сигнатуры на каждой ВМ. Эти процедуры автоматически выполняются на хосте.
4. Избежать конфликта ресурсов, таких как антивирусные штормы

Инкрементальное сканирование повышает производительность виртуальной инфраструктуры. На хосте можно запустить больше ВМ, повысить плотность виртуализации и экономический эффект от ее внедрения.

Понимание серьезных угроз, связанных с использованием устаревших технологий, появилось и в банковской отрасли, одной из самых критичных к угрозам и потерям. Наблюдая за последние годы череду инцидентов, которые приводят к потерям миллиардов рублей и доверия клиентов, ЦБ РФ проанализировал их причины и выпустил в 2015 году рекомендации по «Обеспечению информационной безопасности при использовании технологии виртуализации».

В этом документе даются подробные и точные указания, как сделать свой бизнес безопасным и защититься от современных угроз. В главе 9 «Рекомендации по обеспечению ИБ виртуальных машин» прямо указано: «Рекомендуемым решением является использование средств защиты от воздействия вредоносного кода на уровне гипервизора без установки агентского ПО на виртуальные машины.»

Какие же варианты реализации этого требования существуют на рынке сейчас?  Один из лидеров рынка, компания VMware, приобрела стартап   Nicira – разработчика комплексного решения Software-defined networking (SDN). Доработав и интегрировав их решение, VMware выпустила  свою платформу  NSX, которая является основой архитектуры Software Defined Data Center (SDDC). Помимо расширенных функций сетевого управления, платформа NSX используется для построения защищенной инфраструктуры, базирующейся на межсетевом   экране с SPI (Stateful Packet Inspection) и высокой детализации контроля по MAC, IP, портам, группам active directory и т.д. NSX использует решения партнеров для реализации расширенных сценариев защиты инфраструктуры: Palo Alto Networks, Checkpoint, Fortinet и McAffee. В составе сервисов безопасности, предлагаемых партнерами VMware появился безагентный антивирус, межсетевой экран уровня приложений L7,IPS и мониторинг трафика. Недостатком решения является его цена, которую производитель анонсировал на уровне 6000 долларов за 1 процессор.

Что еще из новых технологий безопасности ожидает нас в этом году?  На вторую половину года намечен релиз коммерческой версии  Windows Server 2016. Наряду с  обновлениями проверенных безагентных расширений виртуального коммутатораHyper-V,  нас ждет новый элемент SDN – Network Controller, конкурент NSX, который помимо традиционных задач  управления сетевым трафиком и его безопасностью,  обеспечит возможность построения гибридного облака и прозрачного перемещения рабочих нагрузок в Miscosoft  Azure и обратно.

Основные возможности Microsoft Network Controller аналогичны NSX:

1. Наличие RESTful API для управления SDN Host Agent, запущенными на каждом хосте Hyper-V. SDN Host Agent управляет каждым Hyper-V Virtual switch.
2. Поддержка VxLAN или NVGRE для создания логических сетей L2 в рамках уже существующих сетей L3.
3. Наличие балансировщика нагрузки Software Load Balancer, транслирующего внешние IP адреса в виртуальные с использованием BGP

Новые технологии позволили создать многоуровневый управляемый межсетевой экран Datacenter Firewall. Он многопользовательский, сетевого уровня, с фильтрацией по протоколу, типам   порта и IP-адреса, Stateful Packet Inspection и защищает виртуальные сети клиента от нежелательного трафика из Интернет и интранет сетей. На уровне хоста безагентной защитой ВМ обеспечит антивирус и IDS от 5nine.

Кроме того, в Windows Server 2016 появилось еще ряд новшеств, повышающих безопасность клиентов в частном, публичном или гибридном облаке Microsoft.

Для защиты ВМ в Windows Server 2016 появится технология Shielded Virtual Machines, позволяющий   зашифровать диски ВМ со стороны администратора гостевой ОС, надежно закрыв его содержимое от администратора хоста при помощи Bitlocker. 

Появились принципиально новые инструменты безопасности, использующие возможности большого Azure.  Первая – это  Microsoft Advanced Threat Analytics (ATA).  Это платформа, разворачиваемая в частном облаке, использующая трафик ActiveDirectory и данные SIEM для обнаружения и предупреждения о потенциальных атаках с помощью продвинутых технологий, использующих  machine learning. АТА выявляет отклонения в поведении, вредоносные атаки и «узкие места» в безопасности.

Вторая платформа – это Microsoft Operations Management Suite (OMS).Он обрабатывает журналы безопасности и событий межсетевого экрана в частном или публичном облаке для анализа и выявления нестандартного поведения. Получив данные анализа, сотрудник информационной безопасности может решить, требуется ли дальнейшее расследование, затем использовать возможности подробного поиска, чтобы отслеживать и исследовать инциденты.  Это хорошо масштабируемый облачный сервис, который в состоянии обрабатывать   несколько терабайт данных каждый день. Вы можете использовать возможности Microsoft Azure, чтобы соотнести данные, полученные в вашей сети с базами IP адресов, полученных от специализированных фирм, правительственных агентств и других источников.

Все эти современные технологии помогут вам создать многоуровневую защиту, объединяющую вычислительные мощности, использующие как облачные ресурсы, так и собственные ЦОД. Вы можете отказаться от огромных разовых затрат на малоэффективные СЗИ предыдущих поколений, неэффективных в виртуальной среде, комбинировать покупку современного безагентного ПО с оплатой сервисов по требованию, в т.ч. по модели SECaaS.  Это позволит вам существенно повысить защиту критичной для бизнеса информации, выполнить требования регуляторов и не допустить перерасхода бюджета. Помните, что при покупке антивируса, межсетевого экрана или IDS   для виртуальной среды вам нужно проверить, безагентные ли они?

Автор статьи: Бражников Юрий

Данный материал написан участником сообщества. В статье представлено мнение автора, которое может не совпадать с мнением корпорации Microsoft. Microsoft не несет ответственности за проблемы в работе аппаратного или программного обеспечения, которые могли возникнуть после использования материалов данной статьи.