© LETA IT-Company
ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫВладимир Овчарук
+7 (495) 921 1410 / www.leta.ru
2© LETA IT-Company
АРХИТЕКТУРА СИСТЕМ ВИРТУАЛИЗАЦИИ
Гипервизор
Сервер виртуализации
Ядро ОС Ядро ОС
Приложе-ния
Приложе-ния
Аппаратное обеспечение
Упр
авл
ени
е в
ир
туа
льно
й
инф
ра
стр
укту
ро
й
Обычный компьютер
Ядро ОС
Приложения
Аппаратное обеспечение
3© LETA IT-Company
ПРЕИМУЩЕСТВА ВИРТУАЛИЗАЦИИ
Сокращение затрат на закупку и обслуживание физических серверов
Оптимизация использования вычислительных мощностей
Виртуализация рабочих мест (VDI)
4© LETA IT-Company
ПРЕИМУЩЕСТВА ВИРТУАЛИЗАЦИИ
Гибкое централизованное управление
Увеличение энергоэффективности
Обеспечение непрерывности работы за счет механизмов кластеризации и аварийного восстановления
5© LETA IT-Company
УГРОЗЫ ВИРТУАЛЬНОЙ СРЕДЫ
6© LETA IT-Company
УГРОЗЫ ВИРТУАЛЬНОЙ СРЕДЫ
Атака на гипервизор с виртуальной машины
Атака на гипервизор из физической сети
Атака на диск виртуальной машины
Атака на средства администрирования виртуальной инфраструктуры
7© LETA IT-Company
УГРОЗЫ ВИРТУАЛЬНОЙ СРЕДЫ
Атака на виртуальную машину с другой виртуальной машины
Атака на сеть репликации виртуальных машин
Неконтролируемый рост числа виртуальных машин
8© LETA IT-Company
ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
Приказ ФСТЭК №21 от 18.02.2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК №17 от 12.02.2013 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
9© LETA IT-Company
ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
КОД Содержание мер по обеспечению безопасности персональных данных УЗ4/К4 УЗ3/К3 УЗ2/К2 УЗ1/К1
ЗСВ.1Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
+ + + +
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри ВМ + + + +
ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре + + +
ЗСВ.4Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
+ +
ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией
ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных + +
ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций + +
ЗСВ. 8Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
+ +
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре + + +
ЗСВ.10Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
+ + +
10© LETA IT-Company
НЕДОСТАТКИ ТРАДИЦИОННЫХ СЗИ
Не всегда совместимы со средой виртуализации, так как изначально разрабатывались для использования в физической среде
Не защищают от новых угроз безопасности информации, специфичных для виртуальной инфраструктуры
11© LETA IT-Company
ПРИМЕРЫ КОМПРОМЕТАЦИИ
Копирование и блокирование всего потока данных, идущего на все устройства (HDD, принтер, USB, сеть)
Чтение и изменение данных на дисках виртуальных машин, даже когда они выключены и не работают, без участия программного обеспечения этих виртуальных машин
12© LETA IT-Company
VGATE – ПРЕДОТВРАЩАМЫЕ УГРОЗЫ
Несанкционированный доступ к средствам управления ВИ
Угрозы гипервизору (ошибки конфигурации, уязвимости, атаки)
Угрозы взаимодействия компонентов
Угрозы файлам виртуальных машин (искажение, удаление и др.)
13© LETA IT-Company
VGATE – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов доступа в ВИ
• Управление доступом в виртуальной инфраструктуре
• Регистрация событий
• Управление потоками информации между компонентами ВИ и по периметру ВИ
• Доверенная загрузка серверов виртуализации, ВМ и т.д.
• Управление перемещением ВМ и обрабатываемых на них данных
• Контроль целостности виртуальной инфраструктуры и ее конфигураций
• Резервное копирование данных, технических средств и т.д.
• Антивирусная защита в ВИ
• Разбиение ВИ на сегменты
14© LETA IT-Company
TREND MICRO DEEP SECURITY
Атаки типа «отказ в обслуживании»
Использование угроз и атак «нулевого дня»
Атаки, связанные с внедрением SQL-кода и межсайтовым выполнением сценариев
Несанкционированное использование нестандартных протоколов приложениями в ВМ
15© LETA IT-Company
TREND MICRO DEEP SECURITY
Несанкционированное или неожиданное изменение файлов и системного реестра ВМ
Обращение пользователей ресурсов ВИ к вредоносным URL-адресам
Антивирусные штормы в ВИ
16© LETA IT-Company
TREN MICRO DS – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов доступа в ВИ
• Управление доступом в виртуальной инфраструктуре
• Регистрация событий
• Управление потоками информации между компонентами ВИ и по периметру ВИ
• Доверенная загрузка серверов виртуализации, ВМ и т.д.
• Управление перемещением ВМ и обрабатываемых на них данных
• Контроль целостности виртуальной инфраструктуры и ее конфигураций
• Резервное копирование данных, технических средств и т.д.
• Антивирусная защита в ВИ
• Разбиение ВИ на сегменты
17© LETA IT-Company
SAFENET PROTECT V
Доверенная загрузка виртуальных и физических машин
Шифрование виртуальных дисков гостевых и физических машин
Разграничение прав доступа к виртуальным и физическим машинам
18© LETA IT-Company
SAFENET PROTECT V
Соответствие стандарту безопасности данных индустрии платёжных карт PCI DSS 2.0
Возможность миграции в виртуальные и облачные среды. При этом обеспечивается защита данных и соблюдение требований регуляторов
19© LETA IT-Company
SAFENET PROTECT V – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов доступа в ВИ
• Управление доступом в виртуальной инфраструктуре
• Регистрация событий
• Управление потоками информации между компонентами ВИ и по периметру ВИ
• Доверенная загрузка серверов виртуализации, ВМ и т.д.
• Управление перемещением ВМ и обрабатываемых на них данных
• Контроль целостности виртуальной инфраструктуры и ее конфигураций
• Резервное копирование данных, технических средств и т.д.
• Антивирусная защита в ВИ
• Разбиение ВИ на сегменты
20© LETA IT-Company
VEEAM BACKUP & REPLICATION
Быстрое, гибкое и надежное восстановление всех виртуализованных приложений и данных — как в среде VMware vSphere, так и в среде Hyper-V
Позволяет восстановить виртуальную машину целиком или отдельный объект любого приложения или файловой системы из резервной копии образа виртуальной машины
21© LETA IT-Company
SAFENET PROTECT V – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов доступа в ВИ
• Управление доступом в виртуальной инфраструктуре
• Регистрация событий
• Управление потоками информации между компонентами ВИ и по периметру ВИ
• Доверенная загрузка серверов виртуализации, ВМ и т.д.
• Управление перемещением ВМ и обрабатываемых на них данных
• Контроль целостности виртуальной инфраструктуры и ее конфигураций
• Резервное копирование данных, технических средств и т.д.
• Антивирусная защита в ВИ
• Разбиение ВИ на сегменты
22
КОНТАКТНАЯ ИНФОРМАЦИЯ
LETA109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru
© 2011 LETA. All rights reserved.This presentation is for informational purposes only. LETA makes no warranties, express or implied, in this summary.
Владимир ОвчарукЗаместитель директора Департамента внедрения и
консалтингаМоб. тел.: +7 (968) 827-3821e-mail: [email protected]
Top Related