Защита виртуализацией

Сергей Лисачев объясняет тонкости защиты гипервизора

Аналитическая компания IDC совместно с Trend Micro провела 17 мая конференцию Virtualization Conference 2012, на которой обсуждались особенности технологии виртуализации с точки зрения информационной безопасности. Тимур Фарукшин, директор по консалтингу российского представительства IDC, отметил, что виртуализация — это не только проблема информационной безопасности, но и решение определенных задач в данной области. А Сергей Лисачев, консультант по решениям VMware, и вовсе убежден, что виртуальная инфраструктура в принципе защищена лучше, чем физическая.

Технология виртуализации подразумевает наличие дополнительного компонента — гипервизора, который не исполняет стороннего кода и контролирует работу приложений во всех виртуальных средах. Проверка на потенциальную опасность, организованная через гипервизор, работает более надежно, поскольку вредоносный код не может ей противостоять. Атаки же на сам гипервизор затруднены тем, что он не исполняет пользовательского кода и все драйвера поставляются разработчиком платформы виртуализации. При этом, как утверждает Лисачев, безопасность гипервизора тем выше, чем он компактнее. Гипервизор же VMware, по его словам, «на порядок компактнее конкурирующих», поэтому атаковать его еще сложнее, чем Hyper-V или Xen, работающие внутри базовой операционной системы, где в принципе можно запускать сторонние приложения. Таким образом, виртуализация служит дополнительным уровнем защиты при попытке захвата приложений или данных пользователей.

Кроме того, платформу виртуализации можно использовать для решения определенных задач информационной безопасности. В частности, в виртуальной среде можно проводить тестирование обновлений программ, чтобы проверить устойчивость их работы в «боевой» системе. Также в виртуальных средах можно легко развернуть серверы-ловушки для хакеров, которые внешне выглядят очень привлекательно для взлома, но реальных данных не содержат. Контролируя такую ловушку через гипервизор, администратор может выявить целенаправленные атаки и собрать сведения для поимки преступников. Расследование инцидентов в виртуальной среде также упрощается, поскольку взломщику сложнее добраться до системных журналов и их «подчистить». К тому же образы виртуальных систем целиком могут быть сохранены в резервной копии для последующего пристального анализа экспертами-криминалистами. Все это дает основания представителям VMware утверждать, что виртуальная среда может быть защищена лучше, чем информационная система, не использующая виртуализацию.

Следует отметить, что технология виртуализации объединяет приложения и данные в единую среду. Если до недавнего времени данные и приложения защищались по различным сценариям: данные — при помощи систем резервного копирования, программы — установкой антивирусных средств, то с переходом на виртуализацию методы защиты программ и данных должны сблизиться. Уже появляются технологии поиска вирусов внутри выключенной виртуальной машины — в частности, такой механизм реализован в Trend Micro Deep Security. Кроме того, с вредоносными программами начали бороться при помощи восстановления виртуальной среды из чистой и проверенной резервной копии. И этот процесс объединения методов защиты приложений и данных будет по мере распространения технологий виртуализации только расширяться.

Впрочем, чтобы виртуальные среды были безопаснее физических, нужно пользоваться предоставляемыми технологией виртуализации преимуществами. Недостаточно просто перенести уже построенную для физической инфраструктуры систему защиты на платформу виртуализации, нужно активно внедрять описанный выше дополнительный функционал: осуществлять контроль вирусов, поступающих извне виртуальной среды; устанавливать среды-ловушки; вести расследование инцидентов по резервным копиям виртуальных машин и др. Применяя эти современные методы защиты виртуальных приложений, предприятие будет иметь больше шансов сохранить контроль над своей информацией.