На страже ЦОД и облака

В последнее время мир накрывает третья волна перехода к использованию технологий виртуализации серверов и систем хранения. Для этого этапа характерен еще больший уровень абстракции предоставляемых сервисов от аппаратных ресурсов, причем ресурсов не только внутренних, но и внешних. Одним словом, речь идет об облачных технологиях.

Процесс этот идет отнюдь не так уж просто. На его пути множество проблем самого различного свойства, как технических, так и связанных с другими аспектами — например, регуляторными или относящимися скорее к области психологии лиц, принимающих решения. Но одним из самых главных препятствий оказывается проблема поддержания безопасности. Это усугубляется еще и тем, что традиционные методы защиты в новой среде не всегда работают должным образом. В итоге средства защиты в последнее время заметно трансформируются, адаптируясь к использованию в измененном ландшафте. Кроме того, во многих решениях начинают использоваться технологии виртуализации.

Что не так в современном ЦОД и облаке?

Проблемы, связанные с обеспечением безопасности в облачных и виртуализированных средах, делятся на две большие группы: организационные и технологические. Они в принципе одинаково важны, и невнимание к обеим чревато существенными неприятностями. Но все же большая часть организационных проблем останется за рамками нашего разговора.

Что происходит при использовании виртуализации? На одном физическом сервере запускается несколько виртуальных машин, и каждую из них нужно защитить. Но если на все виртуальные машины поставить тот же антивирус, то это может привести к серьезной деградации производительности. Да и плата за лицензирование антивирусного ПО и его поддержку также увеличивается. Кроме того, крайне велик риск того, что антивирусное ПО на виртуальной машине окажется устаревшим и, следовательно, бесполезным против новых угроз. Просто потому, что она может просто какое-то время не запускаться, а значит, база сигнатур вредоносов при этом не обновляется. А такая ситуация далеко не редкость.

Незащищенные виртуальные машины вполне могут взаимодействовать с продуктивными системами, что также представляет собой серьезнейшую проблему, на которую, однако, часто закрывают глаза. Данное обстоятельство, как отмечает целый ряд аналитиков, не привело к серьезным инцидентам лишь по недосмотру потенциальных злоумышленников.

Внедрение облачных технологий всегда увеличивает объемы сетевого трафика. Вопрос лишь в том, насколько сильным будет это увеличение. И в ряде случаев оно бывает очень существенным, например, при внедрении технологии VDI. А это, в свою очередь, означает, что имеющиеся средства защиты перестанут справляться с возложенными на них задачами.

Но хуже всего обстоит дело со многими традиционными средствами аутентификации пользователей и разграничения прав доступа к файлам. Они в облачных и виртуализированных средах просто не работают.

В итоге, как показывают исследования, 60% виртуальных серверов защищены хуже, чем физические. Со многими облачными сервисами дело обстоит, скорее всего, еще хуже.

От физического appliance к виртуальному

Естественно, сложившаяся ситуация ведет к тому, что производители всевозможных средств защиты стремятся адаптировать свои продукты к изменяющейся среде. И один из путей такой адаптации — перенос программно-аппаратных комплексов в виртуальную среду. Создается виртуальная машина с тем или иным приложением или их набором, которая если и требует дополнительной настройки, то в минимальном объеме, поскольку создана с учетом встраивания в интерфейсы того или иного гипервизора, будь то продукты VMWare, Microsoft, Parallels, Citrix/XEN. Такие комплексы обычно называют Virtual Appliance. Среди таких решений немало тех, которые ориентированы на решение всевозможных задач, связанных с обеспечением информационной безопасности. Их предлагают, в частности, IBM (IDS/IPS-системы), StoneSoft (межсетевые экраны, SSL/VPN-шлюзы, IDS/IPS-системы), Kerio (межсетевые экраны), Fortinet (полный спектр решений сетевой безопасности под маркой FortiGate), TrendMicro (антивирус, защита электронной почты, фильтрация мусорной почты и Web-трафика), CheckPoint (полный спектр решений сетевой безопасности). Надо отметить, что этот список далеко не полон. Кроме того, такие средства можно создавать и самостоятельно. Есть рекомендации по созданию таких средств для целого ряда популярных продуктов, как коммерческих, так и с открытым кодом. К слову, среди них есть далеко не только средства обеспечения безопасности.

Преимущества, получаемые при этом, в целом очевидны:

• Virtual Appliance легко установить в существующую ИТ-инфраструктуру, без необходимости покупки нового оборудования;
• легко установить несколько систем защиты разного назначения на одном физическом сервере;
• легко подключить к Virtual Appliance дополнительное оборудование и другие ресурсы;
• оптимизация системного и прикладного ПО дает наилучшую производительность при минимальной нагрузке на систему;
• отсутствие уязвимых системных служб;
• снижение затрат на лицензирование по сравнению с использованием традиционных программных средств;
• гарантия от всяческого рода программных конфликтов.

Одно устройство, несколько задач

В последнее время стала заметна тенденция: сами программно-аппаратные комплексы, в том числе и ориентированные на поддержание информационной безопасности, тоже начинают использовать технологии виртуализации. Начался этот процесс с наиболее «тяжелых» решений высшего класса. О применении такого рода решений заявили по крайней мере две компании: CheckPoint и Crossbeam.

Наиболее последовательным выглядит решение от Crossbeam. К тому же оно существует дольше всех. Кому-то будет важно и то, что комплексы от Crossbeam собираются в России, на совместном предприятии. Физически данное решение представляет собой блейд-платформу, которая может нести до 14 лезвий. Из них как минимум два выделены для обслуживания системы, это модули управления и сетевой. Для повышения отказоустойчивости эти модули можно продублировать. Управляющий модуль работает на операционной системе XOS, представляющей собой специальным образом доработанную Red Hat Enterprise Linux.

Crossbeam — открытая платформа, хотя и с некоторыми оговорками. Помимо собственных программных модулей, туда можно устанавливать различные средства от сторонних разработчиков: Web и антиспам-фильтры, средства предотвращения вторжений, защиты от утечек информации, вредоносного ПО и т. д. Так, сертифицированы на совместимость модули от таких компаний, как Check Point, Trendmicro, Websence, IBM, Imperva и Sourcefire. Причем установка этих модулей возможна как на физические системы, так и на виртуальные, что, естественно, существенно повышает потенциальные возможности масштабирования решения. Решение «Программные блейды» от CheckPoint также использует технологии виртуализации. Это позволяет при необходимости подключать к уже имеющемуся устройству ту или иную функциональность практически без ущерба для производительности. Это позволяет превратить любой шлюз безопасности от CheckPoint в средство фильтрации Web, VoIP и почтового трафика, защиты от вредоносного ПО и мусорной почты, утечек информации, а также в WAN-оптимизатор и средство поддержки динамической маршрутизации, широковещательных сообщений (multicast) и уровня качества сервиса (QOS, Quality of Service). Полный список программных блейдов можно найти по адресу http://rus.checkpoint.com/products/softwareblades/architecture/index. html. Как утверждается, библиотека приложений компании Check Point (Application Library) позволяет вести сканирование и отслеживать работу более чем 4500 интернет-приложений и свыше 50 тыс. виджетов — независимо от порта, протокола или используемых сетевых технологий.

«Программные блейды» от CheckPoint появились почти три года назад. Это решение реализовано несколько менее последовательно, чем у Crossbeam. Так, например, выбор подключаемых модулей ограничен лишь теми, что предлагает сам вендор. Модули от сторонних разработчиков, насколько нам известно, отсутствуют.

Вполне возможно, что продукцией только этих вендоров список поставщиков решений для обеспечения безопасности не исчерпывается. Ведь не секрет, что данная область, по вполне понятным причинам, весьма чувствительна, и сведения о «начинке» тех или иных решений готовы раскрывать далеко не все.

В новых условиях нельзя полагаться на традиционные технологии защиты

Антон Банчуков,
менеджер по корпоративным продуктам Dell

Ведущие аналитики прогнозируют, что к 2014 г. 15% рабочих мест будут виртуализированы. В абсолютных цифрах это 66 млн виртуальных машин.

Одновременно с этим растет и количество угроз. Вредоносное ПО применяют не только компьютерные хулиганы, но и профессионалы, которые пытаются завладеть корпоративными данными или нарушить работу организации. Не ослабевает давление со стороны регулирующих организаций и законодательства.

Традиционно в этих условиях ИТ-службы полагались на защиту по периметру. Но при использовании технологий виртуализации защита по периметру уже не может быть эффективной. Возникает необходимость выстраивания защиты вглубь, включая, например, защиту от вредоносного ПО, файерволы, системы защиты от вторжений, управления устройствами и т. д.

Кроме того, для физических устройств внутри компании требуется один вид защиты, для виртуальных (гипервизоры, виртуальная сеть, рабочие столы) — другой. Критический фактор успеха в данном случае — правильное взаимодействие между всеми этими слоями и системами менеджмента. В данном случае виртуальная машина с установленной ОС и протестированным ПО умеет взаимодействовать с системами управления и отчетности. Многие вендоры, в том числе и Dell, уже представили такие решения. Есть и другие важные детали. Например, когда на одном сервере с несколькими сотнями виртуальных столов включается регулярная ночная антивирусная проверка, это ведет к явлению, называемому нашими западными коллегами «AV storm» (антивирусный шторм). Загрузка системы достигает критических пределов, что значительно затрудняет работу сотрудников.

Можно предложить два выхода из ситуации. Во-первых, это централизованная проверка, когда применяется один образ загрузки (так называемый golden-образ) операционной системы и приложений, а различается лишь небольшое количество персональных данных, которые хранятся в персональных папках пользователей. Тогда проверка затрагивает лишь различающиеся объекты. Если же приходится работать с совсем разными типами файлов, разными версиями, приложениями, можно применять и более простые методы. Например — метод рандомизации, когда антивирусная проверка файлов проводится на разных рабочих станциях с разбивкой по времени. Тем самым снижается нагрузка на сервер.