ukrainian information security group сидорова мария
DESCRIPTION
TRANSCRIPT
![Page 1: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/1.jpg)
Специфические информационные угрозы виртуальных инфраструктур.Опыт решения задач защиты информации в виртуальной среде
Ukrainian Information Security Group
30 ИЮЛЯ 2010, КИЕВ
Заместитель руководителя направления "Защита виртуальных инфраструктур"
МАРИЯ СИДОРОВА
![Page 2: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/2.jpg)
2
О виртуализации
![Page 3: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/3.jpg)
Зачем нужна виртуализация?
3
• Позволяет быстро и дешево выделять серверные ресурсы
• Автоматически приводит к низкой утилизации, рассматривая все серверы и системы хранения как единое пространство, динамически выделяя дополнительные ресурсы при росте нагрузки и освобождая - при низкой
• …• …
![Page 4: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/4.jpg)
Виртуализация в цифрах
4Источник: Gartner, 2009
Результаты опроса Garther “Top 10 Technology Priorities in 2010”:
1. Virtualization2. Cloud computing3. Web 2.04. Networking, voice and data communications5. Business Intelligence6. Mobile technologies7. Data/document management and storage8. Service-oriented applications and architecture9. Security technologies10. IT management
1. Virtualization
![Page 5: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/5.jpg)
Виртуализация в цифрах
5
![Page 6: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/6.jpg)
Виртуализация в цифрах
6
![Page 7: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/7.jpg)
7Источник: Gartner, 2010
виртуальных машин защищены хуже, чем их физические аналоги
Виртуализация в цифрах
![Page 8: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/8.jpg)
8Источник: Gartner, 2010
проектов виртуализации выполняются без привлечения специалистов в области ИБ
Виртуализация в цифрах
![Page 9: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/9.jpg)
9
Специфические информационные угрозы
![Page 10: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/10.jpg)
Виртуальная среда
10
Гипервизор
Сервер виртуализации
Ядро ОС Ядро ОС
Приложе-ния
Приложе-ния
Аппаратное обеспечение
Упр
авл
ение
вир
туал
ьной
ин
фра
стру
ктур
ой
Обычный компьютер
Ядро ОС
Приложения
Аппаратное обеспечение
![Page 11: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/11.jpg)
Типы виртуализации
Тип 1 Тип 2
11
![Page 12: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/12.jpg)
Уровни безопасности
• Разделение на уровни безопасности по версии Xtravirt– Уровень виртуализации– Виртуальные машины– Сервисная консоль – Сервер виртуализации– Сеть хранения данных– Сервер управления инфраструктурой
• Угрозы, что и для физической инфраструктуры• Появляются новые угрозы, специфичные для среды
виртуализации• В Интернете растет число публикаций по реализации
атак
12
![Page 13: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/13.jpg)
Традиционные средства защиты!?
• Трафик между двумя виртуальными машинами, находящимися на одном сервере виртуализации, не покидает его
• Виртуальные машины и приложения не привязаны к одной физической платформе
• Сразу несколько виртуальных машин находятся в одном разделе в целях обеспечения "горячей" миграции и отказоустойчивости
• Возможность создать новую виртуальную машину за несколько минут
13
![Page 14: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/14.jpg)
Использование специальных утилит
• Такой анализ не дает полной картины о состоянии информационной безопасности инфраструктуры виртуализации
14
![Page 15: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/15.jpg)
Особенности мониторинга
• Стандартные средства мониторинга и логирования легко обойти
• Новые типы активности, которые необходимо интерпретировать
• Новые объекты для мониторинга
15
![Page 16: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/16.jpg)
Обнаружение инцидентов
• Для инфраструктуры виртуализации существующие инструкции и регламенты по реагированию на инциденты могут оказаться неприемлемыми
• Примеры инцидентов– Клонирование машины в нерабочее время– Создание нового хранилища и последующее его удаление в течение
небольшого промежутка времени– Несколько идущих подряд изменений аппаратной конфигурации
гостевой ОС производственной виртуальной машины
16
![Page 17: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/17.jpg)
Организационные проблемы
• Разделение ответственности:– Сервер– Приложения– Данные– Сеть
• Разделение обязанностей администраторов• Ряд ограничений, которые возможно не позволят их
встроить в существующие политики и регламенты по ИТ и ИБ
17
![Page 18: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/18.jpg)
Мировые практики и рекомендации
• В каждом документе более 100 страниц настроек безопасности
![Page 19: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/19.jpg)
Рекомендации CIS ESX Server Benchmark
• “Configure NTP on VMware ESX Server”• “Configure the Service Console Firewall for High
Security“• “Configure xinetd Access Control”• “Limiting Access to su*” • “Set GRUB Password” • “Prevent the Guest OS Processes from Flooding the ESX
Server Host” • “Remove Unnecessary Hardware Devices”• …
Более 100 рекомендаций…
![Page 20: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/20.jpg)
…но, есть человеческий фактор
![Page 21: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/21.jpg)
Будущее средств защиты
• Снижение затрат на процесс управления целостностью конфигураций системы безопасности (Gartner)
• Разделение и делегирование полномочий “суперпользователей” (отраслевые стандарты)
• Усиленный контроль доступа администраторов к виртуальной инфраструктуре (Gartner)
• Ролевой и мандатный контроль доступа (Atsec)
• Снижение затрат на соответствие требованиям законов и отраслевых стандартов (Gartner)
![Page 22: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/22.jpg)
Каким путем пойти?
22
?
Использовать только специализированные нечувствительные к угрозам виртуализации средства защиты
Использовать традиционные средства
специализированное решение, закрывающее угрозы виртуализации
![Page 23: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/23.jpg)
23
vGate 2.1Управление доступом и изменениями параметров
безопасности виртуальной инфраструктуры
![Page 24: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/24.jpg)
24
vGate 2.1• Защита информации от утечек через специфические
каналы среды виртуализации• Усиленная аутентификация и контроль доступа
администраторов• Контроль изменений конфигурации • Соответствие требованиям
![Page 25: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/25.jpg)
vGate 2.1: уникальные преимущества • Мандатное и ролевое управление доступом с помощью
бизнес-категоризации• Управление и контроль конфигураций через политики с
предоставленными шаблонами • Усиленная аутентификация, разделение ролей
администраторов, делегирование полномочий• Защита от утечек информации через каналы,
специфичные для виртуальной инфраструктуры – Контроль устройств– Доверенная загрузка виртуальных машин– Контроль доступа администраторов
• Аудит и глубокий мониторинг событий ИБ
![Page 26: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/26.jpg)
vGate 2.1: мандатный контроль доступа
26
Два типа меток конфиденциальности:
• Степень важности информации:Открытая информация
Для внутреннего использования
Коммерческая тайна
Информация первых лиц
• Бизнес категории информации:БухгалтерияПродажиПроизводство
![Page 27: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/27.jpg)
vGate 2.1: политики безопасности
27
• Позволяют контролировать параметры безопасности в автоматическом режиме
• Могут применяться к:– ESX-хостам– Виртуальным машинам
• Примеры:– Только ВМ с метками «Открытая информация»
могут клонироваться и помещаться в шаблоны ВМ– ESX-хосты и ВМ с меткой «Платежи» должны
соответствовать PCI DSS
![Page 28: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/28.jpg)
vGate 2.1: соответствие требованиям
28
• Приведение в соответствие – PCI DSS– VMware Security Hardening Best Practice– CIS VMware ESX Server 3.5 Benchmark
• Возможность создания собственного шаблона соответствия
• Контроль изменения конфигурации
![Page 29: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/29.jpg)
29
• Сервер авторизации • Модули защиты ESX• Рабочее место
администратора ВИ• Консоль управления
администратора ИБ
vCenter
ВМ ВМ ВМ ВМ
Администратор Администратор
ESX-хост ESX-хост
vGate
vGatevGate
Архитектура
![Page 30: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/30.jpg)
30
• Право на использование Сервера авторизации vGate
• Право на использование vGate для защиты ESX-хостов
Лицензирование
vCenter
ВМ ВМ ВМ ВМ
Администратор Администратор
ESX-хост ESX-хост
vGateшт.
сокеты сокеты
![Page 31: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/31.jpg)
Комплексная защита виртуализации• Задачи комплексной защиты виртуализации можно
разделить на следующие группы:– Защита инфраструктуры виртуализации
vGate– Защита информации от НСД
Secret Net Security Studio Suite
– Доверенная загрузка ESX хостов и виртуальных машин Соболь vGate
– Защита сети виртуальных машин Trust Access HoneyPot Manager
– Защита периметра (в случае территориально распределенных ЦОД) Континент
– Контроль ИБ Secret Net КБ Инвентаризация
31
![Page 32: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/32.jpg)
32
vGate 2.1
Подробнее о vGate:• http://www.securitycode.ru/products/sn_vmware/ • [email protected]
Предоставляем демо-версию vGate:• http://www.securitycode.ru/products/demo/
![Page 33: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/33.jpg)
33
О Компании«Код Безопасности»
![Page 34: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/34.jpg)
«Код Безопасности»
• Российский разработчик программных и аппаратных средств для защиты информации
• Входит в группу компаний «Информзащита», крупнейший специализированный холдинг российского рынка информационной безопасности
• Компания образована в октябре 2008 года на основе отдела собственных разработок ГК «Информзащита» (около 70 инженеров)
• Сейчас в компании работают более 200 человек
34
![Page 35: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/35.jpg)
Как мы работаем
VMware (Technology Alliances Partner)www.vmware.com
Microsoft (Microsoft Gold Certified Partner в категории Решения безопасности и ISV/Software Solutions)www.microsoft.com
Citrix(Citrix Alliance Program, Technology Member)www.citrix.com
35
![Page 36: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/36.jpg)
Нам доверяют защиту своей информацииАдминистрация Президента РФАдминистрация Президента РФЦентральный БанкЦентральный БанкГАС «Выборы»ГАС «Выборы»Министерство финансовМинистерство финансовФедеральное казначействоФедеральное казначействоОАО «Вымпелком»ОАО «Вымпелком»ОАО «Внешторгбанк»ОАО «Внешторгбанк»Региональные управления Банка Региональные управления Банка России и СбербанкаРоссии и СбербанкаРосэнергоатомРосэнергоатомГМК «Норильский никель»ГМК «Норильский никель»и т.д.и т.д.
![Page 37: Ukrainian information security group сидорова мария](https://reader031.vdocuments.us/reader031/viewer/2022020723/54bce8514a79592c608b4569/html5/thumbnails/37.jpg)
СПАСИБО ЗА ВНИМАНИЕ!ВОПРОСЫ?
Ukrainian Information Security Group
МАРИЯ СИДОРОВА
30 ИЮЛЯ 2010, КИЕВ
• +7 (495) 980-2345 (многоканальный)• [email protected] • www.securitycode.ru
37
Заместитель руководителя направления "Защита виртуальных инфраструктур"