Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN)

Защита инфраструктуры Microsoft Hyper-V для финансовых организаций

|

Регулярные проблемы с нарушением конфиденциальности корпоративных данных, атаки на инфраструктуру и приложения, запущенные в виртуальной среде, прямые многомиллионные потери денег банками — это результат использования средств защиты информации (СЗИ) не соответствующих современной архитектуре виртуализированных ЦОД. Регуляторы, отслеживающие многочисленные инциденты ИБ стараются учесть широкое использование виртуальных сред в ИС. С февраля 2013 года действуют Приказы № 17 и 21, регламентирующие требования к СЗИ для обеспечения безопасности персональных данных в среде виртуализации. Впервые в официальном документе появился перечень требований к защите виртуальной среды, но они не был достаточно детализирован. Это привело к практике использования устаревших СЗИ, разработанных для физической среды в виртуальной, что было на руку производителям, но понизило уровень защиты ИС клиентов, потерявших из-за использования старых технологий деньги, информацию и клиентов. Производители платформ виртуализации тоже не успевали за развитием технических средств и компетенций злоумышленников, предлагая переходные архитектуры своих решений, не соответствовавших требованиям для виртуализированных ЦОД. Одной из ключевых характеристик современных СЗИ является безагентная архитектура. Но в самой популярной три года назад платформе виртуализации VMware vSphere v. 5, анонсировавшей «безагентный» антивирус, на самом деле использовался агент vShield, понижавший эффективность и защищенность клиентских приложений в виртуальных ВМ. Первым гипервизором, предложившим SDN архитектуру виртуального коммутатора, стал появившийся в Windows Server 2012R2 Extensible Switch Hyper-V, позволивший сторонним разработчикам: Cisco, NEC, Inmon и 5nine предложить расширения безопасности собственной разработки и впервые реализовать безагентный антивирус в виртуальной среде.

Расширяемость коммутатора позволила приложениям безопасности работать непосредственно на уровне виртуальных сетей. Примерами таких расширений являются межсетевые экраны с SPI (Stateful Packet Inspection) и DPI (Deep Packet Inspection), антивирусные сканеры, системы обнаружения и предотвращения вторжения (IDS/IPS) защищающие от атак на уровне приложений (DDoS, spoofing и т. п.), средства управления полосой пропускания, обеспечивающие QoS в виртуальной среде. Создавая специализированные драйверы для фильтрации и изменения TCP/IP-пакетов, контроля и авторизации соединений, фильтрации протоколов, продукты партнеров проверяют, фильтруют или отклоняют вредоносные или подозрительные пакеты, используя сигнатурные или эвристические методы анализа. В отличие от СЗИ предыдущего поколения, которые обеспечивали безопасность только ВМ или хоста, современные технические средства позволяют контролировать и защищать всю среду виртуализации: parent partition хоста, vNIC, сетевой трафик, диски и память ВМ, не оставляя уязвимостей или неконтролируемых областей.

В чем же проблема использования устаревших агентных СЗИ?

1.Многие вирусы стараются блокировать работу агента в ВМ. Халатный работник или злоумышленник могут удалить агент или отключить его. Множество последних инцидентов начинались с проникновения и отключения СЗИ на рабочем месте, а потом злоумышленник получал доступ к управлению всей сетью предприятия или банка.

2. Базы сигнатур, их регулярные обновления и сам антивирусный агент потребляют большой объем ресурсов ВМ, загружая сеть, приводя к понижению производительности хоста или количества ВМ, что уменьшает экономический эффект от виртуализации ресурсов.

3. При инфицировании одной или нескольких ВМ на хосте или одновременном сканировании повышается кол-во обращений к дискам, что приводит к антивирусному шторму и деградации производительности хоста.

4. Атаки на уровне виртуальной сети или с одной ВМ на другую не определяются аппаратными СОВ контролирующих физическую среду и атаки in/out. Этим активно пользуются злоумышленники, которые при помощи средств социальной инженерии или ненадежности персонала получают доступ к одной ВМ и, затем, развивают атаку на всю внутреннюю сеть, обойдя мощные и дорогие пограничные межсетевые экраны и COB.

Современные безагентные СЗИ, такие как 5nine Cloud Security для Hyper-V, в базовом режиме не устанавливают агенты в ВМ, сканируя VHD/VHDX ВМ при помощи собственного сервиса управления на хосте. Продукт использует современную технологию инкрементального сканирования при помощи драйвера CBT (Changed Block Tracking), обрабатывая только измененные блоки данных файлов на диске ВМ. В результате повторные сканирования занимают всего от 40 секунд до 3 минут, вместо обычного многочасового процесса, сохраняя ресурсы процессора и памяти. Сканирование безагентного антивируса производится до 70 раз быстрее, чем у устаревших решений на базе агентов в ВМ. Также на наличие вирусов сканируется трафик HTTP виртуальной сети, что вообще недоступно технологиям предыдущего поколения.

Итак, используя современные безагентные технологии защиты виртуальной среды компании и организации могут:

  1. Защититься от новых угроз в виртуальной среде и получить надежную комплексную многоуровневую защиту без «пробелов».
  2. Уменьшить влияние своего персонала на безопасность.
  3. Понизить трудоемкость обеспечения безопасности: нет необходимости проверять и обновлять сигнатуры на каждой ВМ. Эти процедуры автоматически выполняются на хосте.
  4. Избежать конфликта ресурсов, таких как антивирусные штормы

Инкрементальное сканирование повышает производительность виртуальной инфраструктуры. На хосте можно запустить больше ВМ, повысить плотность виртуализации и экономический эффект от ее внедрения.

Понимание серьезных угроз, связанных с использованием устаревших технологий появилось и в банковской отрасли, одной из самых критичных к угрозам и потерям. Наблюдая за последние годы череду инцидентов, которые приводят к потерям миллиардов рублей и доверия клиентов, ЦБ РФ проанализировал их причины и выпустил в 2015 году рекомендации по «Обеспечению информационной безопасности при использовании технологии виртуализации».

В этом документе даются подробные и точные указания, как сделать свой бизнес безопасным и защититься от современных угроз. В главе 9 «Рекомендации по обеспечению ИБ виртуальных машин» прямо указано: «Рекомендуемым решением является использование средств защиты от воздействия вредоносного кода на уровне гипервизора без установки агентского ПО на виртуальные машины.»

Какие же варианты реализации этого требования существуют на рынке сейчас? Один из лидеров рынка — компания VMware приобрела стартап Nicira, разработчика комплексного решения Software-defined networking (SDN). Доработав и интегрировав их решение, VMware выпустила свою платформу NSX, которая является основой архитектуры Software Defined Data Center (SDDC). Помимо расширенных функций сетевого управления, платформа NSX используется для построения защищенной инфраструктуры, базирующейся на межсетевом экране с SPI (Stateful Packet Inspection) и высокой детализации контроля по MAC, IP, портам группам active directory и т. д. NSX использует решения партнеров для реализации расширенных сценариев защиты инфраструктуры: Palo Alto Networks, Checkpoint, Fortinet и McAffee. В составе сервисов безопасности, предлагаемых партнерами VMware появился безагентный антивирус, межсетевой экран уровня приложений L7, IPS и мониторинг трафика. Недостатком решения является его цена, которую производитель анонсировал на уровне 6000 долларов за 1 процессор.

Что еще из новых технологий безопасности ожидает нас в этом году? На вторую половину года намечен релиз коммерческой версии Windows Server 2016. Наряду с обновлениями проверенных безагентных расширений виртуального коммутатора Hyper-V, нас ждет новый SDN свитч — конкурент NSX, который помимо традиционных задач управления сетевым трафиком и его безопасностью, обеспечит возможность построения гибридного облака и прозрачного перемещения рабочих нагрузок в Miscosoft Azure и обратно.

http://www.5nine.ru/files/global/finance/finance-2.jpg

Основные возможности Microsoft Network Controller аналогичны NSX:

  1. Наличие RESTful API для управления SDN Host Agent, запущенными на каждом хосте Hyper-v. SDN Host Agent управляет каждым Hyper-V Virtual switch.
  2. Поддержка VxLAN или NVGRE для создания логических сетей L2 в рамках уже существующих сетей L3.
  3. Наличие балансировщика нагрузки Software Load Balancer, транслирующего внешние IP адреса в виртуальные с использованием BGP

Новые технологии позволили создать многоуровневый управляемый межсетевой экран Datacenter Firewall. Он многопользовательский, сетевого уровня, с фильтрацией по протоколу, типам порта и IP-адреса, Stateful Packet Inspection и защищает виртуальные сети клиента от нежелательного трафика из Интернет и интранет сетей. На уровне хоста безагентной защитой ВМ обеспечит антивирус и IDS от 5nine.

Кроме того, в Windows Server 2016 появилось еще ряд новшеств, повышающих безопасность клиентов в частном, публичном или гибридном облаке Microsoft.

Для защиты ВМ в Windows Server 2016 появится технология Shielded Virtual Machines, позволяющий зашифровать диски ВМ со стороны гостевого администратора, надежно закрыв его содержимое от администратора хоста при помощи клиентского Bitlocker.

Появились принципиально новые инструменты безопасности, использующие возможности большого Azure. Первая — это Microsoft Advanced Threat Analytics (ATA). Это платформа, разворачиваемая в частном облаке, использующая трафик Active Directory и данные SIEM для обнаружения и предупреждения о потенциальных атаках с помощью продвинутых технологий, использующих machine learning. АТА выявляет отклонения в поведении, вредоносные атаки и «узкие места» в безопасности.

 Вторая платформа — это Microsoft Operations Management Suite (OMS) Он обрабатывает журналы безопасности и событий МСЭ в частном или публичном облаке для анализа и выявления нестандартного поведения. Получив данные анализа, сотрудник информационной безопасности может решить, требуется ли дальнейшее расследование. затем использовать возможности подробного поиска, чтобы отслеживать и исследовать инциденты. Это Это хорошо масштабируемый облачный сервис, который в состоянии обрабатывать несколькими терабайт данных каждый день. Вы можете использовать возможности Microsoft Azure, чтобы соотнести данные, полученные в вашей сети с базами IP адресов, полученных от специализированных фирм, правительственных агентств и других источников.

 

Все эти современные технологии помогут вам создать многоуровневую защиту, объединяющую вычислительные мощности, использующие как облачные ресурсы, так и собственные ЦОД. Вы можете отказаться от огромных разовых затрат на малоэффективные СЗИ предыдущих поколений, неэффективных в виртуальной среде, комбинировать покупку современного безагентного ПО с оплатой сервисов по требованию, в т. ч. по модели SECaaS. Это позволит вам существенно повысить защиту критичной для бизнеса информации, выполнить требования регуляторов и не допустить перерасхода бюджета. Помните, что при покупке антивируса, межсетевого экрана или IDS для виртуальной среды вам нужно проверить, безагентные ли они?

 

https://technet.microsoft.com/ru-ru/virtualization/mt723605