Безагентние технології забезпечення безпеки віртуального середовища і Software-defined networking (SDN)

Регулярні проблеми з порушенням конфіденційності корпоративних даних, атаки на інфраструктуру і програми, запущені в віртуальному середовищі, прямі багатомільйонні втрати грошей банками - це результат використання засобів захисту інформації (СЗІ) не відповідають сучасній архітектурі віртуалізованих ЦОД. Регулятори, які відстежують численні інциденти ІБ намагаються врахувати широке використання віртуальних середовищ в ІС. З лютого 2013 року діють Накази № 17 і 21, які регламентують вимоги до СЗІ для забезпечення безпеки персональних даних в середовищі віртуалізації. Вперше в офіційному документі з'явився перелік вимог до захисту віртуального середовища, але вони не був достатньо деталізований. Це призвело до практики використання застарілих СЗІ, розроблених для фізичної середовища у віртуальній, що було на руку виробникам, але знизило рівень захисту ІС клієнтів, які втратили через використання старих технологій гроші, інформацію і клієнтів. Виробники платформ віртуалізації теж не встигали за розвитком технічних засобів і компетенцій зловмисників, пропонуючи перехідні архітектури своїх рішень, які не відповідали вимогам для віртуалізованих ЦОД. Однією з ключових характеристик сучасних СЗІ є безагентная архітектура. Але в найпопулярнішою три роки тому платформі віртуалізації VMware vSphere v. 5, що анонсувала «безагентний» антивірус, насправді використовувався агент vShield, що знижує ефективність і захищеність клієнтських додатків в віртуальних ВМ. Першим гіпервізором, який запропонував SDN архітектуру віртуального комутатора, став з'явився в Windows Server 2012R2 Extensible Switch Hyper-V, що дозволив стороннім розробникам: Cisco, NEC, Inmon і 5nine запропонувати розширення безпеки власної розробки і вперше реалізувати безагентний антивірус у віртуальному середовищі.

Можливість розширення комутатора дозволила додаткам безпеки працювати безпосередньо на рівні віртуальних мереж. Прикладами таких розширень є міжмережеві екрани з SPI (Stateful Packet Inspection) і DPI (Deep Packet Inspection), антивірусні сканери, системи виявлення та запобігання вторгнення (IDS / IPS) захищають від атак на рівні додатків (DDoS, spoofing і т. П.) , засоби управління смугою пропускання, що забезпечують QoS у віртуальному середовищі. Створюючи спеціалізовані драйвери для фільтрації і зміни TCP / IP-пакетів, контролю та авторизації з'єднань, фільтрації протоколів, продукти партнерів перевіряють, фільтрують або відхиляють шкідливі або підозрілі пакети, використовуючи сигнатурні або евристичні методи аналізу. На відміну від СЗІ попереднього покоління, які забезпечували безпеку тільки ВМ або хоста, сучасні технічні засоби дозволяють контролювати і захищати всю середу віртуалізації: parent partition хоста, vNIC, мережевий трафік, диски і пам'ять ВМ, не залишаючи вразливостей або неконтрольованих областей.

У чому ж проблема використання застарілих агентних СЗІ?

1.Багато віруси намагаються блокувати роботу агента в ВМ. Недбалий працівник або зловмисник можуть видалити агент або відключити його. Безліч останніх інцидентів починалися з проникнення і відключення СЗІ на робочому місці, а потім зловмисник отримував доступ до управління всією мережею підприємства або банку.

2. Бази сигнатур, їх регулярні оновлення і сам антивірусний агент споживають великий обсяг ресурсів ВМ, завантажуючи мережу, приводячи до зниження продуктивності хоста або кількості ВМ, що зменшує економічний ефект від віртуалізації ресурсів.

3. При інфікуванні однієї або декількох ВМ на хості або одночасному скануванні підвищується кількість звернень до дисків, що призводить до антивірусного шторму і деградації продуктивності хоста.

4. Атаки на рівні віртуальної мережі або з однієї ВМ на іншу не визначаються апаратними СОВ контролюючих фізичне середовище і атаки in / out. Цим активно користуються зловмисники, які за допомогою засобів соціальної інженерії або ненадійності персоналу отримують доступ до однієї ВМ і, потім, розвивають атаку на всю внутрішню мережу, обійшовши потужні і дорогі прикордонні міжмережеві екрани і COB.

Сучасні безагентние СЗІ, такі як 5nine Cloud Security для Hyper-V, в базовому режимі не встановлюють агенти в ВМ, скануючи VHD / VHDX ВМ за допомогою власного сервісу управління на хості. Продукт використовує сучасну технологію інкрементального сканування за допомогою драйвера CBT (Changed Block Tracking), обробляючи тільки змінені блоки даних файлів на диску ВМ. В результаті повторні сканування займають всього від 40 секунд до 3 хвилин, замість звичайного багатогодинного процесу, зберігаючи ресурси процесора і пам'яті. Сканування безагентного антивіруса проводиться до 70 разів швидше, ніж у застарілих рішень на базі агентів в ВМ. Також на наявність вірусів сканується трафік HTTP віртуальної мережі, що взагалі недоступно технологій попереднього покоління.

Отже, використовуючи сучасні безагентние технології захисту віртуального середовища компанії і організації можуть:

1. Захиститися від нових загроз у віртуальному середовищі і отримати надійну комплексну багаторівневу захист без «прогалин».
2. Зменшити вплив свого персоналу на безпеку.
3. Знизити трудомісткість забезпечення безпеки: немає необхідності перевіряти та оновлювати сигнатури на кожній ВМ. Ці процедури автоматично виконуються на хості.
4. Уникнути конфлікту ресурсів, таких як антивірусні шторми

Инкрементальное сканування підвищує продуктивність віртуальної інфраструктури. На хості можна запустити більше ВМ, підвищити щільність віртуалізації і економічний ефект від її впровадження.

Розуміння серйозних загроз, пов'язаних з використанням застарілих технологій з'явилося і в банківській галузі, однієї з найбільш критичних до погроз і втрат. Спостерігаючи за останні роки низку інцидентів, які призводять до втрат мільярдів рублів і довіри клієнтів, ЦБ РФ проаналізував їх причини і випустив в 2015 році рекомендацію по «Забезпеченню інформаційної безпеки при використанні технології віртуалізації» .

У цьому документі даються докладні і точні вказівки, як зробити свій бізнес безпечним і захиститися від сучасних загроз. У розділі 9 «Рекомендації щодо забезпечення ІБ віртуальних машин» прямо вказано: «Рекомендованим рішенням є використання засобів захисту від впливу шкідливого коду на рівні гипервизора без установки агентського ПО на віртуальні машини.»

Які ж варіанти реалізації цієї вимоги існують на ринку зараз? Один з лідерів ринку - компанія VMware придбала стартап Nicira, розробника комплексного вирішення Software-defined networking (SDN). Допрацювавши і інтегрувавши їх рішення, VMware випустила свою платформу NSX, яка є основою архітектури Software Defined Data Center (SDDC). Крім розширених функцій мережевого управління, платформа NSX використовується для побудови захищеної інфраструктури, що базується на межсетевом екрані з SPI (Stateful Packet Inspection) і високої деталізації контролю за MAC, IP, портам групам active directory і т. Д. NSX використовує рішення партнерів для реалізації розширених сценаріїв захисту інфраструктури: Palo Alto Networks, Checkpoint, Fortinet і McAffee. У складі сервісів безпеки, пропонованих партнерами VMware з'явився безагентний антивірус, міжмережевий екран рівня додатків L7, IPS і моніторинг трафіку. Недоліком рішення є його ціна, яку виробник анонсував на рівні 6000 доларів за 1 процесор.

Що ще з нових технологій безпеки очікує нас в цьому році? На другу половину року заплановано реліз комерційної версії Windows Server 2016. Поряд з оновленнями перевірених безагентних розширень віртуального комутатора Hyper-V, нас чекає новий SDN свитч - конкурент NSX, який крім традиційних завдань управління мережевим трафіком і його безпекою, забезпечить можливість побудови гібридного хмари і прозорого переміщення робочих навантажень в Miscosoft Azure і назад.

Основні можливості Microsoft Network Controller аналогічні NSX:

1. Наявність RESTful API для управління SDN Host Agent, запущеними на кожному хості Hyper-v. SDN Host Agent управляє кожним Hyper-V Virtual switch.
2. Підтримка VxLAN або NVGRE для створення логічних мереж L2 в рамках вже існуючих мереж L3.
3. Наявність балансувальника навантаження Software Load Balancer, який транслює зовнішні IP адреси в віртуальні з використанням BGP

Нові технології дозволили створити багаторівневий керований міжмережевий екран Datacenter Firewall. Він розрахований на багато користувачів, мережевого рівня, з фільтрацією по протоколу, типам порту і IP-адреси, Stateful Packet Inspection і захищає віртуальні мережі клієнта від небажаного трафіку з Інтернет і інтранет мереж. На рівні хоста безагентной захистом ВМ забезпечить антивірус і IDS від 5nine.

Крім того, в Windows Server 2016 з'явилося ще ряд нововведень, що підвищують безпеку клієнтів в приватному, громадському або гібридному хмарі Microsoft.

Для захисту ВМ в Windows Server 2016 з'явиться технологія Shielded Virtual Machines, що дозволяє зашифрувати диски ВМ з боку гостьового адміністратора, надійно закривши його вміст від адміністратора хоста за допомогою клієнтського Bitlocker.

З'явилися принципово нові інструменти безпеки, що використовують можливості великого Azure. Перша - це Microsoft Advanced Threat Analytics (ATA). Це платформа, що розгортається в приватному хмарі, яка використовує трафік Active Directory і дані SIEM для виявлення і попередження про потенційні атаках за допомогою просунутих технологій, які використовують machine learning. АТА виявляє відхилення в поведінці, шкідливі атаки і «вузькі місця» в безпеці.

Друга платформа - це Microsoft Operations Management Suite (OMS) Він обробляє журнали безпеки і подій МСЕ в приватному або публічному хмарі для аналізу і виявлення нестандартної поведінки. Отримавши дані аналізу, співробітник інформаційної безпеки може вирішити, чи потрібно подальше розслідування. потім використовувати можливості докладного пошуку, щоб відстежувати і досліджувати інциденти. Це це добре масштабується хмарний сервіс, який в змозі обробляти кількома терабайт даних кожен день. Ви можете скористатися наявними можливостями Microsoft Azure, щоб співвіднести дані, отримані в вашій мережі з базами IP адрес, отриманих від спеціалізованих фірм, урядових агентств і інших джерел.

Всі ці сучасні технології допоможуть вам створити багаторівневий захист, що об'єднує обчислювальні потужності, що використовують як хмарні ресурси, так і власні ЦОД. Ви можете відмовитися від величезних разових витрат на малоефективні СЗІ попередніх поколінь, неефективних в віртуальному середовищі, комбінувати покупку сучасного безагентного ПО з оплатою сервісів на вимогу, в т. Ч. По моделі SECaaS. Це дозволить вам істотно підвищити захист критичною для бізнесу інформації, виконати вимоги регуляторів і не допустити перевитрати бюджету. Пам'ятайте, що при покупці антивіруса, брандмауера або IDS для віртуального середовища вам потрібно перевірити, безагентние вони?

https://technet.microsoft.com/ru-ru/virtualization/mt723605