Обнаружение инцидентов ИБ в виртуальной инфраструктуре

Новые риски, связанные с переносом производственных ресурсов в виртуальную инфраструктуру

В то время как виртуализация становится мейнстрим-технологией, помогающей организациям экономить средства и достигать новых высот в оптимальном использовании существующих ресурсов, сотрудникам служб информационной безопасности следует более внимательно отнестиcь к новым рискам, вызванным повсеместным переходом к виртуализации.

Одна из основных характеристик виртуальной среды – динамичность – является как преимуществом для эксплуатирующих служб, позволяющим быстро выполнять операции развертывания и миграции виртуальных машин, так и недостатком для служб информационной безопасности, поскольку именно с этим связаны основные риски в виртуальной среде.

Перенеся производственные серверы на виртуальную платформу, нам следует осознать, что:

• ОС, приложения и данные больше не привязаны к одной физической платформе. Мы уже не можем точно сказать на каком именно сервере работает то или иное приложение.

• Администратор становится очень важной персоной, ведь именно он может осуществить копирование/клонирование виртуальных машин и целых томов данных.

• Стандартные средства мониторинга и журналирования легко обойти. Ведь операционная система не сможет сообщить о том, что ее целиком склонировали или остановили средствами гипервизора.

Использование технологии виртуализации порождает принципиально новые риски, требующие понимания службы ИБ и ставит перед ней новые вопросы:

• Кто создает / клонирует / перемещает виртуальные машины?

• Кто имеет доступ к физической инфраструктуре, которая обслуживает виртуальные машины?

• Учитывая скорость создания виртуальных машин, как удостовериться что на гостевые ОС вовремя установлены все необходимые обновления?

• Как избежать появления неподконтрольных виртуальных машин? Как избежать разрастания парка виртуальных машин?

• Как обеспечить сегрегацию данных различных степеней конфиденциальности? Этот вопрос может встать особо остро в связи с внешними нормативными требованиями по защите информации.

• Как защитить гипервизор? Теперь вместо заботы о приложениях и их операционных системах необходимо обеспечивать защиту еще и на уровне виртуализации (как минимум access control, patch management, configuration management).

Все эти вопросы необходимо решить в рамках программы управления рисками ИБ, в том числе требуется понять, какие принципиально новые инциденты ИБ могут возникнуть вследствие появления новых рисков, связанных с виртуализацией.

Примеры инцидентов, характерных для виртуальной среды

Чтобы понять, что может являться инцидентом в мире виртуальных машин, приведем характерные примеры для VMware Virtual Infrastructure. Предположим, что в каждом случае в сети имеется средство сбора событий и выявляения инцидентов (Security Information and Event Management, SIEM), которое до перехода на виртуальную платформу использовалось для мониторинга физической инфраструктуры, и посмотрим, насколько эффективным окажется SIEM-решение в новых условиях.

• Администратор виртуальной среды приносит из дома небольшую домашнюю систему хранения, во внерабочее время подключает ее к ESX-хосту, создает на ней новый раздел и клонирует на этот раздел производственную виртуальную машину с базой данных о клиентах компании или кадровой системой. Это действие может остаться совершенно незамеченным при традиционном подходе к мониторингу – контроль и аудит приложения и операционной системы. В физической инфраструктуре копирование файлов можно было бы обнаружить включив аудит на уровне файловой системы, но в виртуальной среде есть еще один уровень абстракции, который позволит скопировать данные и ОС целиком для дальнейшей обработки вне защищенной зоны, например, взлома пароля ОС и проведения прочих атак.

• Администратор виртуальной инфраструктуры приостанавливает (suspend) виртуальную машину, на которой работает система защиты (например, IDS), защищающая веб-сервер, внешний злоумышленник осуществляет атаку на веб-сервер, а затем администратор включает машину обратно, при этом атака остается незамеченной. В физической инфраструктуре выключение IDS-сервера или даже остановка одного сервиса была бы зарегистрирована подсистемой аудита и, при наличии соответствующих процесов, вызвала бы оповещение, в виртуальной среде такие действия остаются незамеченными.

• Нарушения политик ИБ – это тоже инциденты, которые необходимо выявлять. Рассмотрим, например, процесс тестирования патчей для кадрового приложения с помощью виртуальной инфраструктуры. Обычной практикой является клонирование производственной машины, применение и тестирование патча на клоне, затем применение патча на производственной виртуальной машине. Однако при таком подходе следует учитывать следующие вопросы:

  1. Было ли клонирование санкционированным?

  2. Достаточно ли защищена среда тестирования, в которой работает клон, для того, чтобы обрабатывать производственные данные из кадровой базы данных?

  3. Кто имел доступ к клону виртуальной машины и ее данным?

  4. Был ли клон своевременно удален после проведения тестирования?

Для того, чтобы ответить на подобные вопросы необходимо формализовать процедуры использования виртуальных машин, встроить новые подходы и методы, появившиеся в результате перехода к виртуальной инфраструктуре, в стандартные процессы управления и обслуживания IT-ресурсов, и конечно же, учитывать вопросы информационной безопасности в этих процедурах. Также важно осуществлять постоянный контроль выполнения этих политик и процедур, а также быть готовым подтвердить их исполнение данными из журналов событий в случае проведения аудита или расследования инцидента.

Способы выявления инцидентов в виртуальной инфраструктуре

Основное отличие при выявлении инцидентов в физической и виртуальной среде состоит в том, что в последней нельзя полагаться лишь на привычные механизмы журналирования и аудита гостевых ОС и приложений.

Для выявления подобных инцидентов необходимо производить мониторинг и аудит следующих компонентов:

• Гипервизора на уровне его ОС (ESX). Системные события, как правило, низкоуровневые и их невозможно напрямую связать с активностью на уровне виртуализации (копирование, перемещение виртуальных машин и т.д.), однако это необходимо для выявления сбоев, перезагрузок ESX-серверов и аутентификации в консоли ESX.

• Уровня виртуализации (VMware Virtual Center). Все самое интересное с точки зрения сотрудника ИБ происходит здесь. К сожалению, не все SIEM системы на данный момент способны «понимать» события с этого уровня.

• Гостевой ОС и интересующих приложений. Это стандартный подход, который не стоит игнорировать.

• Физической инфраструктуры, обслуживающей виртуальные датацентры.

Кроме мониторинга, необходимо также реализовать правила выявления специализированных инцидентов, присущих виртуальной среде, то есть понять логику проведения атак, подобных описаным выше, и, соответственно, формализовать правила их обнаружения.

Например, SIEM система с помощью правил корреляции может выявлять и оповещать о таких инцидентах как:

• Клонирование машины в нерабочее время

• Создание нового data store и последующее его удаление в течение небольшого промежутка времени

• Остановка (suspend) и включение виртуальной машины в течение небольшого промежутка времени

• Создание клона производственной виртуальной машины

• Несколько идущих подряд изменений аппаратной конфигурации гостевой ОС производственной виртуальной машины

• Подключение и отключение новых виртуальных машин в виртуальный свитч и/или кратковременный перевод виртуального свитча в promiscuous mode.

Резюме

Использование виртуализации позволяет компаниям получать ряд бесспорных преимуществ, таких как эффективное использование ресурсов, масштабирование производительности приложений, реализация катастрофоустойчивых конфигураций и другие, однако, как любое существенное изменение парадигмы в технологиях, несет в себе ряд рисков и дополнительных задач по обеспечению информационной безопасности. Одной из важнейших задач является мониторинг всех уровней виртуальной инфраструктуры для контроля выполнения политик ИБ и выявление инцидентов. Для выявления специфичных инцидентов виртуальной инфраструктуры вполне могут использоваться современные средства обнаружения инцидентов, при условии, что данные решения способны собирать и интерпретировать события от нового логического слоя – от различных компонентов виртуальной инфраструктуры.

«Информационная безопасность» №1, 2010