Почему возникла потребность в VMware vShield?

Вопросы безопасности являются первой причиной торможения проектов по переходу к облачным вычислениям, будь то использование SaaS, IaaS или построение собственного частного облака. Причина такого положения дел в том, что безопасность всегда была чем-то наложенным извне, чем-то несвойственным самой архитектуре виртуализации – традиционные вендоры обеспечения информационной безопасности лишь недавно стали подстраиваться к реалиям рынка виртуализации и догонять по технологиям стартапы, изначально строившие свои защитные продукты с учетом особенностей виртуализации и интерфейсов, предоставляемых VMware.

Традиционные решения для безопасности в среде VMware создают ряд неудобств для заказчиков, например, они не предназначены для виртуализированных систем и могут никак не интегрироваться с виртуальной инфраструктурой, что приводит к тому, что плюсы, предоставляемые виртуализацией, такие как консолидация и мобильность, нивелируются ограничениями, налагаемыми средствами защиты.

В результате компания VMware самостоятельно предложила решение проблем безопасности, что нашло отражение в представлении продуктов семейства vShield.

За выпуском компанией VMware на рынок линейки решений, объединенных зонтичным брендом vShield, можно проследить две основные цели – повысить уверенность заказчиков в защищенности виртуальной инфраструктуры и захватить кусок рынка сетевых устройств и информационной безопасности. Первое должно привести к ускорению проектов виртуализации и способствовать переходу заказчиков на следующие стадии пути к облачной инфраструктуре, что также будет означать повышение вложений в продукты VMware, а второе – это прямой выход на новый для VMware рынок.

Эволюция или революция?

Уже достаточно давно VMware предоставляет своим партнерам интерфейс VMsafe API для встраивания средств безопасности непосредственно в виртуальную инфраструктуру. Этот интерфейс позволяет производителям получать доступ к трафику, памяти и жесткому диску виртуальных машин извне этих машин и производить обработку трафика, памяти и жесткого диска на отдельной, специализированной виртуальной машине. Данный подход позволяет практически вынести решение отдельных задач по информационной безопасности за пределы гостевой виртуальной машины и перенести ее на уровень гипервизора и слоя виртуализации.

Не так много продуктов было разработано с использованием интерфейса VMsafe. По данным официального сайта VMware, партнерами по программе VMsafe являются компании Altor Networks, Checkpoint, IBM, McAfee, Reflex и Trend Micro. Остальные технологические партнеры VMware, желающие встраивать свои продукты для защиты в виртуальную инфраструктуру, уже должны использовать vShield – VMsafe закрыт для новых участников. Существующие решения продолжают работать с VMsafe, но в конечном итоге все партнеры и продукты должны будут перейти на использование vShield.

Представив семейство продуктов vShield, с одной стороны, VMware оптимизировала VMsafe и реализовала vShield Endpoint для интеграции со сторонними вендорами, а с другой – вывела на рынок собственные, самодостаточные решения, такие как vShield Edge и vShield App.

Преимущества использования VMware vShield

Использование продуктов vShield позволит компаниям снизить затраты на часть подсистем сетевой безопасности, но главное – это повышение безопасности всей виртуальной инфраструктуры за счет тесной интеграции средств защиты информации с виртуальной средой, что, в теории, должно сделать более простым и эффективным администрирование средств защиты и более рационально экономить ресурсы виртуальной инфраструктуры.

Например, единожды создав правила межсетевого экранирования виртуальных машин с помощью vShield App, можно быть уверенным в том, что эти правила будут применяться всегда и везде – независимо от миграции виртуальных машин на другие ESX-серверы или изменения IP-адресов машин.

vShield Endpoint предлагает защиту от вирусов на основе решений партнеров – уже  зарекомендовавших себя антивирусных вендоров. При этом антивирусные проверки происходят на выделенной виртуальной машине (Security Virtual Machine), а проверяемые данные поставляются драйвером vShield Endpoint, устанавливаемым в гостевую ОС. Давайте перечислим основные выгоды от использования vShield Endpoint и выделенной виртуальной машины для проведения антивирусных проверок:

• не нужно устанавливать антивирусных агентов внутри гостевых виртуальных машин;
• повышается эффективность антивирусной защиты за счет снижения временных задержек между выходом антивирусных сигнатур и их распространением, ведь больше не нужно распространять сигнатуры на все агенты – достаточно обновить их на Security Virtual Machine;
• лучшая производительность и более эффективное расходование ресурсов гипервизора – ведь не нужно в память каждой машины загружать антивирусное ядро, замедляя тем самым весь ESX-хост. Благодаря экономии ресурсов можно достигнуть гораздо большей плотности виртуальных машин на одном сервере,  что позволит быстрее и эффективней внедрять VDI, где на одном сервере размещается множество нересурсоемких виртуальных машин;
• гарантия защиты всех виртуальных машин в рамках ESX-хоста – ведь антивирусная защита работает сразу после включения машины, к тому же, защиту практически невозможно отключить изнутри виртуальной машины – ведь там нет агента, более того, гостевая машина даже не знает что она защищена извне.

vShield Manager позволяет собирать в одном месте все события безопасности от остальных управляемых им продуктов vShield, такие как события подсистем антивирусной защиты и межсетового экранирования. Анализ таких данных необходим для управления инцидентами и выполнения требований стандартов, а централизация и унификация их в одном месте делает vShield Manager потенциальным поставщиком событий для систем класса SIEM (Security Information Events Management).

Обратная сторона медали

Как и любая новая технология, интегрированная с гипервизором защита на основе линейки продуктов vShield требует тщательной оценки рисков перед внедрением. vShield не только меняет то, как реализуется информационная безопасность, но и кто ее реализует. В настройке политик безопасности фокус все больше смещается в сторону ИТ-подразделений, обслуживающих саму виртуальную инфраструктуру. С другой стороны, если эти функции остаются у сотрудников  подразделения сетевой безопасности, то для настройки политик ИБ, например, правил межсетевого экранирования в vShield App, специалисты ИБ должны понимать контекст виртуализации и хорошо ориентироваться в объектах виртуальной инфраструктуры.

Также переход на использование vShield может привести к тому, что безопасность будет финансироваться из ИТ-бюджета, который, как правило, гораздо больше бюджета подразделения информационной безопасности. С точки зрения лицензирования, использование vShield не всегда будет означать прямую экономию, например, для безагентской антивирусной защиты машин необходимы и лицензии на vShield Endpoint, и лицензии на антивирус, использующий этот интерфейс.

Где в этой архитектуре место вендоров ИБ?

Продвижение vShield выводит VMware на новые для нее рынки – рынок средств ИБ и сетевой инфраструктуры. И желание реализовать самостоятельно эти задачи вызывает новые вопросы по стратегии партнерства VMware с крупными вендорами. В частности, vShield Edge будет конкурировать с устройствами в виртуальном исполнении и традиционными сетевыми аппаратными устройствами. На момент написания материала известно лишь о нескольких ключевых партнерах VMware по работе с vShield – все они находятся в сфере защиты конечных точек и наиболее ожидаемая их интеграция с интерфейсом vShield Endpoint: RSA, Trend Micro, McAfee, Symantec и Лаборатория Касперского.

В целом, на рынке прочно закрепилась парадигма, согласно которой обеспечением платформенной ифраструктуры и решением вопросов безопасности должны заниматься разные компании. Более того, подавляющее большинство попыток ведущих платформенных игроков занять нишу в области ИБ не были приняты сообществом. Возможно это связано с тем, что производитель ИБ-систем видит среду снаружи, так же как потенциальный нарушитель, и следовательно лучше  понимает возможные векторы атак. Возможно ИБ-вендоры просто проявляют большую скорость реакции на меняющийся ландшафт угроз, но как бы то ни было – до сего момента безопасность как правило «налагалась» на инфраструктурное решение,  особенно в части подсистем ИБ, имеющих контентную составляющую.

Учитывая партнерство VMware с ведущими антивирусными вендорами, можно преположить, что основное поле, где VMware не будет конкурировать с традиционными вендорами, предлагающими решения по ИБ, это системы защиты, требующие множества наработок и экспертных знаний, а также постоянных усилий по поддержанию системы в актуальном состоянии. К таким подсистемам относятся, например:

• фильтрация трафика на уровне протоколов – необходимо «понимать» большое количество приложений и постоянно обновлять эти знания;
• контентная и веб-фильтрация – требуется постоянно обновлять базы категорий URL;
• DLP – необходимо актуализировать политики и подстраивать их под меняющиеся требования регуляторов;
• IDS/IPS и «виртуальный патчинг» – требуется постоянно обновлять сигнатуры и правила обнаружения вредоносного трафика и блокирования уязвимостей.

Именно для вендоров, обладающих компетенциями в перечисленных областях, интеграция с интерфейсами vShield будет предоставлять новые возможности партнерства с VMware.

Заключение

Активная экспансия VMware на рынок информационной безопасности и сетевых устройств может изменить ландшафт этого рынка и отношения внутри экосистемы вендоров.  Компания VMware задает правила игры для партнеров, очерчивая для них рамки сотрудничества, одновременно самостоятельно заполняя новые для себя ниши. Для конечных заказчиков использование линейки vShield от VMware означает появление новых эффективных продуктов для защиты, тесно интегрированных с виртуальной инфраструктурой, что увеличит возможности выбора и усилит конкуренцию между традиционными производителями продуктов ИБ и VMware.