Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

Контур-Фокус – быстрая проверка контрагентов

Stonesoft Corporation

Разработка комплексных решений по сетевой безопасности
Тел.: +7 (495) 787-9936
Сайт: www.stonesoft.com
E-mail: info.russia@stonesoft.com
Контактная информация: О компании
Регионы работы: Москва
Статья

Реальная виртуальная безопасность в решениях Stonesoft

Виртуализация и ее проблемы

Особые подходы к организации виртуальной среды диктуют и свои правила по обеспечению  безопасности. Для начала следует сделать небольшой экскурс в мир виртуальных технологий и понять, в чем заключаются основные недостатки физических решений, которые до недавних пор (всего 3–4 года назад) всех устраивали и вполне справлялись с поставленными перед ними задачами. Пожалуй, основными причинами появления виртуальных инфраструктур на рынке явились  следующие несовершенства компонентов физической среды:

·         Неэффективное использование ресурсов отдельно стоящих серверов

·         Сложность эксплуатации большого числа серверов

·         Сложности масштабирования (проблема устранялась только за счет покупки нового оборудования)

·         Трудности с организацией высокодоступных инфраструктур

·         Требование экономии ресурсов (электропитание, кондиционирование и пр.)

То есть в основном нарекания сводились не к обеспечению безопасности как таковой, а к самому применению ИТ-технологий. Таким образом, к традиционным задачам обеспечения безопасности, первоначально характерным для физической среды, при переносе серверов в виртуальную инфраструктуру добавились еще и проблемы, относящиеся именно к особенностям организации виртуальных вычислений. Просто установить систему виртуализации на сервер недостаточно, поскольку возникают «второстепенные» задачи, такие как организация взаимодействия компонентов новой инфраструктуры, хранения данных и резервного копирования, обеспечение высокой доступности и эффективное распределение сервисов по виртуальным платформам. В результате специфика обеспечения ИБ в виртуальной среде, помимо борьбы с традиционными угрозами типа вирусов, несанкционированных потоков и приложений, заключается в:

·         Создании многорубежной сетевой защиты, осложняющейся виртуализацией сетевых потоков

·         Управлении множеством виртуальных устройств защиты

·         Интеграции средств защиты с инфраструктурой

·         Создании политик и управлении потоками

Решения компании Stonesoft (FW/VPN, IPS, SSL VPN, SMC, AS) позволяют решить если не все, то многие из перечисленных проблем.

Подходы по защите сетевых взаимодействий

Согласно статистике Gartner, до 95% всех инцидентов, связанных с информационной безопасностью, так или иначе имеют отношение к некорректной настройке, проектированию, обслуживанию и пр. И когда в виртуальной среде решения разворачиваются без оглядки на управляемость и возможность визуализации происходящих событий, оставшиеся 5% могут быть успешно засчитаны в пользу злоумышленников. Всегда нужно помнить о том, что сложности с организацией самой виртуальной инфраструктуры нисколько не облегчают выполнение задач, связанных с безопасностью.

Особенностями виртуальных решений также являются разделение информационных потоков и потенциальные воздействия на гипервизор. Проблемы, которые могут здесь возникнуть, зачастую оказываются взаимосвязанными: разделением виртуальных потоков обычно занимается компонент, который интегрируется в цепочку обработчиков, находящихся на уровне гипервизора.

Например, если говорить о широко применяемой еще некоторое время назад технологии VMsafe в отношении сетевых устройств защиты (т.е. с DVFilter API), то и у нее есть своя специфика использования и ограничения. Безусловно, VDDK полезен, когда нужно внедрить консолидированное решение для антивирусной защиты виртуальной инфраструктуры: в этом случае достаточно иметь одну виртуальную машину, способную «залезть» во все остальные с целью проверки их дисков и состояния памяти. Но когда речь идет о перехвате сетевых пакетов, то тут все не так просто. Во-первых, для перехвата трафика между виртуальными машинами элемент DVFilter все равно помещается между vSwitch'ем и vNIC'ом в соответствии с указаниями администратора. Более того, будучи реализованным загружаемыми модулями  гипервизора подход под названием «Fast Path» главным образом можно (и обоснованно) использовать лишь для первичной фильтрации, поэтому рассуждения о производительности и высоком уровне безопасности здесь неуместны – для этого нужно «идти» на Slow Path. В этом смысле мы все равно приходим к концепции виртуальной машины (или физического устройства, которое дополняет виртуальную инфраструктуру), которая работает в соответствии с некоторой политикой безопасности, реализуя заданные функциональные возможности. Теперь другой вопрос: как создается политика безопасности? Классический подход, когда администратор оперирует правилами доступа на уровне IP адресов (традиционные «списки доступа», Access Control List, ACL), уже устарел. Сегодняшние подходы требуют использования высокоуровневых политик безопасности, правил фильтрации следующего поколения, когда разрешения или запреты используют понятие «прикладного протокола», «учетной записи пользователя», «группы пользователей» и т.п. и т.д. Ядром гипервизора  при подходе “Fast Path” задействовать такие современые механизмы просто невозможно хотя бы из-за конкретных технических ограничений на загружаемый в память  модуль, принимающий решение о фильтрации. Наконец,  если мы говорим про саму задачу фильтрации трафика, то применяется ли для этого VMsafe, или нет, не имеет никакого значения. Главное обеспечить  реализацию  политики безопасности. Даже не имя доступа к vmSafe ровно так же при грамотном проектировании можно применять и обычную виртуальную машину, включив ее в точке разветвления между vSwitch'ами или даже просто между VLAN'ами – «по старинке»  (в любом случае интерфейсы VMsafe работают только с VMWare 4.x или более новыми). Тем более что всё несколько упрощается и упорядочивается при использовании vDS (vNetwork Distributed Switch ). А вот уже что касается возможностей и «глубины» проверки по правилам доступа, как уже было отмечено, в выделенной виртуальной машине на порядок больше.

В любом случае трафик мы перенаправили, перехватили, теперь нужно его фильтровать, а для этого нужна правильная настройка. И здесь человеческий фактор начинает играть главенствующую роль. Даже если все новые виртуальные машины автоматически попадают под действие фильтра перехвата, для них нужно предусмотреть политику безопасности, создать правила доступа, журналирования, включить в отчет и т.п. На проблему нужно смотреть комплексно – следует грамотно использовать все механизмы безопасности как единую систему, стойкость к взлому которой, как известно, определяется самым слабым звеном.

Концептуально отличается от подходов других вендоров к построению и сопровождению систем информационной безопасности. Компания Stonesoft акцентируется исключительно на продуктах в области сетевой безопасности, в том числе и для виртуальной среды. Представленные на рынке решения компании Stonesoft образуют комплексную систему ИБ, которая позволяет с легкостью обеспечивать непревзойденный уровень защиты как для небольших, так и для крупных и географически распределенных компаний. При этом все элементы решения тесно интегрированы между собой, работают под началом системы централизованного управления и мониторинга, поддерживают прозрачное масштабирование.

Так называемая «зона комфорта» для решений компании Stonesoft включает в себя те компании, которые ставят сетевую безопасность на верхние ступени пьедестала, те, для которых важна отказоустойчивость, широкие функциональные возможности системы безопасности, её «отзывчивость» (т.е. способность реагировать на изменения и своевременно оповещать о них администратора). Именно эти компании смогут по максимуму выиграть от тех возможностей, которые предлагает Stonesoft. Заказчики другого типа – SMB и нераспределенные офисы – тоже получат определенную выгоду, но для них в силу особенностей ведения бизнеса она будет несущественна. Эти компании могут с аналогичным результатом использовать и решения других производителей, поскольку зачастую функциональные возможности продуктов Stonesoft для них избыточны, к тому же у отказоустойчивых распределенных систем с централизованным управлением есть специфические особенности эксплуатации.

Особенности использования решений Stonesoft

Исходя из специфики решений и подхода к построению инфраструктур, нацеленных на обеспечение ИБ в виртуальной среде, применение продуктов Stonesoft может дать следующие преимущества:

·         Централизованное управление средствами защиты по всей виртуальной инфраструктуре;

·         Высокая доступность компонентов-исполнительных устройств, как с помощью, так и без (!) технологий, заложенных в саму виртуальную платформу (vMotion, DRS и т.п.);

·         Удобство, простота и легкость создания устройств и работы с управляемыми компонентами (в том числе за счет облачных технологий и сервисов быстрого развертывания);

·         Высокий уровень контроля и глубины инспекции.

Таким образом, построение эшелонированной комплексной системы информационной безопасности на базе решений Stonesoft как для физической, так и для виртуальной среды не представляет никаких сложностей и в большинстве случаев проще, нежели для решений конкурентов.

Примерная последовательность шагов для запуска решения в новой инфраструктуре следующая. Во-первых, необходимо провести импорт готовых virtual appliance в инфраструктуру, затем инсталлировать систему управления SMC и провести автоматическую инициализацию исполнительных устройств. Следующим шагом производится установка политики безопасности для детектирования информационных потоков  и сбор статистической информации о прохождении трафика (происходит автоматически), при необходимости вносить корректирующие действия по результатам сбора информации (имеются автоматизированные инструменты).

Сроки такого автоматизированного развертывания решения могут составлять менее часа для всей инфраструктуры. А результатом внедрения становится полностью управляемая распределенная многорубежная система сетевой безопасности.

Следует отметить, что применение сетевых решений по ИБ существенно отличается от узловых (особенно в виртуальной среде). То, что можно реализовать на уровне хоста с помощью специализированной безагентной технологии путем использования специальных API-интерфейсов, предоставляемых платформой, зачастую неприменимо для случаев, когда требуется выполнить контроль проходящего трафика, маршрутизацию, трансляцию/сокрытие адресов и/или сегментирование ресурсов. Особенно сложным представляется создание и управление политиками для консолидированных или распределенных сегментов. Равно как и контроль и управление информационными потоками. Отметим, что эффективное решение именно этих задач всегда было нашим приоритетным направлением.

По многочисленным отзывам заказчиков, попробовавших инструменты Stonesoft, эти решения в полной мере позволяют почувствовать, что с момента их внедрения большой корабль под названием «информационная безопасность» стал управляем и слушается руля, а приборы и мониторы, обеспечивающие обратную связь с «рулевым», ожили.

 


Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс