Обеспечение безопасности при эксплуатации виртуальной инфраструктуры

Введение

В настоящее время, бесспорно, число информационных технологий расширяются в масштабном режиме. С этим фактом трудно не согласиться, ведь с каждым днем появляется большое количество разной информации, независимо от нас, хотим мы этого или нет. Соответственно, с возникновением инновационных технологий наиболее актуальной является проблема защиты информации в таких системах.
Сегодня мы все чаще слышим о том, что в странах постоянно случаются какие-либо инциденты информационной безопасности. И пусть кажется, что инциденты случаются где-то далеко, они вполне могут затронуть каждого из нас. Стоить отметить, что нет ни одной сферы общественной деятельности, которая не была бы интересна хакерам. Вследствие того, что современный мир наполнен информационными технологиями, многие компании подвергаются угрозам безопасности информационных ресурсов.
Актуальность работы состоит в том, что технологии виртуализации в настоящее время являются одним из ключевых компонентов современной ИТ-инфраструктуры организаций. Сейчас уже сложно представить построение нового серверного узла компании без использования технологий виртуализации. Они помогают оптимизировать бизнес-процессы компаниям, и топ-менеджмент получает больше возможностей для развития бизнеса.
Причинами такой популярности являются экономия денег и времени, оптимизация трудозатрат. Чтобы повышение эффективности использования вычислительных ресурсов за счет виртуализации происходило не в ущерб надежности и безопасности, не стоит забывать про важность защиты информации в виртуальных инфраструктурах. 
Кроме этого, вопрос информационной безопасности сегодня остро стоит не только на уровне государства и различных организаций, но и отдельных граждан, каждого из нас. В связи с чем наиболее важным видится обеспечение конституционных прав граждан на получение достоверной информации, на ее непосредственное использование в интересах осуществления законной деятельности учреждений, а также, безусловно, на защиту государственной, коммерческой, семейной, личной и других видов тайн.
Кроме этого, обеспечение информационной безопасности является одной из первостепенных задач каждого современного предприятия или организации. Стабильная защита информационной системы предприятия в лице отдела информационной безопасности - это залог надежной и безопасной среды для деятельности. Повреждение, утечка, неимение и кража информации - это всегда убытки для каждой компании.
Следует особо отметить, что в большинстве сфер достижение целей информационной безопасности сегодня сопряжено с существенными материальными затратами, поэтому в условиях ограниченности ресурсов это возможно только с помощью научно-обоснованной разработки и непосредственного осуществления комплекса взаимосвязанных организационно-технических мер.
Цель работы – анализ особенностей обеспечения безопасности при эксплуатации виртуальной инфраструктуры. Поставленная цель предполагает решение следующих задач:
рассмотреть основные аспекты безопасности виртуальной инфраструктуры;
проанализировать современные угрозы виртуализации;
исследовать особенности обеспечения безопасности при эксплуатации виртуальной инфраструктуры.
Методологической базой данной работы явились изучение научной литературы, анализ и синтез, а также, методы системного подхода.


1 Основные аспекты безопасности виртуальной инфраструктуры
Начнем с того, что в соответствии с ГОСТ Р 56938-2016: «под термином «виртуализация» объединяется множество информационных технологий, призванных снижать затраты на развертывание компьютерной сети организации, повышать отказоустойчивость применяемых серверных решений, а также получать другие преимущества» [1].
Сегодня в России, как и в других государствах, можно наблюдать, что роль информационной сферы возрастает. Соответственно, происходит переосмысление ее значения как одного из главных современных факторов жизни, который непосредственно оказывает существенное влияние на все виды национальной безопасности, что, в свою очередь, способствует динамичному развитию процессов информатизации.
Поэтому в современных условиях одной из основных задач как общества, так и государства является именно защита информационного пространства. Как результат, информационная безопасность приобретает все большую значимость в общей системе обеспечения национальной безопасности страны в целом.
Следует подчеркнуть, что информационная безопасность является сложным системным и многоуровневым явлением, состояние и перспективы развития которого напрямую зависит от воздействия как внешних, так и внутренних факторов [8, с. 75].
Впервые такое понятие как «информационная безопасность» в национальном законодательстве и политических документах появилось в статье 2 Закона РФ от 05.03.1992 № 2446-1 «О безопасности», в котором «информационная безопасность» была выделена как одна из составляющих безопасности Российской Федерации [7, c. 11].
Отметим, что технология виртуализации подразумевает наличие в инфраструктуре дополнительного компонента – гипервизора, который контролирует работу приложений во всех виртуальных средах. Ключевыми игроками на рынке виртуализации, согласно данным опроса, являются VMware и Microsoft.
Платформу виртуализации компании VMware используют 76% респондентов, платформу виртуализации компании Microsoft – 52% респондентов. Менее популярны среди опрошенных такие платформы, как Оracle, Citrix и Huawei. В группу «Другие», которая составила 12%, вошли такие вендоры, как KVM, Proxmox, Xen, РусБИТех, Parallels. Ряд компаний используют в своей инфраструктуре решения сразу нескольких производителей программного обеспечения для виртуализации одновременно. [4, с. 5]
Как распределились приоритеты участников опроса при выборе платформ, отражено на следующем графике (рисунок 1):

Рисунок 1 – Популярность платформ виртуализации (по вендорам)
Исследование также показало [4, с. 10], что 76% отечественных компаний хранят в виртуальной среде общедоступную информацию, 70% - конфиденциальный данные, 3% - информацию, содержащую государственную тайну. При этом только 7% российских организаций используют специализированные средства шифрования для виртуализации, а две трети компаний опасаются ущерба, нанесённого действиями администратора виртуализированной инфраструктуры, причём как умышленными, так и неумышленными [4, с

. 16].

2 Современные угрозы виртуализации
Применение виртуализации дает возможность оптимизировать ресурсы компании, но несет в себе и опасность – появляется дополнительный канал для проникновения злоумышленника и повышается вероятность потери конфиденциальных данных, хранящихся и обрабатывающихся в ВИ (виртуальной инфраструктуре) [4, с. 11].
В настоящее время необходимо разделять понятия облачная сфера, облачное хранение от понятия виртуализации, так как виртуализация без облачных технологий может существовать, а облачные технологии без виртуализации нет.
Так, облачная сфера (хранилище) - это своего рода виртуальный носитель информации, который хранит и обрабатывает данные на многочисленных серверах, разбросанных во всемирной паутине. Облачное хранилище предоставляется по требованию в необходимом объеме, оплачивается по факту использования и избавляет от необходимости приобретать собственную инфраструктуру для хранения данных и управлять ею.
Это обеспечивает гибкость, глобальную масштабируемость и надежность. Данные доступны в любое время и в любом месте. Виртуализация же – это изоляция вычислительных процессов друг от друга. Это понятие разделяют на две категории: виртуализацию платформ и виртуализацию ресурсов.
Требования к безопасности облачных систем мало отличаются от требований, предъявляемых к работе обычных центров обработки данных. Однако переход к виртуализации может стать причиной возникновений новых типов угроз. Поэтому рассмотрим основные возможные угрозы, возникающие в системе облачных вычислений. В настоящее время эта вычислительная платформа имеет следующие потенциально слабые стороны:
Обмен данными между разными виртуальными машинами или между виртуальной машиной и хостом с применением совместно используемых дисков, виртуальных коммутаторов или виртуальных локальных сетей (VLAN) и совместно используемой подсистемы ввода-вывода или кэша.
Стандартные драйверы, эмулирующие аппаратные средства.
Уязвимости в гипервизоре, которые позволяют выполнять произвольный код на хосте с привилегиями гипервизора, что дает злоумышленнику возможность осуществлять управление всеми виртуальными машинами и самим хостом.
Руткиты, позволяющие получить управление системой и вносить изменения в работу гипервизора в целях внедрения и выполнения вредоносного кода (рисунок 2).

Рисунок 2 - Схема заражения компьютера с помощью руткитов, основанных на технологиях виртуализации
«Побег из виртуальной машины» - уязвимость, предоставляющая программе выход из виртуальной машины и возможность взаимодействия с операционной системой, а также безграничный доступ к хосту благодаря совместно используемым ресурсам.
Атаки типа «отказ в обслуживании», заключающиеся в выведении из строя одной виртуальной машины, через которую в дальнейшем совершается нападение на остальные машины, запущенные с ней на одном хосте.
Первым шагом к принятию мер защиты в отношении этих угроз является понимание рабочей среды. Если данные должны быть защищены в соответствии с законами, стандартами или отраслевыми нормами, то к обеспечению безопасности должен быть применен соответствующий подход, уделяющий внимание конкретно этому типу используемой среды. И в этом случае наиболее предпочтительным является решение, основанное на модели частного или гибридного облачного сервиса, в котором все нуждающиеся в безопасности данные располагаются на территории подконтрольного ведомства, и находятся непосредственно под охраной организации-правообладателя.
Следующим шагом является проверка поставщика облачных услуг на предмет надежности и выяснение предпринимаемых мер для защиты наиболее уязвимых мест в системе, особенно в отношении гипервизора.
Так, к примеру, некорректная настройка параметров гипервизора и виртуальных машин. При создании данной угрозы происходит несанкционированный доступ к ресурсам виртуальных сред вследствие некорректных настроек гипервизора [5, с. 236].
Гипервизор является одним из ключевых элементов виртуальной системы. Его основная функция заключается в распределении ресурсов между виртуальными машинами, обеспечивая тем самым работу нескольких операционных систем и изолируя, их друг от друга. И вывод гипервизора из строя может привести к тому, что одному пользователю станут доступны не только физические ресурсы и память другого, но и возможность перехвата сетевого трафика.
Поэтому информация о типе используемого поставщиком программного обеспечения, осуществляющего виртуализацию, а также расписание внесения исправлений и обновлений подлежат обязательному выяснению. Кроме того, необходимо убедиться в том, что гипервизор сконфигурирован для обнаружения экстремального потребления ресурсов в целях защиты от атак типа «отказ в обслуживании».
3 Обеспечение безопасности при эксплуатации виртуальной инфраструктуры
В виртуальной же среде применение традиционных средств защиты информации иногда невозможно или нецелесообразно. Например, одновременная антивирусная проверка жестких дисков нескольких виртуальных машин создаст значительную нагрузку на оборудование [6, с. 41]. Сетевой трафик между виртуальными машинами не покидает физического сервера, и, следовательно, традиционные сетевые средства защиты информации его не видят. Кроме того, имеется дополнительный программный слой, который также необходимо защищать. 
В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хостсерверов со службой каталога Active Directory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хост-сервера, применять встроенный брандмауэр хоста виртуализации. Также возможно отключение таких часто неиспользуемых служб как, например, веб-доступ к серверу виртуализации.
Вопрос о том, что к защите ИТ-инфраструктур, построенных с использованием технологий виртуализации, должен применяться особый подход, стал подниматься не сразу. Причины – и в отсутствии специальных требований со стороны регуляторов, и в популярном заблуждении о том, что виртуализация делает ИТ-инфраструктуру безопаснее и надежнее