ГОСТ Р 59163-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Руководство по обеспечению безопасности при внедрении серверов виртуализации

6.3 Риски, специфичные для СВ

 

6.3.1 Общая информация

Риски, актуальные только для СВ, более подробно описаны ниже. Переход к виртуальной среде связан с уникальным набором рисков, которых нет в обычной ИТ-среде. В этот перечень входят следующие риски:

- риски, связанные с ВМ;

- риски, связанные с гипервизором;

- операционные риски, связанные с реализацией;

- риски, связанные с облачными службами.

6.3.2 Риски, связанные с ВМ

Использование ВМ может создавать новые и уникальные риски для безопасности, либо усложнять последствия от известных рисков. Следовательно, в ходе оценки рисков виртуализации необходимо учитывать следующее:

- бесконтрольный рост числа ВМ: неконтролируемое увеличение количества ВМ может привести к проблемам с управлением неучтенных машин и машин, на которые не установлены обновления. В традиционной ИТ-среде закупаются физические серверы. Этот фактор обеспечивает эффективный контроль, так как запросы на внесение изменений создаются и утверждаются до приобретения и подключения к центру обработки данных аппаратного и программного обеспечения. Тем не менее в виртуализированных средах можно быстро распределять ВМ, использовать функцию самостоятельной подготовки и перемещать ВМ между физическими серверами, минуя обычный процесс управления изменениями. Без эффективного процесса управления количество ВМ и других виртуальных систем неизвестной конфигурации может быстро увеличиваться, что ведет к потреблению ресурсов, снижению общей производительности системы, а также ее уровня защиты. Поскольку ВМ являются виртуальными, а не реальными объектами, их мониторинг, установка обновлений безопасности и аудит может быть затруднителен;

- конфиденциальные данные в ВМ: конфиденциальность данных в ВМ можно легко нарушить из-за недостаточных мер защиты их от перемещения и подделки. Хотя образы и снимки ВМ позволяют быстро и эффективно развертывать и восстанавливать виртуальные системы на нескольких физических серверах, копии таких образов и снимков можно легко удалить из центра обработки данных. При этом также может быть удалено текущее содержимое памяти, которое не предназначено для размещения на устройствах хранения. Следовательно, в виртуализированной среде невозможно гарантировать, что конфиденциальные данные, например файлы системных паролей, будут защищены от несанкционированного доступа. Подобную конфиденциальную информацию и ВМ, на которой она хранится, можно легко переместить, что позволяет ввести в систему ВМ с нарушенной безопасностью. Без надлежащих средств контроля непреднамеренный сбор, хранение и развертывание конфиденциальной информации, включая поддельные виртуальные экземпляры критических служб, могут привести к образованию уязвимостей в системе безопасности. Потенциальные злоумышленники, в том числе среди обслуживающего персонала, могут получить доступ к системе и вставить вредоносный код в образы и снимки ВМ, которые затем можно быстро развернуть во всей среде, нарушая ее безопасность;

- безопасность автономных и неактивных ВМ: неактивные и автономные ВМ могут в конечном итоге настолько сильно нарушать текущие базовые требования безопасности, что даже их включение приводит к возникновению серьезных уязвимостей. Неактивные и автономные ВМ могут быть проигнорированы в ходе выполнения важных процедур обеспечения безопасности. Например, вполне вероятно, что на неактивную ВМ не будут установлены последние обновления безопасности. Поэтому при повторном запуске ВМ она может подвергаться недавно появившимся рискам. Аналогичным образом, современные политики контроля доступа также могут отсутствовать или не входить в число основных функций мониторинга безопасности на неактивных ВМ, что может привести к появлению уязвимостей в виртуальной среде. Важные службы поддержки инфраструктуры, управления и обеспечения безопасности все чаще предоставляются в виде виртуальных устройств. Для предотвращения случаев подделки политик и конфигураций эти устройства должны проходить надлежащую классификацию и использоваться строго определенным образом. Кроме того, если не ограничить их права на доступ конкретными кластерами физических серверов или хранилищ, вероятность кризисной ситуации может возрасти;

- безопасность предварительно настроенных (с помощью эталонного образа) ВМ/активных ВМ: виртуальные машины, существующие в виде файлов на платформе виртуализации, можно легко переносить с помощью физических средств или через сеть. Это открывает возможности для несанкционированного доступа, что может привести к изменениям в конфигурации машины или активному заражению виртуальных дисков платформы вирусами. Несанкционированный доступ с помощью злонамеренного перехвата данных может поставить под угрозу эти образы ВМ. Часто создаются эталонные образы ВМ, которые облегчают развертывание клонированных копий и ставят под угрозу целостность виртуализированной среды;

- отсутствие прозрачности и элементов управления виртуальными сетями: программно-определяемые виртуальные сети могут нарушать безопасность сети, поскольку устройства защиты в физической сети не могут отслеживать проходящий через них трафик. Обычный сетевой трафик ИТ-инфраструктуры проверяется и защищается при прохождении через физические маршрутизаторы, коммутаторы и межсетевые экраны. В виртуальной сети такой процесс может стать неуправляемым, если трафик не будет явно перенаправлен на физические или виртуальные устройства мониторинга. Конфигурацию виртуальной сети можно относительно легко изменить, эта возможность может приводить к конфликтам с действующими политиками безопасности физической сети;

- нехватка ресурсов: неконтролируемое потребление физических ресурсов виртуальными процессами может привести к снижению доступности системы. Если ресурсоемкий программный продукт реализован на нескольких виртуальных машинах, он обычно потребляет все ресурсы физического сервера. Например, антивирусное и другие программные продукты системы безопасности прерывают все вызовы к диску или памяти, чтобы отслеживать и предотвращать возможные взломы или попытки заражения. Если антивирусный программный продукт одновременно работает на разных ВМ на одном физическом сервере, он может занять пул ресурсов сервера. Автоматическая установка исправлений ОС в большой группе ВМ может иметь тот же эффект.

6.3.3 Риски, связанные с гипервизором

Гипервизор является уникальным фактором риска для виртуальных сред. Гипервизор - это программа, создающая среду функционирования других программ (в том числе других гипервизоров) за счет имитации аппаратных средств вычислительной техники, управления данными средствами и гостевыми операционными системами, функционирующими в данной среде. Он представляет собой единую точку доступа в виртуальную среду, а также потенциально является единственной точкой отказа. Неправильно настроенный гипервизор может стать единым уязвимым местом всех размещенных в нем компонентов. Не важно, насколько защищены отдельные ВМ, если безопасность гипервизора нарушена, он может переопределить эти элементы управления и стать удобной единой точкой несанкционированного доступа ко всем ВМ. С использованием гипервизора связаны следующие риски безопасности:

- нарушение безопасности гипервизора: обеспечение безопасности гипервизора (программного продукта, обеспечивающего виртуализацию) должно осуществляться на протяжении всего жизненного цикла, включая разработку, внедрение, ввод в эксплуатацию и управление.

Гипервизор может контролировать все аспекты работы ВМ, поэтому является естественной целью вредоносных атак. Обеспечение безопасности гипервизора крайне важно, но сопряжено со значительными сложностями. При атаке, известной как "гиперджекинг", вредоносное ПО, проникшее всего в одну ВМ, может атаковать гипервизор. Эту атаку часто называют "побегом гостевой ВМ", поскольку гостевая ВМ нарушает изолированную среду и атакует гипервизор сервера. После нарушения безопасности гипервизор можно использовать в качестве платформы для взлома гостевых ВМ, размещенных на этом или других гипервизорах, с которыми он может взаимодействовать.

Все широко используемые гипервизоры содержат очень большой набор инструментов API для удаленного управления, из-за чего увеличивается число направлений атаки. Особый риск представляет вызов инструментов/сценариев/приложений, не обеспечивающих достаточного уровня идентификации и контроля доступа, особенно если гипервизор использует локально управляемые учетные записи служб:

- несанкционированный доступ к гипервизору: административного контроля доступа к гипервизору может быть недостаточно для защиты от потенциальных хакерских атак.

Доступ к гипервизору можно получить с помощью локальной схемы аутентификации (на уровне сервера) или схемы аутентификации на уровне предприятия. Схемы локальной аутентификации, особенно те из них, в которых используются пароли, обеспечивают слабую защиту и не могут соответствовать требованиям корпоративных политик безопасности и связанным схемам аутентификации.

С помощью программного продукта для управления системой виртуализации предприятия можно индивидуально или централизованно управлять гипервизорами в центре обработки данных. Если при этом программный продукт для управления будет взаимодействовать с гипервизором, сетевая целостность или защита которого нарушены, злоумышленники смогут использовать такую ситуацию для несанкционированного получения административных средств управления серверами с таким гипервизором.

6.3.4 Операционные риски, связанные с реализацией

Виртуализация ИТ-систем неизбежно приводит к изменениям рабочих процедур, по сравнению с традиционными ИТ-средами. В результате этого могут быть затронуты или обойдены некоторые распространенные методы эшелонированной защиты физических серверов, а новые особенности и функции могут подвергнуть среду дополнительным рискам. Ниже приведены риски для безопасности, связанные с изменениями рабочих процедур:

- взлом учетной записи или службы через портал самообслуживания: уязвимости портала могут привести к атакам с превышением полномочий. Портал самообслуживания обычно используется для делегирования определенных стадий предоставления виртуальной инфраструктуры и управления ей назначенным администраторам. Свободное использование порталов самообслуживания в службах облачных вычислений повышает риск реализации атак, включая взлом учетных записей или служб;

- обработка информации различных категорий доступа на одном сервере: необходимо убедиться, что на физическом сервере применяются достаточные меры разграничения при обработке различных категорий информации. Предприятиям рекомендуется использовать ВМ разных уровней доверия на отдельных серверах. Тем не менее эта мера эффективна только в том случае, если существует эффективная категоризация систем и данных, а также необходимые элементы управления сетью, обеспечения безопасности и административного контроля. ВМ с более низким уровнем доверия обычно имеют более слабый контроль, чем ВМ с более высоким уровнем доверия. Поэтому безопасность таких ВМ легче нарушить, что может подвергнуть риску более важные ВМ на том же сервере. Важно, чтобы уровни защиты ВМ соответствовали разным уровням доверия в физических и виртуальных средах. Размещение ВМ с разными уровнями доверия на одном и том же сервере приводит к снижению общего уровня безопасности всех компонентов до уровня наименее защищенного из них.

6.3.5 Риски, связанные с облачными службами

ИТ-персонал предприятия может применять технологии виртуализации, используя облачные службы от CSP. Это может привести к появлению дополнительных факторов риска, включая следующие:

- риск, связанный с API поставщика облачных служб: реализация гибридной (приватной/публичной) облачной виртуализации может представлять угрозу безопасности интегрирования аутентификации и учетных записей. CSP предоставляют набор программных интерфейсов или API, который предприятие может использовать для управления облачными службами и взаимодействия с ними. Если подобные интерфейсы не разработаны с учетом защиты от случайных и злонамеренных попыток обойти корпоративные политики, они могут создавать дополнительные риски;

- использование ВМ в облачных службах: многие CSP предлагают услуги, основанные на функциональности ВМ. Требования к безопасности и обязанности по реализации таких требований различаются в зависимости от типа возможностей облачной службы (см. [1]). Например, в облачной службе на основе инфраструктуры CSC может отвечать за настройку и реализацию различных аспектов безопасности ВМ (а в некоторых случаях и безопасности гипервизора), тогда как в облачной службе на основе платформы часть этой ответственности может быть возложена на CSP;

- общая безопасность облачных служб: при организации защиты ВМ в облачной среде следует учитывать и другие аспекты безопасности. Дополнительные сведения приведены в [1] - [4].