Средства защиты в виртуальных средах

Средства защиты в виртуальных средах
В настоящее время средства защиты в виртуальных средах можно
условно подразделить на два класса.
Первый класс - это средства защиты, которые ранее поставлялись
только в виде готовых аппаратных решений (appliances), а теперь
выпускаются в том числе и в виде виртуальных устройств (virtual
appliance). Подобные решения не привязаны к реализации защиты самой
среды виртуализации и направлены в первую очередь на снижение
расходов по эксплуатации средств защиты. Примеры таких решений SSL VPN, антивирусы, решения по URL-фильтрации, инструменты управления средствами защиты. Преимущества таких решений - быстрая
скорость развертывания и ввода в эксплуатацию, использование
существующих аппаратных мощностей заказчика, экономия ресурсов
(место в стойках, электропитание, кондиционирование).
Второй класс образуют средства, предназначенные для защиты
непосредственно виртуальных машин и контроля коммуникаций в
виртуальной среде (на уровне гипервизора). К ним относятся:
 межсетевые экраны (брандмауэры);
 средства обнаружения и предотвращения вторжений;
 средства контроля целостности;
 средства защиты от вредоносных программ,
учитывающие виртуализацию;
 средства защиты от несанкционированного доступа;
 средства
контроля
политик
безопасности
в
виртуальных инфраструктурах.
Основным преимуществом этих средств является специализация
на защите виртуальных сред и коммуникаций в них.
Среди производителей средств защиты для виртуальных сред
можно отметить следующие компании:
Trend Micro;
 Symantec;
 Checkpoint;
 StoneSoft;
 «Код Безопасности»;
 Reflex Systems.
Ниже
рассматриваются
пять
технологий
безопасности,
реализованных в пакете Trend Micro Deep Security, использование
которых является необходимым и достаточным условием успешного
перехода от физических к виртуальным и облачным средам [78].
Межсетевой экран (брандмауэр). Задача этой подсистемы сокращение – атакуемой поверхности» виртуальных серверов.
Межсетевой экран содержит шаблоны для типовых корпоративных
серверов которые обеспечивают следующие возможности:

изоляцию виртуальной машины внутри определенного
сетевого сегмента

фильтрацию трафика;

анализ протоколов семейства IP (TCP, UDP, ICMP и др.);

поддержку всех типов сетевых фреймов (IP, ARP и др.);

предотвращение атак типа «отказ в обслуживании»;

внедрение политики безопасности;

рекогносцировочное сканирование сетевого окружения на
серверах облачных вычислений;

учет местоположения при применении политики
безопасности, который обеспечивает «перенос» сервера из
внутренней сети на облачные pecypсы, позволяя автоматически
переключаться на оптимальные параметры для каждой среды.
Обнаружение и предотвращение вторжений (IDS/IPS). Данная
подсистема обеспечивает экранирование уязвимостей ОС и приложений
до момента, когда будут установлены «заплаты».
Внедрение системы обнаружения и предотвращения вторжений в
виде программного агента на виртуальных машинах позволяет
экранировать уязвимости обнаруженные в ОС и приложениях:

защита от любых атак на известные уязвимости без
установки «заплат»;

блокировка атак типа XSS и SQL Injection.
Контроль целостности. Контроль целостности ОС и приложений
позволяет выявить опасные изменения, которые являются следствием
компрометации сиетемы хакером или вредоносным кодом.
Эта подсистема выполняет:

проверку по запросу или расписанию;

контроль свойств файлов, включая атрибуты;

контроль на уровне каталогов;

гранулированную настройку объектов контроля;

составление отчетов для аудита.
Защита
от
вредоносных
программ,
учитывающая
виртуализацию. Защита от вредоносных программ, учитывающая
виртуализацию, использует специальные программные интерфейсы,
которые предоставляет гипервизор, в частности VMsafe компании
VMware. Защита включает сканирование виртуальных машин как
целиком на уровне гипервизора, так и в реальном времени, что
обеспечивается антивирусным агентом внутри каждой ВМ. Такой подход
гарантирует, что виртуальная машина очищена, даже если была
неактивна.
Не менее важное свойство защиты от вредоносных программ для
виртуальной машины бережное отношение к вычислительным ресурсам
при проверке всей системы:

предотвращение угроз со стороны вредоносного кода для
активных и бездействующих машин;

защита от вредоносных программ, которые
деинсталлируют антивирус или блокируют его работу;

интеграция с панелью управления системы виртуализации
(VMware vCenter);

автоматическая настройка защиты новых виртуальных
машин.
Анализ журналов. Анализ журналов заключается в сборе и
просмотре журналов работы ОС и приложений на предмет выявления
событий безопасности.
Правила анализа журналов позволяют выявить значимые события в
огромном массиве записей:

обнаружение подозрительного поведения;

сбор действий администратора, имеющих отношение к
безопасности;

сквозной сбор событий со всех частей ЦОД (физических,
виртуальных и облачных серверов).
Внедрение непосредственно на виртуальной машине рубежа защиты,
включающего в себя:
 программную
реализацию
межсетевого
экрана,
обнаружения и предотвращения вторжений;
 контроля целостности, защиты от вредоносного кода и
анализа журналов.
Это
является наиболее эффективным подходом к обеспечению
целостности, соответствия требованиям регуляторов и соблюдения
политики безопасности при перемещении виртуальных ресурсов из
внутренней сети в облачные среды.