Защита виртуальной инфраструктуры | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 30 ноября, печатный экземпляр отправим 4 декабря.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №22 (312) май 2020 г.

Дата публикации: 28.05.2020

Статья просмотрена: 71 раз

Библиографическое описание:

Чичикин, Г. Я. Защита виртуальной инфраструктуры / Г. Я. Чичикин, Д. А. Семёнов. — Текст : непосредственный // Молодой ученый. — 2020. — № 22 (312). — С. 57-60. — URL: https://moluch.ru/archive/312/70768/ (дата обращения: 18.11.2024).



Наш технический мир развивается, чтобы стать быстрее, умнее и эффективнее. Компьютерное оборудование всегда было привязано к одной операционной системе и работало либо как сервер, либо как рабочая станция. Это означало, что для создания ИТ-инфраструктуры потребуется несколько физических блоков, каждый из которых будет играть определенную роль в задачах сети. Так было до тех пор, пока не были созданы виртуализация и гипервизоры, предлагающие различные соотношения аппаратного обеспечения к операционным системам.

Ключевые слова: виртулизация, гипервизор, уязвимости, взлом.

Our technical world is evolving to become faster, smarter and more efficient. Computer hardware has always been associated with the operating system. This means that it takes several physical blocks to create an IT infrastructure. Virtualization and hypervisors allow you to offer different ratios of hardware to operating systems.

Keywords: virtualization, hypervisor, vulnerabilities, hacking.

При рассмотрении вопроса о безопасности виртуальных сред полезно указать, на что в виртуальном стеке намекает обсуждение. Существует два основных уровня: сама виртуальная платформа и виртуальные машины (ВМ) и связанные с ними приложения, развернутые на таких платформах.

Виртуальные платформы могут находиться в частной собственности или приобретаться у поставщиков облачных услуг. Те организации, которые на 100 % полагаются на использование общедоступных платформ или передают на аутсорсинг 100 % управление своей виртуальной и/или частной облачной инфраструктурой, должны немного подробнее прочитать этот первый пост. Они передали ответственность за безопасность платформы на аутсорсинг своему поставщику и должны ссылаться на свое соглашение об уровне обслуживания.

Как говорит Amazon Web Services (AWS): “AWS берет на себя ответственность за обеспечение безопасности своих объектов, серверной инфраструктуры, сетевой инфраструктуры и инфраструктуры виртуализации, в то время как клиенты выбирают свою операционную среду, как она должна быть настроена и настроить свои собственные группы безопасности и списки контроля доступа“.

В заявлении AWS указаны области, которые необходимо решить тем, кто развертывает свои собственные виртуальные платформы и частные облака, чтобы обеспечить базовую безопасность. Риск существует в трех областях: безопасность инфраструктуры виртуализации (гипервизор), безопасность ресурсов, выделяемых гипервизором виртуальным машинам, инструменты управления виртуализацией и права доступа, которые они предоставляют виртуальной инфраструктуре

Третий пункт включает использование инструментов облачного оркестрирования, таких как OpenStack и VMware vCloud Director, которые могут использоваться для управления частными облаками или перемещения виртуальных машин между совместимыми частными и публичными облаками (гибридное облако).

Все гипервизоры могут содержать ошибки в своем программном обеспечении, которые приводят к уязвимостям, которые могут быть использованы хакерами. Таким образом, как и в любом программном обеспечении, необходим строгий режим исправления для выбранного гипервизора данной организации и инструментов управления, которые его поддерживают. Тем не менее, уязвимости гипервизора практически бесполезны, если они не открывают доступ либо к среде управления гипервизора, либо к ресурсам, к которым он имеет доступ. Большинство сообщений в прессе отражают это, например, выбирая наиболее широко используемый гипервизор, VMware ESX:

ThreatPost VMware исправила уязвимость в своих гипервизорах ESX и ESXi, которая может позволить несанкционированный локальный доступ к файлам“, — говорится в статье, в которой говорится, что эта уязвимость имеет эффект расширения привилегий, чего хакеры всегда ищут.

Network World,:“чтобы воспользоваться уязвимостью, злоумышленнику придется перехватывать и изменять трафик управления. В случае успеха хакер скомпрометирует хост-VMDBs, что приведет к отказу в обслуживании для некоторых частей программы“.

В обоих случаях VMware продолжала выпускать патч, гарантирующий защиту быстродействующих клиентов до того, как у хакеров будет много времени для действий.

Оба вышеприведенных примера подчеркивают необходимость решения основных проблем безопасности базовых ресурсов: сетей, хранилищ, контроля доступа и так далее. Для тех, кто делает все в доме, это включает в себя физический доступ к центру обработки данных. Эти соображения в значительной степени совпадают для невиртуальных развертываний с одной большой оговоркой. В виртуальном мире многие из этих ресурсов сами являются программными файлами, которые легко создавать, изменять и перемещать, поэтому компрометация файлового сервера может обеспечить доступ не только к конфиденциальным данным, но и к самой виртуальной среде. [1]

Как и во всем ИТ-менеджменте, здесь есть две опасности: аутсайдер, который находит свой путь с привилегиями, или привилегированный инсайдер, который ведет себя небрежно или злонамеренно. Виртуальный администратор, как бы ни были получены его привилегии, может изменять виртуальную среду по своему усмотрению без необходимости физического доступа. Это может включать в себя изменение конфигурации и/или параметров безопасности виртуальных компонентов и/или развертывание несанкционированных виртуальных машин для нечестивого использования.

Когда речь заходит о контроле доступа, управление привилегиями, у кого они есть, когда они есть и аудит того, что они делают с ними, аналогично тому, что происходит в физических средах. Однако есть и другие соображения, которые применимы в виртуальном мире сверх тех, что существуют в физическом. В основном речь идет о возможности отслеживать события на уровне гипервизора; контролировать и проверять доступ к ключевым файлам, копирование и перемещение виртуальных машин, захватывать потоки событий гипервизора и передавать все это в средства управления информацией о безопасности и событиями (SIEM). Также необходимо определить уровень безопасности гипервизора и предпринять действия, когда он нарушается, например, закрыть виртуальные машины или заблокировать трафик на виртуальные машины и из них.

Есть определенные специализированные поставщики, которые сосредоточены исключительно на безопасности уровня виртуальной инфраструктуры. Например, Catbird специализируется на создании отчетов и контроле безопасности связанных с VMware развертываний и базовой работы, которая фокусируется на мониторинге потоков данных в виртуальных средах с открытым исходным кодом. Поставщики виртуальных платформ и инструментов также предоставляют поддержку, не в последнюю очередь доступ к срочным консультациям по исправлению ошибок [2].

Три пункта, необходимые для комплексного решения виртуально инфраструктуры:

  1. Многогранность. Это самый основной пункт из трех и чрезвычайно ценный для малого и среднего бизнеса, который имеет трансформирующуюся среду. Универсальность означает возможность поддерживать как физические, так и виртуальные системы на одном гибридном облачном решении. Чтобы защитить предприятия от простоев и потери данных, необходимо, чтобы все критические системы были защищены в рамках одного решения, которое способно в любой момент запустить отказоустойчивые виртуальные машины. С виртуальной инфраструктурой это проще из-за обилия доступных ресурсов. Основой виртуальной инфраструктуры является массовое приобретение ресурсов в виде оперативной памяти и процессорных ядер и их использование на нескольких машинах. Использование виртуального хоста с доступными ресурсами в качестве средства отработки отказа для физической системы является разумным и эффективным.
  2. Стоимость. Лицензии на программное обеспечение — это подлые затраты, которые, кажется, умножаются экспоненциально по мере интеграции большего числа компаний и поставщиков. Консолидация — это ключ к реализации экономически эффективного решения. В компании Datto мы используем множество факторов консолидации, чтобы максимально снизить издержки для наших партнеров. Мы включаем неограниченные лицензии на программное обеспечение, а также цены за ТБ. Если клиент нуждается в защите для 7 ТБ данных, мы не хотим, чтобы ему приходилось выбирать между виртуальным устройством 10 ТБ или 20 ТБ. Наличие точного необходимого размера помогает снизить затраты, и по мере их роста установка новых машин полностью бесплатна. Стоимость — это скрытая проблема с виртуальной инфраструктурой и может привести к почти нулевой марже или снижению тарифов на услуги.
  3. Облачность. Представьте себе: сервер загорается и взрывается, срабатывает спринклерная система! И что теперь? Непрерывность облака применяется для физических и виртуальных сред. То, что облако является экономически эффективным и безопасным хранилищем не только данных, но и систем, позволяет компаниям работать удаленно. [3]

Литература:

  1. [Электронный ресурс]. — Режим доступа: https://www.sciencedirect.com/science/article/pii/B9780128038437000673 (дата обращения 07.05.2020)
  2. Электронный ресурс]. — Режим доступа: https://blog.sonicwall.com/en-us/2018/09/4-ways-to-protect-your-virtualized-infrastructure/ (дата обращения 04.05.2020)
  3. Электронный ресурс]. — Режим доступа: https://www.datto.com/blog/three-biggest-need-knows-virtual-infrastructure-protection (дата обращения 04.05.2020)
Основные термины (генерируются автоматически): AWS, виртуальная инфраструктура, ESX, программное обеспечение, машина, SIEM, виртуальный мир, инструмент управления, платформа, поставщик.


Ключевые слова

уязвимости, виртулизация, гипервизор, взлом

Похожие статьи

Модернизация и дополнение IT-архитектуры предприятия посредством шины данных

В статье автор рассматривает шину данных как ключевой элемент современной ИТ-архитектуры, обеспечивающий эффективное взаимодействие между различными системами предприятия. Шина данных упрощает процесс интеграции и позволяет централизованно управлять ...

Протокол TACACS+

Одним из самых сложных заданий, с которыми сталкивается сетевой администратор в сегодняшней среде сетевой безопасности, является ограничение доступа к сетевым службам, с которыми сталкиваются авторизованные пользователи. Потребность в сетевой безопас...

Zero Trust: «никогда не доверяй, всегда проверяй». Новая парадигма кибербезопасности

По мере того, как киберугрозы становятся все более сложными, традиционные модели безопасности оказываются менее эффективными. Архитектура Zero Trust представляет собой смену парадигмы в кибербезопасности, обеспечивая надежную защиту от современных уг...

Разработка алгоритма и программного обеспечения для шифрования данных

Человечество за всю свою историю никогда не развивалось так быстро, как в новейшем времени. Если раньше компьютер могла купить только крупная компания, то сейчас его может позволить себе каждый. Вместе с компьютером в жизнь людей прочно вошел интерне...

Стратегии HR для создания эффективных виртуальных команд и управления ими в цифровую эпоху

Виртуальные команды стали неотъемлемой частью современного бизнеса в цифровую эпоху. Они позволяют компаниям привлекать и удерживать талантливых сотрудников независимо от их географического расположения. Однако, эффективное создание и управление вирт...

Право интеллектуальной собственности в условиях развития новых технологий

Право интеллектуальной собственности — чрезмерно комплексная и многогранная дисциплина. Такие современные технологии, как искусственный интеллект, нейросети, машинное обучение, становятся актуальнее как никогда, потому что все чаще используются в про...

Компьютерная интеграция в производство. Эксплуатация в различных сферах деятельности

Мультимедийный характер воздействия компьютера на человека привел к тому, что вырос рынок виртуальных игр, видеохостингов, сайтов кинофильмов. Возможность производить большое количество манипуляций с данными за короткий промежуток времени дала старт ...

Технические инновации и их значение для экономики

В статье приводится понятие, общая характеристика инновационных разработок в сфере экономики. Обосновывается преимущества использования технологии Блокчейн, раскрывается содержание этого понятия. Аргументировано, что применение децентрализованной баз...

Платформы для разработки децентрализованных приложений на основе Blockchain

Блокчейн — это прозрачная система, которую можно публично проверить. Данный тип систем меняет представление сообщества о том, как использовать доступные ресурсы, как следить за соблюдением договоров, как хранить и обмениваться информацией. Это общий ...

Построение программного комплекса для генерации звуков барабанов с использованием GAN сетей

В статье рассматривается построение программного комплекса для генерации звуков барабанов с использованием GAN сетей. Программный комплекс работает на клиент-сервер архитектуре и использует нейронные сети WaveGAN для генерации звуков. Результаты, пол...

Похожие статьи

Модернизация и дополнение IT-архитектуры предприятия посредством шины данных

В статье автор рассматривает шину данных как ключевой элемент современной ИТ-архитектуры, обеспечивающий эффективное взаимодействие между различными системами предприятия. Шина данных упрощает процесс интеграции и позволяет централизованно управлять ...

Протокол TACACS+

Одним из самых сложных заданий, с которыми сталкивается сетевой администратор в сегодняшней среде сетевой безопасности, является ограничение доступа к сетевым службам, с которыми сталкиваются авторизованные пользователи. Потребность в сетевой безопас...

Zero Trust: «никогда не доверяй, всегда проверяй». Новая парадигма кибербезопасности

По мере того, как киберугрозы становятся все более сложными, традиционные модели безопасности оказываются менее эффективными. Архитектура Zero Trust представляет собой смену парадигмы в кибербезопасности, обеспечивая надежную защиту от современных уг...

Разработка алгоритма и программного обеспечения для шифрования данных

Человечество за всю свою историю никогда не развивалось так быстро, как в новейшем времени. Если раньше компьютер могла купить только крупная компания, то сейчас его может позволить себе каждый. Вместе с компьютером в жизнь людей прочно вошел интерне...

Стратегии HR для создания эффективных виртуальных команд и управления ими в цифровую эпоху

Виртуальные команды стали неотъемлемой частью современного бизнеса в цифровую эпоху. Они позволяют компаниям привлекать и удерживать талантливых сотрудников независимо от их географического расположения. Однако, эффективное создание и управление вирт...

Право интеллектуальной собственности в условиях развития новых технологий

Право интеллектуальной собственности — чрезмерно комплексная и многогранная дисциплина. Такие современные технологии, как искусственный интеллект, нейросети, машинное обучение, становятся актуальнее как никогда, потому что все чаще используются в про...

Компьютерная интеграция в производство. Эксплуатация в различных сферах деятельности

Мультимедийный характер воздействия компьютера на человека привел к тому, что вырос рынок виртуальных игр, видеохостингов, сайтов кинофильмов. Возможность производить большое количество манипуляций с данными за короткий промежуток времени дала старт ...

Технические инновации и их значение для экономики

В статье приводится понятие, общая характеристика инновационных разработок в сфере экономики. Обосновывается преимущества использования технологии Блокчейн, раскрывается содержание этого понятия. Аргументировано, что применение децентрализованной баз...

Платформы для разработки децентрализованных приложений на основе Blockchain

Блокчейн — это прозрачная система, которую можно публично проверить. Данный тип систем меняет представление сообщества о том, как использовать доступные ресурсы, как следить за соблюдением договоров, как хранить и обмениваться информацией. Это общий ...

Построение программного комплекса для генерации звуков барабанов с использованием GAN сетей

В статье рассматривается построение программного комплекса для генерации звуков барабанов с использованием GAN сетей. Программный комплекс работает на клиент-сервер архитектуре и использует нейронные сети WaveGAN для генерации звуков. Результаты, пол...

Задать вопрос