Обеспечение защиты информации в виртуализированной инфраструктуре | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 5 февраля, печатный экземпляр отправим 9 февраля.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №24 (366) июнь 2021 г.

Дата публикации: 07.06.2021

Статья просмотрена: 84 раза

Библиографическое описание:

Игнатов, С. Д. Обеспечение защиты информации в виртуализированной инфраструктуре / С. Д. Игнатов, А. А. Быстров. — Текст : непосредственный // Молодой ученый. — 2021. — № 24 (366). — С. 30-34. — URL: https://moluch.ru/archive/366/82146/ (дата обращения: 27.01.2022).



Ключевые слова: виртуализированная инфраструктура, защита информации, виртуализация, информационные технологии, меры защиты среды виртуализации.

Информационные технологии являются неотъемлемой частью не только нашей жизни, но и ведения бизнеса. Большинство компаний используют облачные сервисы, арендуют ресурсы центров обработки данных. Более крупные организации виртуализируют свои серверы и создают свои собственные облака.

Однако с развитием цифровизации процессов возникают и новые угрозы безопасности информации из-за новых каналов утечки, которые могут привести к ущербу финансовому, репутационному, а также к нарушению соответствующих законодательств.

В данной статье речь пойдёт об определении требований к защите виртуализированной инфраструктуры (ВИ) и выборе решений защиты информации для виртуализированной инфраструктуры, на основе требований регуляторов, определенных в отношении виртуализированной среды организации.

Виртуализация представляет собой имитацию программного и/или аппаратного обеспечения, в среде (на базе) которого функционируют различные программы [1].

Виртуализацию проводят в отношении:

– программ;

– вычислительных систем;

– систем хранения данных;

– вычислительных сетей;

– памяти;

– данных.

Виртуализируя всю информационную систему или её часть, применимо определение виртуальной инфраструктуры, которая представляет собой композицию иерархически взаимосвязанных групп виртуальных устройств обработки, хранения и/или передачи данных, а также группы необходимых для их работы аппаратных и/или программных средств.

Средствами создания и управления виртуальной инфраструктурой являются гипервизоры. Гипервизор (монитор виртуальных машин) — это программа, создающая среду функционирования других программ (в том числе других гипервизоров) за счет имитации аппаратных средств вычислительной техники, управления данными средствами и гостевыми операционными системами, функционирующими в данной среде [1].

Различают гипервизоры I и II типа:

– гипервизор I типа: Гипервизор, устанавливаемый непосредственно на аппаратное обеспечение в качестве системного программного обеспечения [1].

– гипервизор II типа: Гипервизор, устанавливаемый в среде хостовой операционной системы в качестве прикладного программного обеспечения [1].

Для защиты перечисленных объектов используют как виртуальные средства ЗИ, так и средства ЗИ, предназначенные для использования в среде виртуализации, являющиеся разновидностями средств ЗИ и другие виды средств ЗИ.

В Российской Федерации главным регулятором по контролю безопасности виртуализации является ФСТЭК России, в 2013 году издавший приказы № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». В этих документах, в частности, дан перечень мер защиты, обязательных при использовании виртуальных сред в государственных информационных системах и информационных системах персональных данных. При этом особое внимание уделяется необходимости применения сертифицированных средств защиты виртуальной среды. Если же система не является государственной, использование приказа ФСТЭК № 17 не обязательно.

Приказ № 21 говорит о необходимости защиты ключевого элемента облачных вычислений — «среды виртуализации» (ч.2, п.8), не запрещая напрямую или косвенно использовать внешние сервисы. Также данный приказ содержит конкретные меры по защите среды виртуализации, которые должны быть реализованы в зависимости от уровня защищенности персональных данных и наличия актуальных угроз (ЗСВ.1 — ЗСВ.10).

Помимо этого, в 2016 году вступил в силу государственный стандарт ГОСТ Р 56938–2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения», устанавливающий требования по защите информации, обрабатываемой с использованием технологий виртуализации.

Угрозы безопасности виртуальной среды

Специфика виртуальной инфраструктуры предполагает большее, по сравнению с физической средой, количество привилегированных пользователей, что автоматически создает для виртуализированной инфраструктуры отдельную группу инцидентов, связанных с умышленными (например, копирование защищаемой информации) или неумышленными действиями.

При обработке конфиденциальной информации и персональных данных в виртуальной инфраструктуре возможна реализация следующих угроз:

– угроза НСД к виртуальным каналам передачи данных;

– угроза НСД к консоли управления ВИ;

– угроза несанкционированного внесения изменений в образы ВМ и НСД к настройкам ВМ;

– угроза НСД к гипервизору;

– угроза НСД к защищаемым ВМ со стороны других ВМ;

– угроза НСД к системе хранения данных;

– угроза НСД к виртуальному сетевому оборудованию;

– угроза неконтролируемого роста числа ВМ;

– угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов;

– угроза использования новых плохо защищенных ВМ;

– угроза нарушения сегментации ВИ;

– угроза нарушения процедуры аутентификации субъектов ВИ;

– угроза выхода процесса за пределы ВМ;

– угрозы НСД к защищаемой информации, обрабатываемым на ВМ;

– угрозы утечки акустической (речевой) информации;

– угрозы утечки видовой информации;

– угрозы утечки информации по каналу ПЭМИН;

– угрозы «Анализа сетевого трафика» с перехватом, передаваемой во внешние сети и принимаемой из внешних сетей информации;

– угрозы сканирования, направленные на выявление типа операционной системы ВМ, открытых портов и служб, открытых соединений;

– угрозы выявления паролей;

– угрозы получения НСД путем подмены доверенного объекта;

– угрозы типа «Отказ в обслуживании»;

– угрозы удаленного запуска приложений;

– угрозы внедрения вредоносных программ.

Меры защиты среды виртуализации

Основными направлениями обеспечения безопасности виртуальной инфраструктуры является:

– Резервное копирование виртуальных машин;

– Антивирусная защита;

– Мониторинг событий безопасности виртуальной инфраструктуры;

– Разграничение доступа внутри виртуальной инфраструктуры;

– Защита данных внутри виртуальных машин;

– Сетевая защита внутри виртуальной машины;

– Обнаружение вторжений внутри виртуальной инфраструктуры;

– Контроль уязвимости внутри виртуальной инфраструктуры;

– Аудит действий привилегированных пользователей.

Перечисленные меры защиты информации в ВИ приведены в соответствии со стандартом [1]. Перечисленные меры по защите информации не являются обязательным, но могут быть необходимы для нейтрализации актуальных угроз ИБ в виртуализированной инфраструктуре.

Согласно федеральному закону от 29.07.2004 N 98-ФЗ «О коммерческой тайне», в отношении сведений, составляющих коммерческую тайну, не установлено обязательных требований в отношении защиты среды виртуализации. Документ устанавливает только то, что обладатель информации вправе применять не противоречащие законодательству Российской Федерации меры защиты информации. Значит можно применять рекомендательные меры по ЗИ, установленные в стандарте [1].

Для персональных данных, обрабатывающихся в виртуализированной ИСПДн, обязательно соблюдение требований приказа ФСТЭК № 21. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с постановлением Правительства № 1119 и должны быть направлены на нейтрализацию выявленных актуальных угроз безопасности персональных данных.

Согласно приказу ФСТЭК № 21, для защиты ПДн в ВИ необходимо выполнение следующих мер:

– идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации (ЗСВ.1);

– управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин (ЗСВ.2);

– регистрация событий безопасности в виртуальной инфраструктуре (ЗСВ.3);

– управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры (ЗСВ.4);

– доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией (ЗСВ.5);

– управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных (ЗСВ.6);

– контроль целостности виртуальной инфраструктуры и ее конфигураций (ЗСВ.7);

– резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры (ЗСВ.8);

– реализация и управление антивирусной защитой в виртуальной инфраструктуре (ЗСВ.9);

– разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей (ЗСВ.10).

Кроме того, в информационных системах 3 уровня защищенности персональных данных должны применяться средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 5 класса.

Выбор решений защиты

Подбор решений производится на основе наличия действующего сертификата ФСТЭК России в государственном реестре сертифицированных средств защиты информации [12].

В рыночном сегменте представлено 4 сертифицированных средства защиты виртуальной среды:

– vGate R2 4.2 компании «Код Безопасности»;

– СЗИ ВИ Dallas Lock группы компаний «Конфидент»;

– Аккорд-В 1.3 компании ОКБ САПР;

– С-Терра Виртуальный Шлюз Версия 4.2 компании «С-Терра».

Поскольку одной из мер защиты по приказу ФСТЭК № 21 является реализация и управление антивирусной защитой в виртуальной инфраструктуре, то необходимо также рассмотреть решения данного класса. Единственное сертифицированное антивирусное программное обеспечение на рынке представлено «Лабораторией Касперского»:

– программное изделие «Kaspersky Security для виртуальных сред» [20].

Согласно представленным мерам для виртуализированной инфраструктуры организации необходимо совместное применение:

– средства защиты информации виртуальной среды, реализующее меры ЗСВ.1–10;

– антивируса, реализующего меру ЗСВ.9.

Поскольку средств защиты на рынке существует несколько, то выбор наиболее подходящего решения целесообразно производить на основе сравнения функциональных возможностей и применимости.

Далее был проведён сравнительный анализ функциональных возможностей средств защиты информации: vGate R2 4.2 Enterprise Plus, СЗИ ВИ Dallas Lock, Аккорд-В 1.3 и С-Терра Виртуальный Шлюз Версия 4.2. Сравнение функционала продуктов производилось с помощью документированной информации о продуктах по категориям:

– сертификация и адаптация для российского рынка;

– поддерживаемый компонент ВИ;

– объекты доступа в ВИ;

– способы идентификации и аутентификации;

– методы разграничения доступа;

– реализация контроля целостности;

– осуществление доверенной загрузки;

– возможность регистрации событий;

– защита ESX(i)-хостов;

– наличие централизованного управления;

– применение политик безопасности;

– обеспечение отказоустойчивости;

– интеграция с имеющейся инфраструктурой;

– фильтрация трафика на ВМ;

– поддержка операционных систем для установки клиента.

Всего, в ходе анализа, было проанализировано 102 возможности, так или иначе реализованных в средствах защиты информации. Общее количество встроенных функций безопасности в каждом продукте:

– vGate R2 4.2 Enterprise Plus — 101;

– СЗИ ВИ Dallas Lock — 59;

– Аккорд-В 1.3–38;

– С-Терра Виртуальный Шлюз Версия 4.2–36.

Отталкиваясь от условной необходимости обеспечения третьего уровня защищённости персональных данных и при условии использования «Kaspersky Security для виртуальных сред» можно сделать вывод, что в vGate R2 4.2 Enterprise Plus реализовано гораздо больше функций безопасности, которые в совокупности с САВЗ могут «закрыть» угрозы безопасности информации.

На основе анализа актуальных и обязательных (установленных регуляторами) аспектов обеспечения безопасности выявлены основные направления построения системы защиты информации в виртуализированной среде.

Сравнительный анализ решений, представленных на рынке, показал, что предотвратить риски утечки информации и снизить возможность реализации угроз в виртуализированной инфраструктуры поможет комплексный и системный подход к защите и принятие решения об использовании vGate R2 4.2 редакции Enterprise Plus и антивируса Kaspersky Security для виртуальных и облачных сред.

Литература:

  1. ГОСТ Р 56938–2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения».
  2. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. (утв. решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.).
  3. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 31.12.2017).
  4. Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (ред. от 18.04.2018).
  5. Указ Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера» (ред. от 13.07.2015).
  6. Приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (ред. от 28.05.2019).
  7. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (ред. от 23.03.2017).
  8. Compare VMware vSphere Editions [Электронный документ], (https://www.vmware.com/content/dam/digitalmarketing/vmware/ru/pdf/vsphere/vmw-flyr-comparevsphereeditions-uslet.pdf, дата обращения: 09.03.2020).
  9. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 15.02.2008).
  10. Федеральный закон от 27.12.2002 N 184-ФЗ «О техническом регулировании» (ред. от 28.11.2018).
  11. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).
  12. Государственный реестр сертифицированных средств защиты информации [Электронный документ], (https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001–01bi00, дата обращения: 04.04.2020).
Основные термины (генерируются автоматически): виртуальная инфраструктура, защита информации, данные, угроза, виртуальная среда, антивирусная защита, Виртуальный Шлюз, мера, система, средство защиты информации.


Ключевые слова

информационные технологии, защита информации, виртуализация, виртуализированная инфраструктура, меры защиты среды виртуализации
Задать вопрос