БЕЗОПАСНОСТЬ ВИРТУАЛИЗАЦИИ ПРИ ОБРАБОТКЕ ДАННЫХ ОГРАНИЧЕННОГО ДОСТУПА INFOSECURITY RUSSIA Москва, ЭКСПОЦЕНТР , 30 СЕНТЯБРЯ 2009 Генеральный директор ООО "Код Безопасности" АЛЕКСАНДР ШИРМАНОВ
Nov 11, 2014
БЕЗОПАСНОСТЬ ВИРТУАЛИЗАЦИИ ПРИ ОБРАБОТКЕ ДАННЫХ ОГРАНИЧЕННОГО ДОСТУПА
INFOSECURITY RUSSIA
Москва, ЭКСПОЦЕНТР, 30 СЕНТЯБРЯ 2009
Генеральный директор ООО "Код Безопасности"
АЛЕКСАНДР ШИРМАНОВ
Законы и нормативные документы
2
Конвенции и иные международные договора
Директивы Евросоюза
Европейская конвенция
РекомендацииОЭСР
ЗаконыФЗ № 152
от 26.07.2006
Постановленияправительства
№ 781от 17.11.2007
№ 687от 15.09.2008
№ 512от 06.07.2008
Приказы и иные документы
Совместный приказ
от 13.02.2008
4 закрытыхдокумента
ФСТЭК
2 открытыхдокумента
ФСБ
Проект регламентаосуществления
контроля и надзора
Традиционные сертифицированные средства защиты информации в
виртуальной среде не эффективны
Если нарушитель получает доступ к среде
виртуализации, операционная среда традиционных СЗИ
оказывается полностью скомпрометированной
Из среды гипервизора нарушитель может совершить
доступ к информации незаметно для
традиционных сертифицированных СЗИ,
работающих в виртуальных машинах:
Безопасность виртуальной инфраструктуры
Атака на гипервизор
Описание угрозы:
1. Нарушитель может совершить НСД к серверу
виртуализации (и гипервизору)
2. Сервер виртуализации может содержать ошибки и
уязвимости.
Меры защиты:
1. Разграничение доступа к серверу виртуализации
2. Своевременная установка обновлений ПО среды
виртуализации
3. Ограничение запуска программ
Атака на диск виртуальной машины
Описание угрозы:
Виртуальная машина типично исполняется на сервере
виртуализации, а ее диск хранится на SAN/NAS.
Меры защиты:
Защита данных виртуальных машин путем
разграничения доступа к дискам виртуальных машин,
реализуемого сертифицированными СЗИ от НСД и МЭ,
контролирующими протоколы и файловые форматы
виртуальной инфраструктуры.
Атака на средства управления
Описание угрозы:
Получив доступ к средствам администрирования,
нарушитель получает возможность по похищению,
уничтожению, искажению любых данных во всей
виртуальной инфраструктуре.
Меры защиты:
Защита периметра сети администрирования путем
разграничения доступа к серверам виртуальных машин
и средствам управления инфраструктуры.
Атака на виртуальную машинус другой виртуальной машины
Описание угрозы:
Виртуальные машины одного физического сервера
могут обмениваться трафиком напрямую без участия
физических сетевых коммутаторов. Т.о. использование
физических МЭ не будет эффективным.
Меры защиты:
Модернизация существующих сертифицированных МЭ,
их перенос в виртуальную среду. Создание
специализированных СЗИ от НСД и МЭ,
контролирующих трафик внутри сервера виртуализации
Атака на сеть репликациивиртуальных машин
Описание угрозы:
По сети репликации виртуальных машин передаются
сегменты их оперативной памяти. Возможность
перехвата этих данных — прямая угроза безопасности.
Меры защиты:
Сеть репликации должна быть изолирована от
остальных сетей, либо требуется обязательное
использование сертифицированных VPN (СКЗИ) для
канала репликации
Неконтролируемый рост числавиртуальных машин
Описание угрозы:
Простота создания и ввода в эксплуатацию
виртуальных машин может создать проблемы для
безопасности, если к ним не применяется политика
безопасности.
Меры защиты:
Требуется организация централизованного процесса
управления жизненным циклом виртуальных машин,
согласующийся с политикой безопасности организации
Сертифицированные средства защитыдля виртуализации
Для защиты виртуальной инфраструктуры могут
использоваться следующие продукты:
vGate for VMware Infrastructure
Secret Net 5.1 - терминалы Citrix (уже есть), VDI (план)
АПМДЗ “Соболь” — сервера виртуализации
“Континент” (МЭ 3 класса)— для разграничения доступа
к сети администрирования
Дополнительная информация
Виртуализация:
– Citrix: http://www.citrix.ru
– Microsoft: http://www.microsoft.com/rus/virtualization
– VMware: http://www.vmware.com/ru
Защита информации ограниченного доступа:
– Информационный портал: http://zki.infosec.ru
– Законодательство: http://zki.infosec.ru/law
Технические средства защиты:
– Продукты Кода Безопасности:
http://www.securitycode.ru
СПАСИБО ЗА ВНИМАНИЕ!ВОПРОСЫ?
INFOSECURITY RUSSIA
АЛЕКСАНДР ШИРМАНОВ
Москва, ЭКСПОЦЕНТР, 30 СЕНТЯБРЯ 2009
• +7 (495) 980-2345 (многоканальный)
• www.securitycode.ru
13
Генеральный директор