Уязвимости систем виртуализации и варианты защиты информации в таких системах Positive Hacking Day Лысенко Александр МОСКВА 19 мая 2011 Product manager, Код Безопасности
Jan 24, 2015
Уязвимости систем виртуализации и варианты защиты информации в таких системах
Positive Hacking Day
Лысенко Александр
МОСКВА 19 мая 2011
Product manager, Код Безопасности
Содержание
2
•Виртуализация стала мейнстримом
•Новые виды информационных угроз
ИБ: итоги 2010
•Ключевые риски
•Кто контролирует администратора?
•Лучшие практики по защите
Виртуализация, облака и
безопасность
Виртуализация изменила мир ИТ
Золотая лихорадка: выпускается много новых и «сырых» продуктов
Безопасность – основной риск
2010: новые виды информационных угроз
3
Изменение парадигмы
4
Облачно с вероятностью осадков“Тревога о безопасности сдерживает ИТ менеджеров от ухода в облака.”
-The Economist, March 5, 2010
4 ключевых проблемы ИБ 2010
5
• Направленная атака• 0-day уязвимостиAurora
• Супер зловред• Кибер оружиеStuxnet
• Широкое распространение• Открытый большой кодAndroid
• 64 битные зловреды• Современные CPUs64 bit
Источник: Лаборатория Касперского
Aurora vs. Google
• «Google объявила во вторник, что она стала целю "очень сложной и скоординированной атаки против ее корпоративной сети. Она сообщила, что хакеры украли интеллектуальную собственность и искали доступ к учетным записям Gmail ряда правозащитников. Нападение произошло из Китая, говорится в сообщении компании».
Wired.com
6
Stuxnet
7
Схема распространения Stuxnet• Dimona tested
the effectiveness of the Stuxnet computer worm, a destructive program that appears to have wiped out roughly a fifth of Iran’s nuclear centrifuges and helped delay, though not destroy, Tehran’s ability to make its first nuclear arms.
8
Израильская копия производства в Натанце (Иран) для тестирования Stuxnet
9
StuxNet вывел из строя иранские центрифуги для обогащения урана
• «The target of the attack was to modify the operation of high-frequency power drives made by Vacon and Fararo Paya. These drives were controlling the centrifuges that were enriching uranium».
F-Secure10
Атака «человек в середине»
• “While Stuxnet is doing malicious modifications to the system, it uses a man-in-the-middle attack to fool the operators into thinking everything is normal”
F-Secure
11
Новости 2011 - Oddjob
12
Крадет деньги со счета даже после того как пользователь он-лайн банка вышел из системы
2010, безопасность и виртуализацияПриоритеты клиентской виртуализации
2011
Источник: http://www.enterprisemanagement.com/
Появились новые изощренные виды монетизации киберугроз
Виртуализация инфраструктуры – ключевой тренд в корпоративных ИТ• VDI• Облака
Как обстоят дела с безопасностью виртуальных инфраструктур?
Виртуализация и риски ИБ
14
Специалисты ИБ не участвует в проекте по виртуализации
Взлом слоя виртуализации может привести к взлому всех ВМ
Виртуальные ВМ-ВМ сети плохо контролируемы
ВМ с разным уровнем ИБ размещены на одном физическом хосте
Отсутствие контроля за действиями администратора
Потеря разделения ответственности за сеть и ИБИсточник:
Gartner, 2010
Стоимость потери информации
• 285М взломанных записей в 2008 г. (Verizon Business RISK Team)
• В 2008 в США потеря каждой записи стоила $202, включая $152 косвенного ущерба (Ponemon Institute)
15True Cost of Compliance Report, Ponemon Institute LLC, January 2011
Типы и стоимость инцидентов с ИБ
16
Потеря данных через администратора – самый дорогой тип инцидента в ИБ
• В виртуальной среде нет проактивных средств контроля действий администратора
• Зловредное ПО с правами администратора может получить контроль над ВМ в обход гипервизора
17
The Value Of Corporate SecretsHow Compliance And Collaboration Affect Enterprise Perceptions Of Risk
March 2010, Forrester
Что делать?
18
Разделить полномочия и ответственность
администраторов ВИ и ИБ
Безопасная Виртуализация
Лучшие практики информационной безопасности
19
Виртуализация и безопасность
20
Люди
Процессы
Технологии
Люди• Обучение• Разделение ответственности
Процессы• Лучшие практики• Требования регуляторов
Технологии• Платформа• Наложенные средства
Ключевые процессы
21
Управление изменениями
Гипервизор = виртуальное
железо
Тестовая среда: тестирование безопасности
Обновления ПО и утверждения
изменений
Управление и мониторинг виртуальных
активов
Ввод ВМ в эксплуатацию
Контроль внешних
виртуальных устройств (ВУ)
Сетевая безопасность
Лучшие практики ИБ и
требования регуляторов
Virtualization Security
HardeningPCI DSS CIS
ИБ виртуализации. Постулаты
22
Виртуальные машины подвержены тем же угрозам, что и реальные компьютеры
Виртуализация дает эффективные методы борьбы с некоторыми видами угроз (например, Sandboxing)
Но приносит новые угрозы и проблемы, требующие новых решений…
Традиционные средства защиты в виртуальной среде не эффективны
• Firewall, VPN• Антивирусы• DLP • IDS/IPS• Криптосредства• Другие средства
защиты
010110100101000101
010110100101000101
010110100101000101
М.б. неприменимы или снижать производительность среды
Безопасность гипервизора
Гипервизор
Сервер виртуализации
Console OS
Средства управления
виртуальнойинфраструктурой
Пока не обнародовано ни одного случая взлома гипервизоров или нарушения изоляции ВМ
Возможности Blue Pill & Red Pill пока не доказывают наличие угрозы для гипервизоров
Можно получить доступ к гипервизору через средства управления
Матрица и безопасность виртуальной среды
25
Blue Pill – зловредный гипервизор, незаметно
превращающий ОС в ВМ и перехватывающий ее трафик
Red Pill – способ обнаружения присутствия на физическом хосте работающей виртуальной машины
Ядро (kernel) гипервизора
26
App
OS
ESX Server
App
OS
App
OS
VMsafe APIs
ВМ ИБ:• МЭ• IDS / IPS• Антивирус• Мониторинг
целостности
ESX – самое маленькое ядро на рынке
VMware VMsafe – API к ядру гипервизора: позволяет «видеть» идущий через него трафик
Средства платформы: vShield EndpointАнтивирусная зашита гостевых ВМ
Позволяет использовать специальную
антивирусную ВМ без А/В агентов в
гостевых ВМ
ОС в консоли управления
28
По слухам для vSphere 5 будет упразднена
Для VI 3 и vSphere 4 (Linux based)• Подвержена обычным угрозам для ОС• Используйте рекомендации «VMware Security
Hardening Guide»• Трудоемкая ручная настройка автоматизируется с
vGate
Виртуализация меняет свойства сетей
Гипервизор Гипервизор
Сервер виртуализации Сервер виртуализации
Стандартные МЭ становятся не везде применимы
Угроза DoS атаки: ВМ может занять весь трафик
• Мониторинг и ограничение ресурсов
Трудоемкая ручная настройка автоматизируется с vGate
Сетевая безопасность – приоритет №1
30
VMware vShield: балансировка нагрузки, МЭ, VPN, зоны безопасности
31
МЭ
Балансировщик нагрузки
VPN
VMware vSphere
Load balancerFirewallVPNEtc… vShield
Virtual Appliance
Проблема для России: низкий уровень сертификации
Сетевой трафик для vMotion
32
Синхронизация памяти по Сети ХД без шифрования
Должна использоваться защищенная сеть, но:
Любой ввод/вывод (LAN,RAM, HDD) чувствителен к угрозам типа Man in The Middle
Пример Обхода Captcha В стиле man In The Middle
33
Koobface
34
Пример сложного социального зловреда, использующего технику MitM
CAPTCHA передается на зараженную машину и пользователь превращает ее в текст
35
Защита от атак «Man in the Middle»
Гипервизор
Сервер виртуализации
Man in The
Middle
Перед вводом в эксплуатацию все самоподписанные SSL сертификаты необходимо заменить на доверенные сертификаты 3-х сторон
Гипервизор и спящие (выключенные) ВМ
37
Сервер виртуализации
Гипервизор
Гипервизор может читать и изменять данные ВМ, когда они не работают
У проснувшейся ВМ устареют настройки безопасности
Аппаратные средства защиты в виртуальной среде
38
Могут не работать в ВС• Традиционные средства доверенной
загрузки.• Во многих случаях аппаратное средство
нельзя «пробросить» в виртуальную машину
Используйте стандартный образ ВМ с максимальными настройками ИБ
App
OS
Заблокированный стандартный образ
ВМ позволит избежать ошибок
настройки ИБ
Инструменты
Средства ИБ в составе платформы
виртуализации
Защита от внешних угроз: сетевых атак, вредоносного ПО, уязвимостей
Защита среды гипервизора от НСД, контроль
ролей и настроек
Контроль ИБ трафика
Контроль настроек ИБ,
целостности и прав доступа
Firewall,зоны
безопасностибалансировка нагрузки, API
VMware vShield – базовые возможности ИБ
41
VMware vSphere
vShield Manager + vCenter
Простая настройка
vShield
Сетевой администратор
Администратор ИБ
Администратор ВИ
Ясное разделение ответствен-
ности
Политики
Trend Micro Deep Security for VMware
42
vNIC vNIC vNIC vNIC
vSwitch
• Специальная гостевая виртуальная машина на гипервизоре• Защищает все VM снаружи, без изменения VM• FW, IDS/IPS и антивирусное сканирование на уровне гипервизора
Лучшие практики ИБ для виртуальных сред
• PCI DSS 2.0• CIS VMware ESX Server Benchmarks• VMware Security Hardening Best Practices
43
Лучшие практики ИБ для виртуальных сред
• В каждом документе более 100 страниц настроек параметров безопасности
44
Как использовать лучшие практики ИБ?
45
Ручная настройка
• или
автоматизация с vGate: поставляется с шаблонами настройки для соответствия лучшим практикам ИБ
Как узнать правильность моих
настроек?
Облака и БезопасностьБезопасность виртуальной инфраструктуры в облаках
46
#1 опасение при переходе к облакам
47
Source: Saugatuck Technology Inc., 2009 Cloud Infrastructure Survey (Julne09), WW N=670
Консолидация = централизация рисков
• «В облачной среде наименьший общий знаменатель безопасности будет разделен со всеми арендаторами виртуального ЦОД.»
http://www.cloudsecurityalliance.org/csaguide.pdf
48
Ключевые угрозы в облаке v1.0• Угроза #1: злоупотребление концепцией• Угроза #2: небезопасные интерфейсы и APIs• Угроза #3: вредоносные инсайдеры• Угроза #4: общее использование старых технологий• Угроза #5: утечки и потери данных• Угроза #6: взлом учетных записей и сервисов• Угроза #7: неизвестные характеристики рисков
49
Top Threats to Cloud Computing
Угроза #3: инсайдеры
50
Поставщик управляет доступом и
настройками ИБПо 152ФЗ за ПДн
отвечает оператор
Администратор имеет доступ ко всем ВММожет завладеть
данными с малым риском обнаружения
Ущерб репутации, убытки, снижение
продуктивностиСкоро вступление в
ВТО!
Угроза #5: утечки и потери данных
51
Ведут к прямым и
косвенным финансовым
потерям
Штрафные санкции (PCI DSS, 152ФЗ) и
судебные иски
Пример: слабый AAA
контроль: authentication, authorization &
audit
Угроза #6: взлом учетных записей и сервисов
52
Может иметь любые последствия
vGate и облака
53
vGate позволяет контролировать
администратора облака, снижая риск потерь данных
PCI-DSS: штрафы до $500,000
54
PCI DSS 2.0: требования к виртуальной среде
55
ВМ рассматривается как физический сервер
Одна ключевая функция на ВМ
Запрещено давать сотрудникам доступ к гипервизору
Минимально необходимый уровень прав доступа• Например администратор ВМ не может назначить ей другой vSwitch
Разделение функций и сетей с разными уровнями безопасности • На vSwitch нельзя использовать VLANs с 802.1Q, если у них разные функции или
уровни безопасности (п. 2.2.1). Добавьте vSwitch для изоляции трафика
Нельзя совмещать тестовые и производственные среды
vGate и PCI DSS
56
vGate поставляется с шаблонами настройки
VMware для соответствия PCI DSS
vGate 2 for VMware infrastructure
57
Security Code vGatefor VMware Infrastructure
58
Повышает безопасность виртуальной инфраструктуры VMware VI 3 и VMware vSphere 4
Позволяет снизить риски ИБ для VMware и облегчить использование лучших практик
Сертификаты ФСТЭК для использования среды VMware в ИСПДн до К1
Security Code vGate for VMware Infrastructure: основные функции:
59
Усиленная аутентификация администраторов ВИ и ИБ
Разделение ролей администратора ВИ и ИБ
Разграничение прав администрирования объектов ВИ (мандатный доступ)
Защита средств управления виртуальной инфраструктурой от несанкционированного доступа
Security Code vGate for VMware Infrastructure: основные функции (2):
60
Контроль целостности конфигурации виртуальных машин и доверенная загрузка
Разграничение прав ESX-хостов на исполнение ВМ
Регистрация событий ИБ
Централизованное управление и мониторинг
61
В vGate входят:• Сервер авторизации • Модули защиты ESX• Рабочее место
администратора• Консоль управления
vCenter
ВМ ВМ ВМ ВМ
Администратор Администратор
ESX-хост ESX-хост
vGate
vGatevGate
Архитектура
62
• Право на использование Сервера авторизации vGate
• Право на использование vGate для защиты ESX-серверов
Модель лицензирования
vCenter
ВМ ВМ ВМ ВМ
Администратор Администратор
ESX-хост ESX-хост
vGateшт.
сокеты сокеты
Сертификаты vGate for VMware Infrastructure
63
vGate 2
ФСТЭК СВТ 5 и НДВ 4• для АС до 1Г включительно• ИСПДн до К1 включительно
vGate 2-S(в процессе)
ТУ и ФСТЭК НДВ 2• для АС до 1Б включительно• ИСПДн до К1 включительно
vGate для виртуальной инфраструктуры VMware
64
Ситуация
Новых виртуальных серверов поставляется
больше чем физических
Администратор в виртуальной среде имеет
полный доступ к ВМ
vSphere в России не может использоваться в ИСПДн К1
Последствия
Утечка секретов через администраторов – самый
дорогой тип нарушения информационной
безопасности
Решение
vGate позволяет разделить ответственность между АИБ
и АВИ
vGate позволяет использовать vSphere при
работе с любыми персональными данными
Дополнительная информация• Подробнее о vGate:
– http://www.securitycode.ru/products/sn_vmware/
• vGate Compliance Checker (free)– http://www.securitycode.ru/products/sn_vmware/vgtate_checker/
• Демо-версия vGate:– http://www.securitycode.ru/products/demo/
65
СПАСИБО ЗА ВНИМАНИЕ!ВОПРОСЫ?