Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4770 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN).

Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN).

Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN).

Автор: 5nine
Дата: 21/06/2016

Регулярные проблемы с нарушением конфиденциальности корпоративных данных, атаки на инфраструктуру и приложения, запущенные в виртуальной среде, прямые многомиллионные потери денег банками – это результат использования средств защиты информации (СЗИ) не соответствующих современной архитектуре виртуализированных ЦОД. 

Регуляторы, отслеживающие многочисленные инциденты ИБ стараются учесть широкое использование виртуальных сред в ИС. С февраля 2013 года действуют Приказы №17 и 21, регламентирующие требования к СЗИ для обеспечения безопасности персональных данных в среде виртуализации. Впервые в официальном документе появился перечень требований к защите виртуальной среды, но он не был достаточно детализирован.

Это привело к практике использования устаревших СЗИ, разработанных для физической среды в виртуальной, что было на руку производителям, но понизило уровень защиты ИС клиентов, потерявших из-за использования старых технологий деньги, информацию и клиентов. Производители платформ виртуализации тоже не успевали за развитием технических средств и компетенций злоумышленников, предлагая переходные архитектуры своих решений, не соответствовавших требованиям для виртуализированных ЦОД. Одной из ключевых характеристик современных СЗИ является безагентная архитектура.

Но в самой популярной три года назад платформе виртуализации VMware vSphere 5, анонсировавшей «безагентный» антивирус, на самом деле использовался агент vShield, который устанавливался в ВМ. Первым гипервизором, предложившим SDN архитектуру виртуального коммутатора, стал появившийся в Windows Server 2012R2 Extensible Switch Hyper-V, позволивший сторонним разработчикам: Cisco, NEC, Inmon и 5nine предложить расширения безопасности собственной разработки и впервые реализовать безагентный антивирус в виртуальной среде. Расширяемость коммутатора позволила приложениям безопасности работать непосредственно на уровне виртуальных сетей.

Примерами таких расширений являются межсетевые экраны с SPI (Stateful Packet Inspection) и DPI (Deep Packet Inspection), антивирусные сканеры, системы обнаружения и предотвращения вторжений (IDS/IPS), защищающие от атак на уровне приложений (DDoS, spoofing и т.п.), средства управления полосой пропускания, обеспечивающие QoS в виртуальной среде.  Создавая специализированные драйверы для фильтрации и изменения TCP/IP-пакетов, контроля и авторизации соединений, фильтрации протоколов, продукты партнеров   проверяют, фильтруют или отклоняют вредоносные или подозрительные пакеты, используя сигнатурные или эвристические методы анализа.

В отличие от СЗИ предыдущего поколения, которые обеспечивали безопасность только ВМ или хоста, современные технические средства позволяют контролировать и защищать всю среду виртуализации: parent partition хоста, vNIC, сетевой трафик, диски и память ВМ, не оставляя уязвимостей или неконтролируемых областей.

В чем же проблема использования устаревших агентных СЗИ?

1. Многие вирусы стараются блокировать работу агента в ВМ. Халатный работник или злоумышленник могут удалить агент или отключить его. Множество последних инцидентов начинались с проникновения и отключения СЗИ на рабочем месте, а потом злоумышленник получал доступ к управлению всей сетью предприятия или банка.

2. Базы сигнатур, их регулярные обновления и сам антивирусный агент потребляют большой объем ресурсов ВМ, загружая сеть, приводя к понижению производительности хоста или количества ВМ, что уменьшает экономический эффект от виртуализации ресурсов.

3. При инфицировании одной или нескольких ВМ на хосте или одновременном сканировании повышается количество обращений к дискам, что приводит к антивирусному шторму и резкому снижению производительности хоста.

4. Атаки на уровне виртуальной сети или с одной ВМ на другую не определяются аппаратными СОВ   контролирующих физическую среду и атаки in/out. Этим активно пользуются злоумышленники, которые при помощи средств социальной инженерии или ненадежности персонала получают доступ к одной ВМ и, затем, развивают атаку на всю внутреннюю сеть, обойдя мощные и дорогие пограничные межсетевые экраны и COB.

Современные безагентные СЗИ, такие как 5nine Cloud Security для Hyper-V, в базовом режиме не устанавливают агенты в ВМ, сканируя VHD/VHDX ВМ при помощи собственного сервиса управления на хосте. Продукт использует современную технологию инкрементального сканирования при помощи драйвера CBT (Changed Block Tracking), обрабатывая только измененные блоки данных файлов на диске ВМ. В результате повторные сканирования занимают всего от 40 секунд до 3 минут, вместо обычного многочасового процесса, сохраняя ресурсы процессора и памяти.

Сканирование безагентного антивируса производится до 70 раз быстрее, чем у устаревших решений на базе агентов в ВМ. Также на наличие вирусов сканируется трафик HTTP виртуальной сети, что вообще недоступно технологиям предыдущего поколения.

Итак, используя современные безагентные технологии защиты виртуальной среды компании и организации могут:

1. Защититься от новых угроз в виртуальной среде и получить надежную комплексную многоуровневую защиту без «пробелов».

2. Уменьшить влияние своего персонала на безопасность.

3. Понизить трудоемкость обеспечения безопасности: нет необходимости проверять и обновлять сигнатуры на каждой ВМ. Эти процедуры автоматически выполняются на хосте.

4. Избежать конфликта ресурсов, таких как антивирусные штормы.

Инкрементальное сканирование повышает производительность виртуальной инфраструктуры. На хосте можно запустить больше ВМ, повысить плотность виртуализации и экономический эффект от ее внедрения.

Понимание серьезных угроз, связанных с использованием устаревших технологий появилось и в банковской отрасли, одной из самых критичных к угрозам и потерям. Наблюдая за последние годы череду инцидентов, которые приводят к потерям миллиардов рублей и доверия клиентов, ЦБ РФ проанализировал их причины и выпустил в 2015 году рекомендации по «Обеспечению информационной безопасности при использовании технологии виртуализации».

В этом документе даются подробные и точные указания, как сделать свой бизнес безопасным и защититься от современных угроз. В главе 9 «Рекомендации по обеспечению ИБ виртуальных машин» прямо указано: «Рекомендуемым решением является использование средств защиты от воздействия вредоносного кода на уровне гипервизора без установки агентского ПО на виртуальные машины.»

Какие же варианты реализации этого требования существуют на рынке сейчас?  Один из лидеров рынка – компания VMware приобрела стартап Nicira, разработчика комплексного решения Software-defined networking (SDN).

Доработав и интегрировав их решение, VMware выпустила свою платформу NSX, которая является основой архитектуры Software Defined Data Center (SDDC). Помимо расширенных функций сетевого управления, платформа NSX используется для построения защищенной инфраструктуры, базирующейся на межсетевом экране с SPI (Stateful Packet Inspection) и высокой детализации контроля по MAC, IP, портам группам active directory и т.д. NSX использует решения партнеров для реализации расширенных сценариев защиты инфраструктуры: Palo Alto Networks, Checkpoint, Fortinet и McAffee.

В составе сервисов безопасности, предлагаемых партнерами VMware, появился безагентный антивирус, межсетевой экран уровня приложений L7, IPS и мониторинг трафика. Недостатком решения является его цена, которую производитель анонсировал на уровне 6000 долларов за 1 процессор.

Что еще из новых технологий безопасности ожидает нас в этом году? На вторую половину года намечен релиз коммерческой версии Windows Server 2016. Наряду с обновлениями проверенных безагентных расширений виртуального коммутатора Hyper-V, нас ждет новый SDN свитч – конкурент NSX, который помимо традиционных задач управления сетевым трафиком и его безопасностью, обеспечит возможность построения гибридного облака и прозрачного перемещения рабочих нагрузок в Microsoft Azure и обратно.

Основные возможности Microsoft Network Controller аналогичны NSX:

1. Наличие RESTful API для управления SDN Host Agent, запущенными на каждом хосте Hyper-V. SDN Host Agent управляет каждым Hyper-V Virtual switch.

2. Поддержка VxLAN или NVGRE для создания логических сетей L2 в рамках уже существующих сетей L3.

3. Наличие балансировщика нагрузки (Software Load Balancer), транслирующего внешние IP адреса в виртуальные с использованием BGP.

Новые технологии позволили создать многоуровневый управляемый межсетевой экран Datacenter Firewall. Он многопользовательский, сетевого уровня, с фильтрацией по протоколу, типам порта и IP-адреса, Stateful Packet Inspection и защищает виртуальные сети клиента от нежелательного трафика из интернет и интранет сетей. На уровне хоста безагентной защитой ВМ обеспечит антивирус и IDS от 5nine.

Кроме того, в Windows Server 2016 появилось еще ряд новшеств, повышающих безопасность клиентов в частном, публичном или гибридном облаке Microsoft.

Для защиты ВМ в Windows Server 2016 появится технология Shielded Virtual Machines, позволяющая зашифровать диски ВМ со стороны гостевого администратора, надежно закрыв его содержимое от администратора хоста при помощи клиентского Bitlocker. 

Появились принципиально новые инструменты безопасности, использующие возможности большого Azure. Первая – это Microsoft Advanced Threat Analytics (ATA). Это платформа, разворачиваемая в частном облаке, использующая трафик Active Directory и данные SIEM для обнаружения и предупреждения о потенциальных атаках с помощью продвинутых технологий, использующих machine learning. АТА выявляет отклонения в поведении, вредоносные атаки и «узкие места» в безопасности.

Вторая платформа – это  Microsoft Operations Management Suite (OMS) Он обрабатывает журналы безопасности и событий МСЭ в частном или публичном облаке для анализа и выявления нестандартного поведения. Получив данные анализа, сотрудник информационной безопасности может решить, требуется ли дальнейшее расследование, затем использовать возможности подробного поиска, чтобы отслеживать и исследовать инциденты.

Это хорошо масштабируемый облачный сервис, который в состоянии обрабатывать несколько терабайт данных каждый день. Вы можете использовать возможности Microsoft Azure, чтобы соотнести данные, полученные в вашей сети с базами IP адресов, полученных от специализированных фирм, правительственных агентств и других источников.

Все эти современные технологии помогут вам создать многоуровневую защиту, объединяющую вычислительные мощности, использующие как облачные ресурсы, так и собственные ЦОД. Вы можете отказаться от огромных разовых затрат на малоэффективные СЗИ предыдущих поколений, неэффективных в виртуальной среде, комбинировать покупку современного безагентного ПО с оплатой сервисов по требованию, в т.ч. по модели SECaaS. 

Это позволит вам существенно повысить защиту критичной для бизнеса информации, выполнить требования регуляторов и не допустить перерасхода бюджета. Помните, что при покупке антивируса, межсетевого экрана или IDS для виртуальной среды вам нужно проверить - безагентные ли они?  

Реклама







Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

27/03/2019:   Оптимизация ИТ-инфраструктуры 2019
28/03/2019:  Эффективный ЦОД 2019
24/04/2019:  VMware vForum Online 2019

Быстрый переход:
VMware StarWind IT-Grad Veeam PowerCLI Offtopic Gartner Citrix VSAN 5nine Hardware VeeamON Nutanix vSphere RVTools Enterprise Security Code Cisco vGate Microsoft Cloud SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Teradici Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vCloud Horizon Labs NSX vRNI vSAN HA Update Manager VCP Backup Tools VVols Workstation Workspace ONE Update UEM App Volumes DR Networking Cache Storage DRS VMworld Workspace vROPs DRS Fusion Lifecycle Visio SRM Log Insight Operations Manager SDDC Virtual Appliance OpenStack Forum PowerShell LSFS Client vCSA Datacenter Intel Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Performance Nested AWS XenDesktop VSA vNetwork SSO Host Client VMDK VTL iSCSI Whitepaper Appliance VUM V2V Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers Converter XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP Video SC VMM Certification VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Monitoring VPLEX UCS SDK Poster VSPP Receiver vMotion VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Helpdesk Troubleshooting VIC Upgrade VDS Bug Migration Director Stencils Memory API Android Graphics Diagram Air CLI Plugin DPM SIOC Flex Mac Open Source SSH VAAI Chargeback Heartbeat MSCS Ports SVMotion Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Сравнение Oracle VirtualBox и VMware Workstation.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Работа с дисками виртуальных машин VMware.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2019, Александр Самойленко. Правила перепечатки материалов.