Защита ЦОД: время взять штурвал в свои руки

Введение

Управление центром обработки данных требует решения целого комплекса сложных задач, и безопасность – лишь одна из них. При этом безопасная работа виртуализированных сред и систем хранения данных критически важна для современных ЦОД. Обеспечить надежную защиту этих двух аспектов функционирования дата-центра – изначально непростая цель, однако если эти трудности не будут полностью преодолены, последствия и для ваших клиентов, и для центра обработки данных будут малоприятными. К сожалению, некоторые проблемы на первый взгляд незаметны; случается, что их игнорируют, пока не станет поздно их решать. Ниже мы подробно рассмотрим такие проблемы, а также пути их предотвращения.

Защита виртуализации: ошибки и их последствия

Виртуализация различных элементов корпоративной IT-инфраструктуры – набирающая обороты тенденция, ведь это позволяет оптимизировать использование ресурсов, добиться большей гибкости и лучшей масштабируемости. Многие сценарии развития виртуализированной инфраструктуры включают в себя передачу части ее в управление центру обработки данных. Однако при всем многообразии выполняемых дата-центрами задач обеспечению безопасности цифровых активов слишком часто не находится места. Этому может быть несколько причин. Случается, что клиенту более комфортно обеспечивать безопасность так, как это у него традиционно принято. Иногда клиент не готов отдать управление безопасностью на откуп провайдеру. Бывает, что сами провайдеры предпочитают не брать на себя ответственность за безопасность размещаемых в ЦОД активов.

Центр обработки обеспечивает своим клиентам широкий набор ресурсов – и все они нуждаются в защите

Последствия подобных подходов могут быть плачевными. Если делать все, «как мы привыкли», результатом может стать безумный зоопарк установленных клиентами защитных решений, не предназначенных для систем виртуализации и работающих на одном физическом сервере. Еще худшим вариантом может быть полное отсутствие защиты.  Последнее может оправдываться поразительно живучими мифами о «заведомой безопасности виртуальных машин» и о том, что «на виртуальных машинах вредоносные программы не запускаются». В действительности, конечно же, все совершенно иначе: виртуальные машины подвержены большинству видов атак, применяемых против физических компьютеров. Кроме того, у них есть и собственные уязвимости, которые злоумышленники тоже могут эксплуатировать. Инфраструктура VDI (Virtual Desktop Infrastructure – инфраструктура виртуальных рабочих столов), которая, как правило, используется точно так же, как ее физические аналоги (включая доступ к веб-ресурсам со всеми его опасностями) особенно подвержена заражению.

Наличие незащищенных уязвимостей может моментально привести к эпидемии вредоносного ПО, затрагивающей не только подвергшегося первоначальной атаке клиента, но и других клиентов, чьи цифровые активы размещены на том же физическом сервере. Внезапный рост потребления ресурсов, вызванный эпидемией, может вызвать задержки в работе сервера или даже обрушить его. Это особенно досадно для клиентов, чьи активы не подверглись заражению. Более того, одна отдельная виртуализированная инфраструктура в ЦОД может быть выбрана злоумышленниками в качестве трамплина для дальнейших атак. В результате в черные списки могут попасть целые диапазоны IP-адресов, что привлечет внимание властей и сделает невозможным гладкое функционирование центра обработки данных.

Установка на виртуализированных рабочих местах защитных решений, предназначенных для физических компьютеров, чревата специфическими проблемами. В частности, следующими:

• Избыточное потребление ресурсов, поскольку на каждой защищаемой машине работает один и тот же полный набор компонентов: сканирующее ядро, локальная база сигнатур, хостовая система защиты от вторжений (HIPS) и т.д. Помимо этого, если будет использована облачная база угроз, защитному решению на каждой виртуальной машине потребуется его собственная часть полосы пропускания интернет-канала для связи с этой базой.
• Непредсказуемые скачки в потреблении ресурсов, известные как «шквальное обновление» или «шквальное сканирование». Их вызывает одновременное выполнение аналогичных задач, таких как обновление баз или проверка файловой системы, на нескольких виртуальных машинах. Это может привести к серьезным задержкам в работе физического сервера или даже к отказу в обслуживании.
• Панические атаки: эпидемии вредоносного ПО часто вызывают переход в «параноидальный» режим, в рамках которого выполняются проверки вне расписания, увеличивается глубина проверки и т.д. Вызванное этим падение производительности может повлиять на работу всех виртуальных машин на данном сервере.
• «Окна уязвимости» при старте системы: некоторые виртуальные машины остаются в неактивном состоянии, пока они не понадобятся. В этом состоянии их невозможно обновлять (т.е. устанавливать исправления уязвимостей и обновления защитного ПО). В результате сразу же после загрузки такая машина остается уязвимой, пока не будет полностью обновлена, – более чем достаточно времени для заражения.
• Несовместимость. В то время как во многих аспектах своей работы виртуальные машины похожи на свои физические аналоги, есть и существенные различия. Предназначенные для физических компьютеров защитные решения не рассчитаны, например, на работу с динамическими виртуальными хранилищами или миграцию виртуальных машин «на лету». Это может привести к небольшим или даже серьезным сбоям в работе.

Важно, чтобы сервис-провайдер понимал, что в случае описанных выше проблем ответственность в конечном счете ляжет на него, – тот факт, что вы не можете контролировать размещенные на ваших серверах виртуальные машины, не может служить оправданием. Тем более, что в действительности ЕСТЬ способы эффективно контролировать защиту в виртуализированной среде.

Использование решений, не учитывающих особенности виртуальных сред, может создать много проблем – начиная с избыточного потребления ресурсов

Главный из этих способов — использование специализированных защитных решений, предназначенных для систем виртуализации.

Используйте защитный продукт, который отвечает вашим требованиям

Продукт «Kaspersky Security для виртуальных сред» был разработан с полным пониманием специфики виртуальной инфраструктуры; он создан нами так, что естественно встраивается в такие среды, не создавая ghj,k, к которым приводят недостаточные, неэффективные и неподходящие решения.

Во-первых, устранено избыточное использование ресурсов, связанное с присутствием одних и тех же компонентов на каждой виртуальной машине. На специальной виртуальной машине, которая называется Security Virtual Appliance (SVA), размещается сканирующее ядро и база данных угроз – они централизованно защищают все ВМ, работающие под управлением одного гипервизора. SVA постоянно обновляется и использует интеллектуальные методы планирования сканирования, чтобы избежать шквального выполнения задач.

Конечно, SVA должна иметь связь с каждой защищаемой ВМ. Kaspersky Security для виртуальных сред использует два способа решения этой задачи.

Безагентское решение

Этот способ работает только в виртуальных средах на базе VMware. Как понятно из названия, он не требует установки программного агента на ВМ – вместо этого используется нативная технология vShield. При безагентской схеме, каждая ВМ получает защиту автоматически с момента запуска, а дополнительная SVA обеспечивает сетевую функцию Система предотвращения вторжений (Intrusion Prevention System, IPS).

Безагентское решение – это идеальный вариант для защиты клиентов, которые не хотели бы устанавливать стороннее ПО или желают видеть на своих виртуальных машинах только строго установленный набор программ. В ситуациях, когда клиенты не хотят сами использовать какое бы то ни было защитное решение, этот вариант, вероятно, единственный способ избежать бреши в защите.

Безагентское решение обеспечивает мгновенную защиту без необходимости что-то устанавливать внутрь клиентских ВМ

При этом, есть некоторые факторы, которые необходимо учитывать. Безагентская технология не позволяет защитному решению отслеживать процессы, запущенные в памяти ВМ: технология vShield предоставляет только доступ к файловой системе компьютеров, не давая возможности для защиты от продвинутых вредоносных программ (например, бестелесных зловредов). Кроме того, невозможно внедрить дополнительные слои проактивной защиты, такие как контроль приложений, контроль устройств или веб-контроль. Поэтому для некоторых сценариев, например для набирающей популярность инфраструктуры виртуальных рабочих столов (VDI), которая начинает вытеснять физические рабочие станции, существует другой вариант, предлагаемый Kaspersky Security для виртуальных сред: защита с использованием «легких агентов».

Легкий агент

В отличие от безагентского решения, этот вариант не зависит от связанного с платформой промежуточного уровня, и может работать с большим количеством гипервизоров, в результате чего в список поддерживаемых платформ включаются Microsoft Hyper-V и Citrix. Это возможно благодаря использованию легкого программного агента, размещенного на защищаемой ВМ. Присутствие этих агентов не только позволяет антивирусному ядру SVA обеспечивать защиту всех машин, но и использует гораздо более широкий спектр защитных технологий, что повышает степень защиты до уровня полноценного защитного endpoint-решения, такого как Kaspersky Endpoint Security для бизнеса.

Kaspersky Security for Virtualization | «Легкий агент» предоставляет, кроме прочих, следующие функции:

• контроль над процессами в памяти ВМ с использованием продвинутых поведенческих механизмов;
• предупреждение проникновения эксплойтов с помощью технологии «Автоматическая защита от эксплойтов» (Automatic Exploit Prevention);
• Веб-антивирус с функцией антифишинга, имеющей облачную поддержку;
• Полный комплект технологий контроля, позволяющих в явном виде определять список приложений, веб-ресурсов и даже внешних устройств, разрешенных на конкретных ВМ.

При всех своих широких возможностях, агент остается очень легким: SVA по-прежнему управляет обновлениями и проверками, устраняет избыточность процессов и сокращает до безопасного минимума активность агента на ВМ.

Решение с «легкими агентами» обеспечивает продвинутую защиту с помощью установленных на ВМ небольших приложений (агентов). Предустановленные агенты могут быть включены в образ ВМ

При сценариях c более высоким риском и потенциально более широкой поверхностью атаки (например, в случае виртуализированных рабочих станций с полным интернет-доступом) такая многослойная защита обязательна – и не только из-за большей вероятности атаки. Поскольку виртуализированные сети обеспечивают гораздо более эффективную передачу данных, заражение может распространяться молниеносно, так что злоумышленники могут стремительно распространить свой контроль на всю плохо защищенную инфраструктуру. С другой стороны, хорошо защищенная виртуальная инфраструктура представляет собой менее привлекательную цель даже для специализирующихся на целевых атаках киберпреступников, занятых поиском легких жертв.

Защита хранилищ данных – не только виртуальных

При планировании центров обработки данных не следует забывать о безопасности хранилищ данных. Огромные объемы данных находятся в хранении, обновляются, используются коллективно; и если всего лишь один пользователь окажется невнимательным или, хуже того, будет иметь злой умысел, то это хранилище может за секунду стать источником опасности для сотен пользователей. Кроме того, стоит помнить, что пользователи могут находиться за пределами защищенного периметра – ЦОД не имеет никакой информации об отношении таких пользователей к вопросам безопасности и тем более никак не может повлиять на него. Следовательно, нужно принимать особые меры к тому, чтобы обеспечить безопасность различных видов хранилищ данных, особенно если не все они виртуализированы и защищены специальным защитным решением для виртуальных сред.

Различные типы хранилищ одинаково нуждаются в защите

Сети хранения данных (Storage Area Networks) доступны только через серверы, так что их защищать достаточно просто.  Сетевые хранилища (Network—Attached Storages) защищать сложнее – к ним напрямую обращаются пользователи сети.

Защищать NAS сложнее, чем SAN

К счастью, существуют специализированные защитные решения, которые могут обеспечить защиту в обоих случаях; хорошим примером такого решения является Kaspersky Security для систем хранения данных. Безопасность ресурсов SAN обеспечивается аналогично локальным файловым системам. В случае же с NAS, любой объект, отправляемый пользователем в хранилище или запрашиваемый с него сперва проверяется решением «Лаборатории Касперского». В зависимости от выданного решением вердикта, хранилище разрешает или запрещает выполнение запрашиваемого действия. При работе с интенсивными потоками данных можно разместить несколько экземпляров решения – нагрузка на них будет регулироваться самим хранилищем.

Единая консоль управления

Учитывая, что число кибератак растет день от ото дня, а сами они становятся все сложнее, тому, кто руководит безопасностью ЦОД, важно иметь полное представление о всей инфраструктуре, оперативно отслеживать угрозы и обеспечивать эффективное противодействие. И здесь решения «Лаборатории Касперского» предоставляют еще одно преимущество: все элементы инфраструктуры наблюдаются и управляются из единой прозрачной консоли – Kaspersky Security Center. Опциональная модель ролевого разграничения доступа позволяет предлагать вашим клиентам возможность при необходимости самим управлять своим статусом безопасности, не подвергая угрозе безопасность всего ЦОД.

Заключение

Вне зависимости от того, работаете ли вы с виртуализированными или физическими объектами инфраструктуры, решения «Лаборатории Касперского» для Центров обработки данных (часть нашей платформы Enterprise Security) предлагает удобный вариант для преобразования IT-безопасности в привлекательный – и прибыльный – элемент вашего портфеля сервисов ЦОД. В любом случае одно остается неизменным: чтобы успешно совладать со всеми будущими штормами, нужно взять в свои руки штурвал управления безопасностью вашего центра обработки данных.