В останні роки компанія 5nine Software брала участь у багатьох проектах, в яких клієнти будували свою інфраструктуру на платформі Windows Server Hyper-V, починаючи від версії 2008 R2 і закінчуючи релізом нового гіпервізора у складі Windows Server 2016. Це були, як правило, проекти великих компаній із підвищеними вимогами до безпеки. Не секрет, що останнім часом інциденти ІБ у великих компаніях та державних організаціях стали регулярними. В умовах, коли користувачі втрачають конфіденційну інформацію та великі засоби, підвищені вимоги до безпеки виглядають розумними. Чому ж почастішали інциденти ІБ і як можна підвищити безпеку своєї інфраструктури з новою серверною ОС Microsoft?

Віртуалізація вже давно стала традиційною частиною інфраструктурних рішень. Безумовно, можливості гіпервізорів суттєво розширилися, трансформуючись у приватні та гібридні хмари, внаслідок чого інфраструктура клієнтів стала більш гнучкою та динамічною, що відповідає сучасним умовам ведення бізнесу – потрібно швидко створювати та обслуговувати нові сервіси та віртуальні машини у їх складі, підтримувати кілька кластерів чи ЦОДів з міграцією та балансуванням ВМ між ними . Проте клієнти часто використовують у віртуальному середовищі застарілі технології end-point security з установкою агентів у ВМ та методи ізоляції за допомогою VLAN. Ці технології додають уразливості, пов'язані з можливістю блокування або видалення агента у ВМ, споживають дефіцитні ресурси обладнання, ускладнюють адміністрування віртуалізованих ЦОД великих компаній.

Що ж пропонують для вирішення цих проблем Microsoft та його технологічні партнери? По-перше, для захисту від «ефекту Сноудена» у Windows Server 2016 з'явилася технологія Shielded VM, яка дозволяє шифрувати диск ВМ з інфраструктури гостьових операційних систем, захищаючи його від копіювання та перегляду адміністратором хоста. Істотно збільшити безпеку інфраструктури ЦОД допоможе використання Nano Server — нової версії ОС, в якій відсутня графічний інтерфейс GUI і істотно знижена площа атаки шляхом мінімізації набору ролей. Як результат — у 3 рази менше портів та у 10 разів менше критичних оновлень. Ще одна новація - захист компонентів, що відповідають за цілісність ядра ОС, паролів та інших важливих системних даних за допомогою окремого контейнера Hyper-V - Virtual Security Module (VSM). Все це суттєво збільшує захищеність нової ОС та інфраструктури користувача.

Але разом із цим у нової операційної системи відсутні деякі важливі функції безпеки і немає повної відповідності законодавства, оскільки ці вимоги є характерними для серверної ОС і мають бути реалізовані сторонніми рішеннями. Microsoft суттєво полегшив реалізацію цих функцій, давши доступ кільком технологічним партнерам до комутатора Hyper-V. Віртуальний комутатор Hyper-V, що розширюється, дозволяє ізолювати користувачів ВМ, керувати всім трафіком усередині віртуального середовища, захищати ВМ від шкідливих атак. Завдяки вбудованій підтримці драйверів фільтрів NDIS та драйверів зовнішнього виклику платформи фільтрації Windows, віртуальний комутатор Hyper-V дозволяє незалежним розробникам програмних продуктів (ISV) створювати розширення віртуального комутатора, які збільшують безпеку ВМ та мереж.

Компанія 5nine Software є одним із ключових вендорів, з яким Microsoft співпрацює з розробки засобів захисту та управління Hyper-V з 2009 року. Остання версія програми 5nine Cloud Security була представлена ​​на щорічній конференції Ignite, одночасно з Windows Server 2016.

5nine Cloud Security інтегрований у віртуальний комутатор і є єдиним безагентним рішенням для забезпечення безпеки Windows Server Hyper-V. Він контролює мережевий трафік між віртуальними машинами, ізолює окремі ВМ та групи, виявляє шкідливі атаки на рівні додатків, здійснює швидке антивірусне сканування та блокування загроз, підвищуючи безпеку віртуального середовища.

Основною відмінністю від інших СЗІ є безагентна архітектура рішення, що дозволяє не встановлювати програмне забезпечення у гостьову операційну систему, аналізуючи трафік та керуючи ним на рівні віртуального комутатора.

Встановлення Cloud Security достатньо проста і може бути без проблем виконана адміністратором Windows Server зі знаннями, еквівалентними кваліфікації MCSA, на відміну від аналогічних рішень інших вендорів, значно складніших, дорогих і потребують значно більших зусиль та кваліфікації.

Для запуску програми потрібно встановити три основні компоненти:

• Керуюча служба (Management Service) — встановлюється в гостьовому або батьківському розділі, які будуть визначені як керуючі сервери для всієї інфраструктури Hyper-V. Можливе встановлення кількох управляючих серверів, які забезпечують функцію аварійного відновлення.
• Керована служба (Host Management Service) — встановлюється на кожному сервері, що захищається.
• Консоль управління (Management Console) — встановлюється на кожному робочому місці, яке використовується для управління та контролю застосування правил системи безпеки. 

Рішення також може бути інтегровано з System Center Virtual Machine Manager шляхом встановлення безкоштовного плагіна, що дозволяє керувати інфраструктурою ЦОДу і безпекою віртуалізації з єдиної консолі.

Розширення для Azure Pack дає можливість керувати функціями Cloud Security з порталу самообслуговування, що дозволяє хостинговим компаніям розгорнути нову послугу «Безпека як сервіс» (SECaaS).

У продукті реалізовано рольову модель управління безпекою. Доступні три ролі: адміністратор інформаційної безпеки, ІТ-адміністратор та аудитор.

З власної консолі або SCVMM адміністратор може досить просто налаштувати політики безпеки віртуального міжмережевого екрану, у тому числі за допомогою шаблонів. Підтримуються віртуальні машини під керуванням як Windows, і Linux. Ізолювати можна як окремі ВМ, і їх групи завдяки підтримці мультитенантності. Доступна функція захисту батьківського розділу сервера Hyper-V, у тому числі антивірусна.

За допомогою функцій міжмережевого екрану можна реалізувати таку функціональність:

• фільтрація за MAC-адресою;
• підтримка ARP;
• фільтрація трафіку із застосуванням SPI (Stateful Packet Inspection) та DPI (Deep Packet Inspection);
• аналіз аномалій мережевого трафіку;
• управління вхідною та вихідною смугою пропускання для кожної віртуальної машини;
• фільтрація MAC-мовлення;
• журналювання відфільтрованих подій безпеки (у тому числі антивірусу та IDS) з можливістю експорту в формати SYSLOG та SIEM SPLUNK;
• підтримка технології віртуалізації мережі NVGRE;
• управління доступом до віртуальної машини за розкладом.

Антивірусний сервіс використовує на вибір один із трьох двигунів і баз сигнатур («Лабораторії Касперського», Bitdefender або Threat Track), проте механізм сканування принципово інший, ніж у самих антивірусних вендорів. Завдяки функціонуванню на рівні гіпервізора, антивірусне сканування можливе без встановлення агента в ВМ, що підвищує їхню захищеність, адже адміністратор Гостьова операційна система не може відключити антивірус. Використання технології інкрементального сканування збільшує швидкість до 70 разів, при цьому навантаження на хост падає до 30%. Ця технологія у поєднанні з налаштуванням кількості сканованих ВМ дозволяє гнучко керувати ресурсами хостів та уникнути «антивірусного шторму». Також доступні антивірусне сканування мережного трафіку та опція активного захисту віртуальної машини, коли скануються не лише диски, а й оперативна пам'ять гостьового розділу. Бази сигнатур антивірусів і IDS можуть оновлюватися централізовано для всієї інфраструктури Hyper-V через локальний проксі-сервер, дозволяючи ізолювати хости від публічних мереж з одночасним їх розміщенням усередині ЦОДу для мінімізації вразливості батьківських розділів від зовнішньої атаки.
інтерфейс антивірусного сервісу доступні налаштування режимів сканування, розклад та виняток для типів файлів і папок.

Система виявлення вторгнень (IDS) аналізує весь трафік усередині віртуального комутатора Hyper-V, використовуючи технологію Cisco Snort for Business для перевірки аномалій пакетів, які можуть бути потенційними атаками. На відміну від аналогічних рішень інших вендорів, можливе виявлення атак не лише in-out, а й усередині віртуального середовища з одного ВМ на інше. Такий сценарій атаки став все більш поширеним як у віртуалізованих ЦОДах хостинг-провайдерів, так і у великих компаніях, де одна захоплена ВМ стає центром атаки всередині контуру віртуального середовища. Для виявлення атак використовується як сигнатурний, а й евристичний метод. СОВ визначає модель вашого нормального робочого трафіку протягом дня. Потім постійно відстежує його профіль і, якщо його значення перевищують налаштування оповіщення негайно повідомляє про можливість нападу.

Для великих компаній буде цікавою можливість міграції політик безпеки в розподілених ЦОДах. Якщо у вас є кілька ЦОДів або філій, які не мають прямих каналів зв'язку, ви все одно можете синхронізувати налаштування 5nine Cloud Security між ними, підтримуючи міграцію ВМ, відмовостійкість і безпеку бізнесу у разі аварій.

Наявність всіх систем захисту (міжмережевого екрану, антивіруса, IDS, логування подій безпеки та рольової моделі доступу) дозволяє користувачам екосистеми Windows Server виконати вимоги регуляторів: 152-ФЗ «Про персональні дані», наказів № 17 та № 21 ФСТЕК, стандарту PCI-DSS та інших.

5nine Cloud Security — засіб захисту віртуального середовища Hyper-V, який легко встановлюється. легко інтегрується у засоби управління Microsoft. Налаштування займає трохи часу та інтуїтивно зрозуміле. Основна перевага – високий рівень захисту на рівні гіпервізора за низького навантаження на ресурси хостів. Тестування продуктивності системи при всіх увімкнених сервісах 5nine Cloud Security показує деградацію в межах 3-4%. Подібні продукти інших вендорів при тестуванні демонструють деградацію такого параметра, як ширина пропуску віртуальної мережі, до 50%. Крім того, при тестуванні цих продуктів з'ясовується, що, у разі падіння керуючого сервісу на базі ВМ, зникають важливі мережеві налаштування та мережа стає практично непрацездатною. При відключенні ВМ з керуючим сервісом 5nine всі налаштування зберігаються і Cloud Security продовжує безперебійний захист віртуальної інфраструктури.

Підбиваючи підсумки, можна відзначити, що Windows Server 2016 з урахуванням рішень партнерів став ще безпечнішим і дозволяє захистити інфраструктуру клієнта від нових загроз та виконати жорсткі вимоги законодавства РФ та міжнародних стандартів ІБ.

Крім того, в рамках тренду на імпортозаміщення слід зазначити, що розробка та підтримка продуктів 5nine здійснюються виключно в Росії з глобальним постачанням та тиражуванням рішень вже більш ніж для 100 тисяч клієнтів по всьому світу.

Інші новини