ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Защита в виртуальной среде: чеклист угроз. Часть 1

Защита в виртуальной среде

Защита данных в виртуальной среде – это "дивный новый мир", означающий серьёзное изменение мировоззрения в отношении понимания угроз.

Я работаю с защитой персональных данных, у меня и коллег собралась огромная таблица возможных угроз безопасности, по которой можно проверять, что не так на конкретных объектах.

Ликбез

Стандартные понятия ИТ (сервер, кабель, сетевой коммутатор и так далее) из области физических объектов переходят в виртуальные. В среде виртуализации они начинают представлять собой элементы настройки программного кода виртуальной среды (гипервизора).

Меняется и сама форма угроз. С одной стороны в виртуальной среде исчезают угрозы "реального" мира (например, разрыв кабеля, выход из строя платы конкретного сервера и так далее), но возникают другие (например, некорректная программная настройка логических связей между объектами виртуальной среды, возможность кражи/уничтожения виртуальной среды целиком благодаря тому, что виртуальные машины представляются собой файлы, которые можно скопировать на съемный носитель или удалить).

Кроме того, существует вопрос как "натягивать" требования регулирующих органов (ФСТЭК) на виртуальную среду, поскольку существующие требования описывают требования к защите, предполагающей, что кабели, серверы и сетевое оборудование – это физические объекты.

Структурируем угрозы безопасности в виртуальной среде в соответствии с ее архитектурными уровнями:

    Аппаратная платформа, на которой разворачивается виртуальная среда.

    Системное ПО виртуализации (гипервизор), выполняющее функции управления аппаратными ресурсами и ресурсами виртуальных машин.

    Система управления виртуальной средой (серверные и клиентские программные компоненты, позволяющие локально или удаленно управлять настройками гипервизора и виртуальных машин).

    Виртуальные машины, включающие в свой состав системное и прикладное программное обеспечение.

    Сеть хранения данных (включающая коммутационное оборудование и систему хранения) с размещаемыми образами виртуальных машин и данными (сеть хранения данных может быть реализована на основе SAN, NAS, iSCSI).

При анализе угроз важно учитывать специфику обработки персональных данных в виртуальной среде:

    Они обрабатываются в рамках виртуальных машин. В рамках одного сервера может существовать множество виртуальных серверов, на каждом из которых могут обрабатываться персональные данные различных категорий, а сами серверы могут входить в разные информационные системы персональных данных. При этом "образ" сервера может находиться в отдельно стоящем хранилище данных.

    Передаются между виртуальными машинами внутри виртуальной среды. Поскольку виртуальная машина – это файл, хранящийся в хранилище данных, то передача персональных между виртуальными машинами предполагает, что ПДн выходят из одной области хранилища данных, проходят сетевые коммутаторы, попадают на сервер с развернутой виртуальной средой, а затем в обратном порядке возвращается в хранилище, но уже для другой виртуальной машины.

    Передаются между виртуальной средой и внешними средами (как реальной, так и виртуальной). Особенность в том, что из сетевого интерфейса одного физического сервера могут "выходить" данные, относящиеся к различным виртуальным серверам или информационным системам и, соответственно, возникает вопрос интеграции механизмов защиты виртуальной среды и внешних физических компонент.

Рассмотрим угрозы каждого из уровней, вызванные преднамеренными или непреднамеренными действиями потенциальных нарушителей.

Угрозы аппаратной платформе (обычные серверные платформы, blade-корзины)

Нарушение работы аппаратных компонент серверного оборудования с установленными компонентами виртуальной среды

Потенциальный нарушитель:

  1. Сотрудник, не имеющий права доступа в помещения с размещенными компонентами виртуальной среды.

  2. Посетитель.

  3. Администратор.

Что происходит:

  1. Нанесение физических повреждений аппаратным компонентам виртуальной среды.

  2. Несанкционированное извлечение или замена компонент оборудования.

  3. Несанкционированное нарушение работы аппаратных компонент или смежных обеспечивающих систем (отключение питания, систем кондиционирования и пр.).

  4. Отказы и сбои в работе смежных обеспечивающих систем (электропитание, кондиционирование и пр.).

Последствия:

  1. Нарушение доступности ПДн. Остановка виртуальных машин, запущенных на аппаратной платформе, а также нарушение работы зависящих от их работоспособности смежных ИТ-систем.

  2. Нарушение целостности ПДн.

  3. Уничтожение ПДн, размещенных на поврежденных носителях данных.

Технические меры:

  1. Использование систем контроля доступа в помещения с размещенными аппаратными компонентами виртуальной среды.

  2. Использование средств защиты от НСД к серверным стойкам (закрытие и опечатывание шкафов с серверным оборудованием).

  3. Резервирование компонент обеспечивающих систем.

Организационные меры:

  1. Регламентирование процедур доступа в помещения с размещенными аппаратными компонентами виртуальной среды.

  2. Регламентирование процедур доступа к аппаратным компонентам.

  3. Регламентирование процедур штатного обслуживания аппаратных компонент.

  4. Регламентирование процедур восстановления аппаратных компонент после отказов и сбоев.

  5. Регламентирование процедур по тщательному подбору персонала на должность администратора.

Несанкционированное извлечение из серверного оборудования и кража носителей информации

Потенциальный нарушитель:

  1. Сотрудник, не имеющий права доступа в помещения с размещенными аппаратными компонентами виртуальной среды.

  2. Посетитель.

  3. Администратор.

Что происходит: несанкционированное извлечение носителей и вынос их за пределы организации.

Последствия: утрата и/или утечка ПДн (в случае их нахождения на украденном носителе).

Технические меры:

  1. Использование систем контроля доступа в помещение с размещенными аппаратными компонентами виртуальной среды.

  2. Использование средств защиты от НСД к серверным стойкам (закрытие и опечатывание шкафов с серверным оборудованием).

  3. Использование систем резервного копирования и восстановления данных на носителях данных.

Организационные меры:

  1. Регламентирование процедур доступа в помещения с размещенными аппаратными компонентами виртуальной среды.

  2. Регламентирование процедур доступа к аппаратным компонентам.

  3. Регламентирование процедур штатного обслуживания аппаратных компонент.

  4. Регламентирование процедур восстановления аппаратных компонент после отказов и сбоев.

  5. Регламентирование процедур по резервному копированию и восстановлению данных.

  6. Регламентирование процедур по тщательному подбору персонала на должность администратора.

Нарушение сетевой коммутации

Потенциальный нарушитель:

  1. Сотрудник, не имеющий права доступа в помещения с размещенным сетевым оборудованием.

  2. Посетитель.

  3. Администратор.

Что происходит: подключение сетевых интерфейсов аппаратной платформы к недоверенным сетевым сегментам и изменение их сетевых настроек.

Последствия:

  1. Возможность проведения сетевых атак из недоверенных сетевых сегментов на виртуальные машины, развернутые на аппаратной платформе.

  2. Нарушение работы ИСПДн, развернутых в виртуальной среде.

Технические меры: безопасная настройка сетевого оборудования (привязка портов коммутаторов к MAC-адресам сетевых плат).

Организационные меры:

  1. Регламентирование процедур доступа в помещения с размещенным сетевым оборудованием.

  2. Регламентирование процедур по тщательному подбору персонала на должность администраторов.

Угрозы системному ПО виртуализации (гипервизору)

Некорректная настройка параметров гипервизора и виртуальных машин, влияющих на безопасность

Потенциальный нарушитель: администратор виртуальной среды.

Что происходит: несанкционированный доступ (удаленный доступ из реальной среды или доступ в рамках виртуальной среды) к ресурсам виртуальных машин вследствие некорректных настроек гипервизора.

Последствия: примеры возможных угроз и соответствующих им настроек безопасности для VMware vSphere 4.1 описаны в «Security Hardening Guide» communities.vmware.com/docs/DOC-15413.

Технические меры:

  1. Использование средств анализа защищенности и анализа соответствия настроек виртуальной среды "лучшим практикам" и политикам безопасности организации.

  2. Использование средств контроля целостности настроек гипервизора.

  3. Использование специализированных систем защиты от НСД в виртуальной среде для разграничения прав доступа администраторов виртуальной среды (ИТ и ИБ), регистрации действий администраторов виртуальной среды.

Организационные меры:

  1. Регламентирование работ по анализу защищенности и анализу соответствия настроек гипервизора политикам безопасности.

  2. Разделение и регламентирование прав администраторов виртуальной среды и администраторов ИБ при эксплуатации виртуальной среды.

  3. Регламентирование процедур расследования инцидентов безопасности в виртуальной среде.

Некорректная настройка параметров гипервизора и виртуальных машин, влияющих на безопасность

Потенциальный нарушитель: администратор виртуальной среды.

Что происходит: несанкционированный доступ (удаленный доступ из реальной среды или доступ в рамках виртуальной среды) к ресурсам виртуальных машин вследствие некорректных настроек гипервизора.

Последствия: примеры возможных угроз и соответствующих им настроек безопасности для VMware vSphere 4.1 описаны в Security Hardening Guide.

Технические меры:

  1. Использование средств анализа защищенности и анализа соответствия настроек виртуальной среды «лучшим практикам» и политикам безопасности организации.

  2. Использование средств контроля целостности настроек гипервизора.

  3. Использование специализированных систем защиты от НСД в виртуальной среде для разграничения прав доступа администраторов виртуальной среды (ИТ и ИБ), регистрации действий администраторов виртуальной среды.

Организационные меры:

  1. Регламентирование работ по анализу защищенности и анализу соответствия настроек гипервизора политикам безопасности.

  2. Разделение и регламентирование прав администраторов виртуальной среды и администраторов ИБ при эксплуатации виртуальной среды.

  3. Регламентирование процедур расследования инцидентов безопасности в виртуальной среде.

Ошибки в работе ПО гипервизора

Потенциальный нарушитель:

  1. Администратор виртуальной среды;

  2. Сотрудник, имеющий легитимный доступ к определенной/ым виртуальной/ым машине/ам.

Что происходит: несанкционированный доступ (в рамках виртуальной среды) к ресурсам виртуальных машин вследствие программных закладок (или ошибок) в ПО гипервизора.

Последствия: уничтожение/кража/искажение ПДн, обрабатываемых в рамках виртуальной машины, к которой произошло несанкционированное подключение.

Технические меры: подтверждение корректности работы ПО гипервизора и отсутствия в нем недекларированных возможностей в рамках его сертификации во ФСТЭК России.

Организационные меры: регламентирование процедур сопровождения ПО гипервизора в соответствии с техническими условиями, в рамках которых было сертифицировано ПО гипервизора.

Подмена исполняемых модулей ПО гипервизора

Потенциальный нарушитель: администратор виртуальной среды.

Что происходит: несанкционированный доступ (удаленный доступ из реальной среды или доступ в рамках виртуальной среды) к ресурсам виртуальных машин вследствие искажения работы ПО гипервизора.

Последствия:

  1. Несанкционированный доступ к хранимым, обрабатываемым и передаваемым между виртуальными машинами ПДн.

  2. Нарушение доступности ИСПДн, развернутых в виртуальной среде.

Технические меры:

  1. Использование средств контроля целостности ПО и настроек гипервизора (в процессе загрузки и в ходе работы).

  2. Регистрации действий администраторов виртуальной среды.

Организационные меры:

  1. Регламентирование процедур контроля целостности ПО гипервизора.

  2. Регламентирование процедур расследования инцидентов безопасности в виртуальной среде.

Несанкционированный удаленный доступ к ресурсам гипервизора вследствие сетевых атак типа "переполнение буфера" на открытые сетевые порты сервера с гипервизором в случае возникновения в его ПО уязвимостей

Потенциальный нарушитель:

  1. Сотрудник, имеющий сетевой доступ к сетевому сегменту, к которому подключен сервер с установленным гипервизором.

  2. Нарушитель, действующий из-за пределов сети организации, удаленно проникший в сетевой сегмент, к которому подключен сервер с установленным гипервизором.

Что происходит: выполнение атак типа "переполнение буфера".

Последствия: получение контроля над сервером с установленным гипервизором с полномочиями взломанной службы.

Технические меры:

  1. Своевременная установка обновлений безопасности ПО гипервизора.

  2. Разделение продуктивной сети от сети управления и служебной сети.

  3. Использование межсетевых экранов и систем предотвращения вторжений для фильтрации сетевого трафика и блокирования сетевых атак.

Организационные меры:

  1. Регламентирование процедуры обновленияПО гипервизора.

  2. Регламентирование процедур эксплуатации межсетевых экранов и систем предотвращения вторжений.

Истощение вычислительных ресурсов сервера с гипервизором вследствие атак типа "отказ в обслуживании" в отношении виртуальных машин

Потенциальный нарушитель: сотрудник, имеющий доступ к сетевому сегменту, к которому подключен сервер с установленным гипервизором.

Что происходит: выполнение атак типа "отказ в обслуживании".

Последствия: замедление работы или прекращение работы сервера с гипервизором вследствие истощения вычислительных ресурсов.

Технические меры:

  1. Задание параметров гипервизора по ограничению и гарантированию ресурсов для виртуальных машин.

  2. Мониторинг загрузки мощностей сервера с гипервизором.

Организационные меры:

  1. Регламентирование процедур по созданию, настройке и сопровождению виртуальных машин.

  2. Регламентирование процедур мониторинга сервера с гипервизором.

Случайное или умышленное искажение/уничтожение образов виртуальных машин

Потенциальный нарушитель: администратор виртуальной среды.

Что происходит: стирание образов, искажение образов штатными средствами виртуальной среды.

Последствия:

  1. Нарушение работы виртуальной машины и, как следствие, нарушение доступности обрабатываемых на ней ПДн.

  2. Разрушение/искажение ПДн, обрабатываемых в рамках скомпрометированной виртуальной машины.

Технические меры: использование средств резервного копирования и восстановления образов виртуальных машин.

Организационные меры: регламентирование процедуры резервного копирования и восстановления образов виртуальных машин.


Хабрахабр (02.04.2012 в 12:52) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2012 ООО "Ди Эй Кей продакшн"