УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Защита виртуальных сред в фко. Н.Домуховский
1. Защита виртуальных сред в
финансово-кредитных
организациях
Главный инженер департамента системной интеграции ООО «УЦСБ»
Николай Домуховский
www.USSC.ru 1
2. Виртуализация. Хроника революции
Год Оценка технологии (Gartner) Доля ВМ
2009 Виртуализация меняет подходы организации к управлению 11.5% (IDC)
вычислительными мощностями. Пользователи и операторы 19% (VMware)
ИТ услуг смотрят на виртуализацию как на технический
прорыв, что порождает завышенные ожидания от технологии.
2010 Хотя виртуализацию x86-х серверов можно назвать зрелой 30% (Gartner)
технологией, виртуализация как общий тренд ИТ пока, в 31% (VMware)
лучшем случае, в зачаточном состоянии, она по-прежнему
рассматривается как технический прорыв и порождает
повышенные ожидания.
2011 Несмотря на то, что виртуализация серверов – зрелая 38.9% (V-
технология, виртуализация как общий тренд ИТ еще слишком Index)
юная, что порождает различный уровень ожиданий. 44% (VMware)
2012 Виртуализация серверов – зрелая технология. Но в целом в ИТ 59% (VMware)
виртуализация еще юная, что приводит к несколько
завышенным ожиданиям
31.03.2013 www.USSC.ru 2
4. Что препятствует?
Интеграция
Риски утечки
Цена с унаследованными
данных
системами
Проблемы
Потеря управляемости
Потеря интеграции
мощностями и
контроля облачных
затратами
платформ
Вопросы ИБ Риск кражи Требования
(в целом) интеллектуальной регуляторов
собственности
Источник: KPMG International’s Global cloud survey:
the implementation challenge
Отсутствие прозрачности и
контроля над операциями с данными
31.03.2013 www.USSC.ru 4
5. Существующие рекомендации по защите платформ
виртуализации
• NIST SP 800-125 «Guide to security for Full
Virtualization Technologies» - январь 2011
• PCI Data Security Standard «Information Supplement
PCI DSS Virtualization Guidelines» - июнь 2011
• ФСТЭК: Требования о защите информации, не
составляющей государственную тайну,
содержащейся в государственных информационных
системах (проект) – октябрь 2012
• ЦБ: О вопросах обеспечения защиты информации
при использовании технологии виртуализации
(доклад) - февраль 2013
31.03.2013 www.USSC.ru 5
6. Виртуализация. Новые решения – новые проблемы
Администратор
СХД
Хранилище данных
Гипервизор
Разделение
полномочий
Администратор/ Администратор/
Администратор ИБ Администратор ИБ
виртуальных серверных
машин компонент средств
Новые каналы утечки виртуализации
информации Неактивные
виртуальные машиныГипервизор – новый
критичный объект
защиты
Изоляция гостевых ОС
31.03.2013
Сетевой 6
администратор
www.USSC.ru
7. Рекомендации по защите сред виртуализации (1)
Группа требований Требования
Разделение • Решение о физическом разделении
информационных потоков • Контроль изоляции средствами гипервизора
виртуальных машин • Контроль информационного обмена между ВМ
Обеспечение ИБ на этапах • Ролевой состав образов
жизненного цикла образов • Дифференциация образом по типам АС
ВМ • Контроль целостности образа
• Контроль состава и конфигурации ПО
• Регламент обновления ПО
• Контроль внесения изменений в образ
пользователем
• Контроль копирования образов и ВМ
• Учет образов и ВМ, а также определение
порядка вывода из эксплуатации
31.03.2013 www.USSC.ru 7
8. Рекомендации по защите сред виртуализации (2)
Группа требований Требования
Обеспечение ИБ при • Физическая защита АРМ и консолей
доступе к серверным управления
компонентам средств • Защищенный доступ к серверным
виртуализации компонентам
• Регистрация и учет действий администраторов
• Контроль целостности ПО серверных
компонент
Обеспечение ИБ ВМ • Регламентация и контроль жизненного цикла
ВМ
• Реализация «традиционных» механизмов ИБ
• Единый уровень ИБ для всех ВМ на одном
физическом сервере
31.03.2013 www.USSC.ru 8
9. Рекомендации по защите сред виртуализации (3)
Группа требований Требования
Мониторинг событий ИБ • Регламентация мониторинга
• Реализация с помощью встроенных средств
серверных компонент средств виртуализации,
ОС и СрЗИ
Обеспечение ИБ при • Логическая сегментация СХД
доступе к СХД • Контроль доступа к логическим сегментам СХД
• Физическая защита АРМ и консолей
управления СХД
• Защищенный доступ к интерфейсам СХД
31.03.2013 www.USSC.ru 9
10. Схема защищенной виртуальной среды
Хранилище данных
Сегмент управления
Гипервизор Гипервизор
Средство сбора
событий ИБ
Сегмент критичных Сегмент
банковских процессов стандартной АС
31.03.2013 www.USSC.ru 10
АРМ администратора
11. SafeNet Protect-V
Хранилище данных
Защищенный виртуальный
жесткий диск
Гипервизор Protect-V Manager
Виртуальная машина
с ПО Protect-V Client Администратор ВМ
Система управления ключами
KeySecure/DataSecure
31.03.2013 www.USSC.ru 11
12. Выводы
• Тенденции говорят о достижении 75% доли
виртуальных машин к 2015 году
• Несмотря на новизну технологии, вопросы ИБ
изучены достаточно хорошо
• Рынок СрЗИ готов обеспечить необходимыми
средствами системы защиты сред виртуализации
31.03.2013 www.USSC.ru 12
13. Защита виртуальных сред в
финансово-кредитных организациях
Спасибо за внимание!
Николай Домуховский
Главный инженер департамента системной интеграции
ООО «УЦСБ»
620026, Екатеринбург, ул. Красноармейская, д.78Б, оф.902
Тел.: +7 (343) 379-98-34
Факс: +7 (343) 264-19-53
info@ussc.ru
www.USSC.ru
31.03.2013 www.USSC.ru 13