Как управлять защитой «облака» в условиях кибератак?

9 Января 2018
Как известно, основу построения «облаков» составляют системы виртуализации.
Системы виртуализации отличаются тем, что задачи администрирования их безопасности могут решаться несколькими администраторами безопасности, в общем случае, с различными целями.
Задачей администратора безопасности системы виртуализации, в частности, «публичного» облака, в первую очередь, является обеспечение его функционирования и корректности функционирования.
Задачей же администратора безопасности предприятия, арендующего «ресурсы облака», является защита своих данных обрабатываемых в «облаке». При этом может быть осуществлена атака, как из виртуальной машины на хост-машину, так и, наоборот, из хост-машины на виртуальную машину.
С учетом этого, естественно, что администратор безопасности системы виртуализации должен знать, что происходит с безопасностью виртуальных машин, а администратор безопасности виртуальной машины (сети виртуальных машин) - что происходит с безопасностью хост-машины.
Все эти вопросы позволяет решать КСЗИ «Панцирь+», с учетом реализованных в ней моделей иерархического администрирования системы защиты http://npp-itb.ru/images/docs/alldocs/MAP.pdf
Использование КСЗИ «Панцирь+» на хост-машине мало чем отличается от ее использования на виртуальной машине.
Например, виртуальные машины Hyper-V представляют собою процесс "Рабочий процесс виртуальной машины» vmwp.exe, исполнимый файл которого хранится в папке System32, который работает в контексте создаваемого при запуске машины пользователя. Этот пользователь нигде не фигурирует в оснастках ОС, т.е. представляет собою такого же "псевдо пользователя», как SYSTEM, LOCAL SERVICE и т.п. Имя этого пользователя в системе выглядит как фиксированный домен "NT VIRTUAL MACHINE" и некий уникальный идентификатор вида GUID. SID такого "пользователя" начинается так "S-1-5-83-…", тогда как SID обычного, интерактивного, пользователя начинается с "S-1-5-21-…".
Это позволяет реализовать единую сетевую защиту средства виртуализации, в которой клиенты КСЗИ «Панцирь+» устанавливаются, как на хост-машине, так и на виртуальных машинах, в следующих режимах:
- единый администратор безопасности;
- различные администраторы безопасности для хост-машины и сетей виртуальных машин;
- совместное администрирование, при котором администратор хост-машины является ведущим для администраторов виртуальных машин – любая настройка клиентской части КСЗИ «Панцирь+» на виртуальных машинах ступает в силу только после его утверждения администратором безопасности хост-машины;
- совместное администрирование, при котором настройки безопасности виртуальных машин вступают в силу после их утверждения администратором безопасности виртуальных машин и т.д.
При этом различные администраторы безопасности могут использовать сервер аудита (реального времени) для текущей оценки безопасности системы виртуализации.
Отметим, что КСЗИ «Панцирь+» - это сетевая система защиты информации, реализующая клиент-серверную архитектуру, в состав которой входят клиентские части (устанавливаются на объектах защиты - непосредственно решают задачи защиты информации), серверы безопасности, обеспечивающие удаленное администрирование клиентских частей КСЗИ «Панцирь+», интерактивный режим обработки журналов аудита событий безопасности, и серверы аудита (удаленный аудит событий безопасности в реальном времени).
Архитектурными особенностями реализации сетевой КСЗИ «Панцирь+» является следующее:
- любая клиентская часть может взаимодействовать с любым числом серверов безопасности и серверов аудита;
- для серверов безопасности реализована возможность построения полноценной иерархической системы удаленного администрирования клиентских частей КСЗИ «Панцирь+».
Подробнее с реализуемой КСЗИ «Панцирь+» технологией защит можно ознакомиться в презентации, представленной по следующей ссылке: http://www.npp-itb.ru/images/docs/alldocs/slides.pdf
В этом же документе можно посмотреть, как КСЗИ «Панцирь+» позволяет усекать возможности, реализую политику совместного администрирования, и контролировать действия системного администратора администратором безопасности.
Щеглов Андрей Юрьевич
ООО "НПП "ИТБ"
info@npp-itb.spb.ru