Статья

«Лаборатория Касперского»: ИБ должна присутствовать среди расходов на виртуализацию

B2BSecurity

Виртуализация давно стала устойчивым трендом. Этот подход имеет ряд своих особенностей, в том числе – с точки зрения обеспечения безопасности. Матвей Войтов, менеджер по продуктам «Лаборатории Касперского», поделился собственным опытом и рассказал, какие угрозы несет виртуализация и как его компания помогает избежать их.

CNews: Виртуализация давно стала устойчивым трендом. Какие преимущества и недостатки с точки зрения информационной безопасности присущи виртуализованной среде?

Матвей Войтов: Виртуализация, скорее, имеет не недостатки или преимущества с точки зрения ИБ, а особенности. И ключевым пунктом здесь является то, что для виртуализации уже достаточно давно существуют специализированные ИБ-решения, которые позволяют защищать виртуальные машины эффективнее, чем традиционные антивирусы и другое защитное ПО. До недавнего времени компании зачастую игнорировали сам факт необходимости в защите виртуальных машин (ВМ) – виртуализованная среда воспринималась, как нечто более защищенное, чем среда физических машин. По факту, виртуальные машины уязвимы перед вредоносным ПО точно также, как и физические. Более того, постепенно на ВМ исполняется все больше критических сервисов и хранится все больше важной информации, поэтому игнорировать ИБ в этой части инфраструктуры никак нельзя.

CNews: Какие неявные угрозы несет виртуализация?

Матвей Войтов: Главная угроза – это, в первую очередь, пренебрежение защитой виртуальных машин. Если говорить про конкретные технологические особенности, могущие выступать уязвимостями, то тут можно сказать про непрозрачный трафик между виртуальными машинами в рамках хоста; и про «забытые» ВМ с устаревшим ПО – их надо обновлять и регулярно устанавливать патчи точно так же, как и на обычных компьютерах.

Кроме того, даже с установленным антивирусом ВМ может быть уязвима – так как на ВМ меньше ресурсов, то сразу после включения машины традиционному антивирусу потребуется больше времени, чем при работе на обычном компьютере, чтобы получить последние обновления и просканировать систему. В это время вирус получает шанс проникнуть в систему. Все это можно эффективно контролировать с помощью специализированных решений информационной безопасности, главное – понимание того, что это нужно делать.

CNews: С какими проблемами, связанными с обеспечением безопасности, по вашему опыту, наиболее часто сталкиваются владельцы виртуализованных сред?

Матвей Войтов: Специалисты безопасности, которые начали использовать традиционные ИБ-решения в виртуальной среде, практически неизбежно сталкиваются с неадаптированностью этих продуктов под специфику виртуализации. Приведу канонические примеры.

Матвей Войтов: Главная угроза – это, в первую очередь, пренебрежение защитой виртуальных машин

С точки зрения виртуальной машины традиционный антивирус потребляет ресурсы системы крайне неэффективно. В условиях ограниченных ресурсов виртуального хоста это приводит к падению производительности и к работе меньшего количества ВМ, чем было запланировано. Очевидно, что подобный эффект может уничтожить всю экономическую привлекательность виртуализации.

Только что вышедшей из «сна» виртуальной машине требуется некоторое время для получения актуальных обновлений, что ставит под угрозу на это время ее информационную безопасность. А также банальная несовместимость с технологиями виртуализации – сложности с распространением централизованных политик на виртуальных рабочих станциях, отсутствие поддержки специфичных технологий.

CNews: Насколько сильно законодательство в сфере обеспечения сохранности данных влияет на процесс обеспечения безопасности виртуализованных сред?

Матвей Войтов: Для любого законодательства или регулятивного акта нет никакой разницы – хранятся ли данные на виртуальных машинах или на физических; они должны быть защищены в любом случае. Это, кстати, в свое время и сподвигло многих администраторов по всему миру уделить больше внимания защите виртуальной инфраструктуры.

CNews: Из вашего опыта, какие методы обеспечения безопасности виртуальной среды можно назвать самыми распространенными?

Матвей Войтов: Если говорить конкретно про антивирусную защиту, то сейчас мы наблюдаем два самых распространенных подхода: использование традиционных антивирусных агентов (что сопряжено с рядом проблем) и использование специализированного подхода – так называемой безагентской защиты. Второй метод уже лучше – как специализированное решение для виртуализации, безагентский антивирус лишен проблем традиционных решений. Правда, у него также есть ряд особенностей, в первую очередь это то, что он работает только с системами производства VMware.

CNews: Какие методы можно назвать самыми эффективными?

Матвей Войтов: Если рассматривать безагентские решения, то, помимо ограничений по платформе, их также нельзя назвать самыми эффективными в плане технологий безопасности – производители средств ИБ ограничены в данном подходе интеграционными технологиями VMware, которые не позволяют, например, осуществлять глубокое сканирование и проверку памяти, применять сопутствующие современному антивирусу технологии. Именно поэтому в прошлом году «Лаборатория Касперского» представила новый специализированный продукт для защиты виртуальных сред, основанный на новом подходе – «Легкий агент». По сути, это комбинация архитектур традиционных и безагентских решений. Как и в случае последних, у нас есть выделенная виртуальная машина безопасности, которая централизованно осуществляет все «тяжелые» операции: проверку, обновления и другие. Отличие в том, что в дополнение к ней на каждую ВМ (или шаблон) мы устанавливаем наш «Легкий агент», присутствие которого не требует лишних ресурсов, но позволяет детально сканировать машину и применять дополнительные технологии, такие как контроль приложений и веб-ресурсов. Многочисленные тесты и отзывы клиентов показывают, что по производительности «Легкий агент» находится на уровне (а в некоторых случаях и обгоняет) безагентских решений. И еще один серьезный плюс – «Легкий агент» работает не только на VMware – мы также поддерживаем Microsoft Hyper-V и Citrix XenServer.

CNews: Как правильно выбрать метод обеспечения информационной безопасности виртуализованной среды (в зависимости от типа среды)?

Матвей Войтов: Все, естественно, зависит от сценариев использования виртуальной среды и от конкретных особенностей и предпочтений. Можно привести следующий пример – если у заказчика используется серверная виртуализация для внутренних задач, например, СУБД без доступа в интернет (векторов атаки не так много), то можно использовать безагентский продукт, его будет крайне легко развернуть и управлять им в дальнейшем. Если заказчик использует виртуализацию рабочих станций, предназначенных для выполнения сотрудниками полного спектра задач – включая выход в интернет, установку стороннего ПО и т.д. – то «Легкий агент» обеспечит более надежную защиту. «Лаборатория Касперского» предоставляет оба подхода в одном продукте – Kaspersky Security для виртуальных сред. При необходимости заказчик может использовать оба подхода в разных сегментах одной инфраструктуры, тем более, что у нас одна централизованная консоль управления для всех решений.

CNews: По вашему мнению, должен ли бюджет на виртуализацию учитывать ИБ-расходы?

Матвей Войтов: Для многих организаций главная цель использования виртуализации заключается в эффективном и оптимизированном потреблении ресурсов, что в конечном итоге дает экономическую выгоду. Как уже было сказано ранее, виртуализация нуждается в защите, а использование специализированных средств ИБ позволяет сохранить эту выгоду. Если говорить о системном подходе к бюджетированию, ИБ должна присутствовать среди прочих расходов.