Защита виртуальных сред в финансово-кредитных

организациях

Главный инженер департамента системной интеграции ООО «УЦСБ»Николай Домуховский

www.USSC.ru 1

Год Оценка технологии (Gartner) Доля ВМ

2009 Виртуализация меняет подходы организации к управлению вычислительными мощностями. Пользователи и операторы ИТ услуг смотрят на виртуализацию как на технический прорыв, что порождает завышенные ожидания от технологии.

11.5% (IDC)19% (VMware)

2010 Хотя виртуализацию x86-х серверов можно назвать зрелой технологией, виртуализация как общий тренд ИТ пока, в лучшем случае, в зачаточном состоянии, она по-прежнему рассматривается как технический прорыв и порождает повышенные ожидания.

30% (Gartner)31% (VMware)

2011 Несмотря на то, что виртуализация серверов – зрелая технология, виртуализация как общий тренд ИТ еще слишком юная, что порождает различный уровень ожиданий.

38.9% (V-Index)

44% (VMware)

2012 Виртуализация серверов – зрелая технология. Но в целом в ИТ виртуализация еще юная, что приводит к несколько завышенным ожиданиям

59% (VMware)

31.03.2013 www.USSC.ru 2

Виртуализация. Хроника революции

Виртуализция в банках

• Виртуализованнаяинфраструктура:– Инфраструктурные

сервисы

– Электронные коммуникации

– Информационные системы

31.03.2013 www.USSC.ru 3

• Традиционная инфраструктура:

– процессинг

– АБС

– Скоринговые системы

– Специализированные сервисы

Что препятствует?

Источник: KPMG International’s Global cloud survey: the implementation challenge

31.03.2013 www.USSC.ru 4

Цена

Интеграция с унаследованнымисистемами

Риски утечкиданных

Потеря контроля

Потеря управляемостимощностями и затратами

Проблемыинтеграцииоблачныхплатформ

Вопросы ИБ (в целом)

Риск кражи интеллектуальнойсобственности

Требования регуляторов

Отсутствие прозрачности и контроля над операциями с данными

• NIST SP 800-125 «Guide to security for Full Virtualization Technologies» - январь 2011

• PCI Data Security Standard «Information Supplement PCI DSS Virtualization Guidelines» - июнь 2011

• ФСТЭК: Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (проект) – октябрь 2012

• ЦБ: О вопросах обеспечения защиты информации при использовании технологии виртуализации(доклад) - февраль 2013

31.03.2013 www.USSC.ru 5

Существующие рекомендации по защите платформ виртуализации

31.03.2013

www.USSC.ru

6

Виртуализация. Новые решения – новые проблемы

Хранилище данных

Гипервизор

Администратор СХД

Администратор/Администратор ИБ

виртуальных машин

Сетевой администратор

Администратор/Администратор ИБ

серверных компонент средств

виртуализации

Гипервизор – новый критичный объект

защитыИзоляция гостевых ОС

Разделение полномочийРазделение полномочийРазделение полномочийРазделение полномочий

Новые каналы утечки информации Неактивные

виртуальные машины

Рекомендации по защите сред виртуализации (1)

Группа требований ТребованияРазделение информационных потоковвиртуальных машин

• Решение о физическом разделении• Контроль изоляции средствами гипервизора• Контроль информационного обмена между ВМ

Обеспечение ИБ на этапах жизненного цикла образов ВМ

• Ролевой состав образов• Дифференциация образом по типам АС• Контроль целостности образа• Контроль состава и конфигурации ПО• Регламент обновления ПО• Контроль внесения изменений в образ

пользователем• Контроль копирования образов и ВМ• Учет образов и ВМ, а также определение

порядка вывода из эксплуатации

31.03.2013 www.USSC.ru 7

Рекомендации по защите сред виртуализации (2)

Группа требований ТребованияОбеспечение ИБ при доступе к серверным компонентам средств виртуализации

• Физическая защита АРМ и консолей управления

• Защищенный доступ к серверным компонентам

• Регистрация и учет действий администраторов• Контроль целостности ПО серверных

компонент

Обеспечение ИБ ВМ • Регламентация и контроль жизненного цикла ВМ

• Реализация «традиционных» механизмов ИБ• Единый уровень ИБ для всех ВМ на одном

физическом сервере

31.03.2013 www.USSC.ru 8

Рекомендации по защите сред виртуализации (3)

Группа требований ТребованияМониторинг событий ИБ • Регламентация мониторинга

• Реализация с помощью встроенных средств серверных компонент средств виртуализации, ОС и СрЗИ

Обеспечение ИБ при доступе к СХД

• Логическая сегментация СХД• Контроль доступа к логическим сегментам СХД• Физическая защита АРМ и консолей

управления СХД• Защищенный доступ к интерфейсам СХД

31.03.2013 www.USSC.ru 9

Схема защищенной виртуальной среды

31.03.2013 www.USSC.ru 10

Хранилище данных

Гипервизор Гипервизор

Сегмент стандартной АС

Сегмент критичных банковских процессов

Се

гме

нт

упр

авл

ен

ия

АРМ администратора

Средство сбора событий ИБ

Хранилище данных

Гипервизор

SafeNet Protect-V

31.03.2013 www.USSC.ru 11

Администратор ВМ

Система управления ключамиKeySecure/DataSecure

Protect-V Manager

Защищенный виртуальныйжесткий диск

Виртуальная машина с ПО Protect-V Client

• Тенденции говорят о достижении 75% доли виртуальных машин к 2015 году

• Несмотря на новизну технологии, вопросы ИБ изучены достаточно хорошо

• Рынок СрЗИ готов обеспечить необходимыми средствами системы защиты сред виртуализации

31.03.2013 www.USSC.ru 12

Выводы

Защита виртуальных сред в финансово-кредитных организациях

Спасибо за внимание!

Николай Домуховский

Главный инженер департамента системной интеграции

31.03.2013 www.USSC.ru 13

ООО «УЦСБ»620026, Екатеринбург, ул. Красноармейская, д.78Б, оф.902Тел.: +7 (343) 379-98-34Факс: +7 (343) 264-19-53info@ussc.ruwww.USSC.ru