Уязвимости систем виртуализации и варианты защиты информации  в таких системах

Positive Hacking Day

Лысенко Александр

МОСКВА 19 мая 2011

Product manager, Код Безопасности

Содержание

2

•Виртуализация стала мейнстримом

•Новые виды информационных угроз

ИБ: итоги 2010

•Ключевые риски

•Кто контролирует администратора?

•Лучшие практики по защите

Виртуализация, облака и

безопасность

Виртуализация изменила мир ИТ

Золотая лихорадка: выпускается много новых и «сырых» продуктов

Безопасность – основной риск

2010: новые виды информационных угроз

3

Изменение парадигмы

4

Облачно с вероятностью осадков“Тревога о безопасности сдерживает ИТ менеджеров от ухода в облака.”

-The Economist, March 5, 2010

4 ключевых проблемы ИБ 2010

5

• Направленная атака• 0-day уязвимостиAurora

• Супер зловред• Кибер оружиеStuxnet

• Широкое распространение• Открытый большой кодAndroid

• 64 битные зловреды• Современные CPUs64 bit

Источник: Лаборатория Касперского

Aurora vs. Google

• «Google объявила во вторник, что она стала целю "очень сложной и скоординированной атаки против ее корпоративной сети. Она сообщила, что хакеры украли интеллектуальную собственность и искали доступ к учетным записям Gmail ряда правозащитников. Нападение произошло из Китая, говорится в сообщении компании».

Wired.com

6

Stuxnet

7

Схема распространения Stuxnet• Dimona tested

the effectiveness of the Stuxnet computer worm, a destructive program that appears to have wiped out roughly a fifth of Iran’s nuclear centrifuges and helped delay, though not destroy, Tehran’s ability to make its first nuclear arms.

8

Израильская копия производства в Натанце (Иран) для тестирования Stuxnet

9

StuxNet вывел из строя иранские центрифуги для обогащения урана

• «The target of the attack was to modify the operation of high-frequency power drives made by Vacon and Fararo Paya. These drives were controlling the centrifuges that were enriching uranium».

F-Secure10

Атака «человек в середине»

• “While Stuxnet is doing malicious modifications to the system, it uses a man-in-the-middle attack to fool the operators into thinking everything is normal”

F-Secure

11

Новости 2011 - Oddjob

12

Крадет деньги со счета даже после того как пользователь он-лайн банка вышел из системы

2010, безопасность и виртуализацияПриоритеты клиентской виртуализации

2011

Источник: http://www.enterprisemanagement.com/

Появились новые изощренные виды монетизации киберугроз

Виртуализация инфраструктуры – ключевой тренд в корпоративных ИТ• VDI• Облака

Как обстоят дела с безопасностью виртуальных инфраструктур?

Виртуализация и риски ИБ

14

Специалисты ИБ не участвует в проекте по виртуализации

Взлом слоя виртуализации может привести к взлому всех ВМ

Виртуальные ВМ-ВМ сети плохо контролируемы

ВМ с разным уровнем ИБ размещены на одном физическом хосте

Отсутствие контроля за действиями администратора

Потеря разделения ответственности за сеть и ИБИсточник:

Gartner, 2010

Стоимость потери информации

• 285М взломанных записей в 2008 г. (Verizon Business RISK Team)

• В 2008 в США потеря каждой записи стоила $202, включая $152 косвенного ущерба (Ponemon Institute)

15True Cost of Compliance Report, Ponemon Institute LLC, January 2011

Типы и стоимость инцидентов с ИБ

16

Потеря данных через администратора – самый дорогой тип инцидента в ИБ

• В виртуальной среде нет проактивных средств контроля действий администратора

• Зловредное ПО с правами администратора может получить контроль над ВМ в обход гипервизора

17

The Value Of Corporate SecretsHow Compliance And Collaboration Affect Enterprise Perceptions Of Risk

March 2010, Forrester

Что делать?

18

Разделить полномочия и ответственность

администраторов ВИ и ИБ

Безопасная Виртуализация

Лучшие практики информационной безопасности

19

Виртуализация и безопасность

20

Люди

Процессы

Технологии

Люди• Обучение• Разделение ответственности

Процессы• Лучшие практики• Требования регуляторов

Технологии• Платформа• Наложенные средства

Ключевые процессы

21

Управление изменениями

Гипервизор = виртуальное

железо

Тестовая среда: тестирование безопасности

Обновления ПО и утверждения

изменений

Управление и мониторинг виртуальных

активов

Ввод ВМ в эксплуатацию

Контроль внешних

виртуальных устройств (ВУ)

Сетевая безопасность

Лучшие практики ИБ и

требования регуляторов

Virtualization Security

HardeningPCI DSS CIS

ИБ виртуализации. Постулаты

22

Виртуальные машины подвержены тем же угрозам, что и реальные компьютеры

Виртуализация дает эффективные методы борьбы с некоторыми видами угроз (например, Sandboxing)

Но приносит новые угрозы и проблемы, требующие новых решений…

Традиционные средства защиты в виртуальной среде не эффективны

• Firewall, VPN• Антивирусы• DLP • IDS/IPS• Криптосредства• Другие средства

защиты

010110100101000101

010110100101000101

010110100101000101

М.б. неприменимы или снижать производительность среды

Безопасность гипервизора

Гипервизор

Сервер виртуализации

Console OS

Средства управления

виртуальнойинфраструктурой

Пока не обнародовано ни одного случая взлома гипервизоров или нарушения изоляции ВМ

Возможности Blue Pill & Red Pill пока не доказывают наличие угрозы для гипервизоров

Можно получить доступ к гипервизору через средства управления

Матрица и безопасность виртуальной среды

25

Blue Pill – зловредный гипервизор, незаметно

превращающий ОС в ВМ и перехватывающий ее трафик

Red Pill – способ обнаружения присутствия на физическом хосте работающей виртуальной машины

Ядро (kernel) гипервизора

26

App

OS

ESX Server

App

OS

App

OS

VMsafe APIs

ВМ ИБ:• МЭ• IDS / IPS• Антивирус• Мониторинг

целостности

ESX – самое маленькое ядро на рынке

VMware VMsafe – API к ядру гипервизора: позволяет «видеть» идущий через него трафик

Средства платформы: vShield EndpointАнтивирусная зашита гостевых ВМ

Позволяет использовать специальную

антивирусную ВМ без А/В агентов в

гостевых ВМ

ОС в консоли управления

28

По слухам для vSphere 5 будет упразднена

Для VI 3 и vSphere 4 (Linux based)• Подвержена обычным угрозам для ОС• Используйте рекомендации «VMware Security

Hardening Guide»• Трудоемкая ручная настройка автоматизируется с

vGate

Виртуализация меняет свойства сетей

Гипервизор Гипервизор

Сервер виртуализации Сервер виртуализации

Стандартные МЭ становятся не везде применимы

Угроза DoS атаки: ВМ может занять весь трафик

• Мониторинг и ограничение ресурсов

Трудоемкая ручная настройка автоматизируется с vGate

Сетевая безопасность – приоритет №1

30

VMware vShield: балансировка нагрузки, МЭ, VPN, зоны безопасности

31

МЭ

Балансировщик нагрузки

VPN

VMware vSphere

Load balancerFirewallVPNEtc… vShield

Virtual Appliance

Проблема для России: низкий уровень сертификации

Сетевой трафик для vMotion

32

Синхронизация памяти по Сети ХД без шифрования

Должна использоваться защищенная сеть, но:

Любой ввод/вывод (LAN,RAM, HDD) чувствителен к угрозам типа Man in The Middle

Пример Обхода Captcha В стиле man In The Middle

33

Koobface

34

Пример сложного социального зловреда, использующего технику MitM

CAPTCHA передается на зараженную машину и пользователь превращает ее в текст

35

Защита от атак «Man in the Middle»

Гипервизор

Сервер виртуализации

Man in The

Middle

Перед вводом в эксплуатацию все самоподписанные SSL сертификаты необходимо заменить на доверенные сертификаты 3-х сторон

Гипервизор и спящие (выключенные) ВМ

37

Сервер виртуализации

Гипервизор

Гипервизор может читать и изменять данные ВМ, когда они не работают

У проснувшейся ВМ устареют настройки безопасности

Аппаратные средства защиты в виртуальной среде

38

Могут не работать в ВС• Традиционные средства доверенной

загрузки.• Во многих случаях аппаратное средство

нельзя «пробросить» в виртуальную машину

Используйте стандартный образ ВМ с максимальными настройками ИБ

App

OS

Заблокированный стандартный образ

ВМ позволит избежать ошибок

настройки ИБ

Инструменты

Средства ИБ в составе платформы

виртуализации

Защита от внешних угроз: сетевых атак, вредоносного ПО, уязвимостей

Защита среды гипервизора от НСД, контроль

ролей и настроек

Контроль ИБ трафика

Контроль настроек ИБ,

целостности и прав доступа

Firewall,зоны

безопасностибалансировка нагрузки, API

VMware vShield – базовые возможности ИБ

41

VMware vSphere

vShield Manager + vCenter

Простая настройка

vShield

Сетевой администратор

Администратор ИБ

Администратор ВИ

Ясное разделение ответствен-

ности

Политики

Trend Micro Deep Security for VMware

42

vNIC vNIC vNIC vNIC

vSwitch

• Специальная гостевая виртуальная машина на гипервизоре• Защищает все VM снаружи, без изменения VM• FW, IDS/IPS и антивирусное сканирование на уровне гипервизора

Лучшие практики ИБ для виртуальных сред

• PCI DSS 2.0• CIS VMware ESX Server Benchmarks• VMware Security Hardening Best Practices

43

Лучшие практики ИБ для виртуальных сред

• В каждом документе более 100 страниц настроек параметров безопасности

44

Как использовать лучшие практики ИБ?

45

Ручная настройка

• или

автоматизация с vGate: поставляется с шаблонами настройки для соответствия лучшим практикам ИБ

Как узнать правильность моих

настроек?

Облака и БезопасностьБезопасность виртуальной инфраструктуры в облаках

46

#1 опасение при переходе к облакам

47

Source: Saugatuck Technology Inc., 2009 Cloud Infrastructure Survey (Julne09), WW N=670

Консолидация = централизация рисков

• «В облачной среде наименьший общий знаменатель безопасности будет разделен со всеми арендаторами виртуального ЦОД.»

http://www.cloudsecurityalliance.org/csaguide.pdf

48

Ключевые угрозы в облаке v1.0• Угроза #1: злоупотребление концепцией• Угроза #2: небезопасные интерфейсы и APIs• Угроза #3: вредоносные инсайдеры• Угроза #4: общее использование старых технологий• Угроза #5: утечки и потери данных• Угроза #6: взлом учетных записей и сервисов• Угроза #7: неизвестные характеристики рисков

49

Top Threats to Cloud Computing

Угроза #3: инсайдеры

50

Поставщик управляет доступом и

настройками ИБПо 152ФЗ за ПДн

отвечает оператор

Администратор имеет доступ ко всем ВММожет завладеть

данными с малым риском обнаружения

Ущерб репутации, убытки, снижение

продуктивностиСкоро вступление в

ВТО!

Угроза #5: утечки и потери данных

51

Ведут к прямым и

косвенным финансовым

потерям

Штрафные санкции (PCI DSS, 152ФЗ) и

судебные иски

Пример: слабый AAA

контроль: authentication, authorization &

audit

Угроза #6: взлом учетных записей и сервисов

52

Может иметь любые последствия

vGate и облака

53

vGate позволяет контролировать

администратора облака, снижая риск потерь данных

PCI-DSS: штрафы до $500,000

54

PCI DSS 2.0: требования к виртуальной среде

55

ВМ рассматривается как физический сервер

Одна ключевая функция на ВМ

Запрещено давать сотрудникам доступ к гипервизору

Минимально необходимый уровень прав доступа• Например администратор ВМ не может назначить ей другой vSwitch

Разделение функций и сетей с разными уровнями безопасности • На vSwitch нельзя использовать VLANs с 802.1Q, если у них разные функции или

уровни безопасности (п. 2.2.1). Добавьте vSwitch для изоляции трафика

Нельзя совмещать тестовые и производственные среды

vGate и PCI DSS

56

vGate поставляется с шаблонами настройки

VMware для соответствия PCI DSS

vGate 2 for VMware infrastructure

57

Security Code vGatefor VMware Infrastructure

58

Повышает безопасность виртуальной инфраструктуры VMware VI 3 и VMware vSphere 4

Позволяет снизить риски ИБ для VMware и облегчить использование лучших практик

Сертификаты ФСТЭК для использования среды VMware в ИСПДн до К1

Security Code vGate for VMware Infrastructure: основные функции:

59

Усиленная аутентификация администраторов ВИ и ИБ

Разделение ролей администратора ВИ и ИБ

Разграничение прав администрирования объектов ВИ (мандатный доступ)

Защита средств управления виртуальной инфраструктурой от несанкционированного доступа

Security Code vGate for VMware Infrastructure: основные функции (2):

60

Контроль целостности конфигурации виртуальных машин и доверенная загрузка

Разграничение прав ESX-хостов на исполнение ВМ

Регистрация событий ИБ

Централизованное управление и мониторинг

61

В vGate входят:• Сервер авторизации • Модули защиты ESX• Рабочее место

администратора• Консоль управления

vCenter

ВМ ВМ ВМ ВМ

Администратор Администратор

ESX-хост ESX-хост

vGate

vGatevGate

Архитектура

62

• Право на использование Сервера авторизации vGate

• Право на использование vGate для защиты ESX-серверов

Модель лицензирования

vCenter

ВМ ВМ ВМ ВМ

Администратор Администратор

ESX-хост ESX-хост

vGateшт.

сокеты сокеты

Сертификаты vGate for VMware Infrastructure

63

vGate 2

ФСТЭК СВТ 5 и НДВ 4• для АС до 1Г включительно• ИСПДн до К1 включительно

vGate 2-S(в процессе)

ТУ и ФСТЭК НДВ 2• для АС до 1Б включительно• ИСПДн до К1 включительно

vGate для виртуальной инфраструктуры VMware

64

Ситуация

Новых виртуальных серверов поставляется

больше чем физических

Администратор в виртуальной среде имеет

полный доступ к ВМ

vSphere в России не может использоваться в ИСПДн К1

Последствия

Утечка секретов через администраторов – самый

дорогой тип нарушения информационной

безопасности

Решение

vGate позволяет разделить ответственность между АИБ

и АВИ

vGate позволяет использовать vSphere при

работе с любыми персональными данными

Дополнительная информация• Подробнее о vGate:

– http://www.securitycode.ru/products/sn_vmware/

• vGate Compliance Checker (free)– http://www.securitycode.ru/products/sn_vmware/vgtate_checker/

• Демо-версия vGate:– http://www.securitycode.ru/products/demo/

65

СПАСИБО ЗА ВНИМАНИЕ!ВОПРОСЫ?