Контакты
Подписка
МЕНЮ
Контакты
Подписка

Необходимо и достаточно, или контроль целостности виртуальных машин с помощью "Аккорд-KVM"

Необходимо и достаточно, или контроль целостности виртуальных машин с помощью "Аккорд-KVM"

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Необходимо и достаточно,или контроль целостности виртуальных машин с помощью "Аккорд-KVM"

Перед открытием любого файла необходимо убедиться в его безопасности. Перед этим необходимо провести проверку тех программ, с помощью которых вы будете работать с файлом, и тех, с помощью которых будете эту проверку производить. А еще раньше – убедиться в безопасности операционной системы, в которой будете работать, и оборудования вашей машины – необходим контроль целостности.
Надежда Мозолина
ОКБ САПР, преподаватель кафедры “Защита информации” ФРТК МФТИ

Примечательно, что все сказанное выше верно как для физических ЭВМ, так и для виртуальных машин, для железа и программного обеспечения любого производителя и любой архитектуры, для любой платформы виртуализации.

В последнее время наблюдается тенденция перевода все большего числа информационных систем на ОС семейства Linux – это касается как частных компаний, так и государственных учреждений. Причины могут быть разными, например импортозамещение и переход на отечественные дистрибутивы, снижение затрат на покупку ПО, повышение производительности с уменьшением требуемых для работы ресурсов и многое другое. В любом случае операционные системы Linux все чаще используются и для рабочих мест пользователей, и для серверов, в том числе серверов виртуализации.

Одним из наиболее популярных решений для виртуализации в среде Linux является программное решение KVM. Оно позволяет создавать виртуальные машины (ВМ) с различными гостевыми ОС (Linux, Windows) и собственным виртуальным аппаратным обеспечением: жестким диском, видеокартой, USB-контроллерами, дисплеем и т.д.

KVM является открытым программным обеспечением, и традиционно считается, что использование таких программ повышает безопасность системы. Трудно, да и незачем спорить с этим утверждением. Но стоит заметить, что использование программного обеспечения с открытым кодом не отменяет необходимости принятия мер по защите информации [1]. И одной из таких мер является контроль целостности ВМ.

Защита для виртуальных инфраструктур

Разработанное ОКБ САПР специальное программное обеспечение "Аккорд-KVM" предназначено для применения в виртуальных инфраструктурах, построенных на базе KVM и использующих библиотеку libvirt в качестве инструмента управления гипервизором. Основными функциями данного продукта являются контроль целостности ВМ, выполняемый до их запуска, и управление их размещением и перемещением между серверами виртуализации.

Конечно, использования одного только "Аккорд-KVM" недостаточно для полной защиты виртуальной инфраструктуры, ее невозможно обеспечить лишь программными средствами. Необходимо применение СДЗ для физических серверов виртуализации, СЗИ от НСД, как на гипервизорах, так и внутри ВМ для защиты их ресурсов. "Аккорд-KVM" успешно работает в связке с соответствующими средствами защиты ОКБ САПР и может использоваться в составе комплексного решения по защите виртуальной инфраструктуры.

Функции защиты "Аккорд-KVM"

Каждая ВМ характеризуется своим виртуальным аппаратным обеспечением (набором оборудования) и работающей на нем гостевой операционной системой со всеми ее файлами. А потому в "Аккорд-KVM" контроль целостности ВМ включает в себя контроль двух компонентов – конфигурации и файлов внутри ВМ. Контроль целостности конфигурации заключается в расчете эталонных контрольных сумм оборудования и его настроек и в сравнении их с текущими при каждом включении ВМ или ее миграции. Аналогично осуществляется контроль системных и пользовательских файлов внутри машины. Поддерживаемые "Аккорд-KVM" файловые системы позволяют контролировать целостность ВМ с гостевыми ОС семейств и Windows, и Linux.

"Аккорд-KVM" также обеспечивает контроль за размещением исполняемых ВМ на серверах виртуализации, что позволяет исключить смешение информации различного уровня доступа, другими словами, не допустить размещения ВМ, обрабатывающих информацию ограниченного доступа, на серверах виртуализации, предназначенных для работы с общедоступной информацией.

"Аккорд-KVM" может применяться на гипервизорах с различными операционными системами – Red Hat, Ubuntu, CentOS. "Аккорд-KVM" и не требует для работы дополнительных серверов. Это позволяет использовать "Аккорд-KVM" для защиты широкого спектра виртуальных инфраструктур, администрируемых как с помощью консольного приложения virsh или довольно простой графической утилиты Virtual Machine Manager (virt-manager), так и в инфраструктурах, дополненных системой управления oVirt.

Информационные системы, использующие виртуализацию на базе KVM, могут значительно различаться, но в любом случае необходимой мерой их защиты является обеспечение контроля целостности ВМ. Средству защиты для таких систем необходимо, но не достаточно решать эту задачу, кроме того, оно должно соответствовать всем факторам, характеризующим защищаемую виртуальную инфраструктуру: ОС гипервизоров, способам подключения хранилища, гостевым версиям ОС, системам управления и т.д.

"Аккорд-KVM" обладает всеми необходимыми для такого СЗИ характеристиками, и его использования достаточно для контроля целостности ВМ в самых различных виртуальных инфраструктурах.

Литература

  1. Лыдин С.С. Перспективы открытых программных и аппаратных решений для корпоративных и коммерческих ЦОД // Национальный банковский журнал. – 2018. – № 9 (сентябрь). – С. 94–95.
ОКБ САПР
115114, Москва,
2-й Кожевнический пер., 12
Тел.: (495) 994-7262
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
http://www.okbsapr.ru/

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2018

Приобрести этот номер или подписаться

Статьи про теме