В обзоре рассматриваются программные средства для защиты виртуальных инфраструктур предприятий на базе VMware vSphere. Существующие для этой цели средства защиты разделены на несколько классов: антивирусы, системы предотвращения вторжений (IPS), средства сетевой безопасности, защита от несанкционированного доступа и средства резервного копирования.
2. Защитные программные продукты для виртуальных сред
2.1. Антивирусные продукты с интеграцией с vShield Endpoint
2.2. Антивирусные продукты без интеграции с vShield Endpoint
2.3. Системы предотвращения вторжений
2.4. Сетевая безопасность виртуальных сред
2.5. Защита от несанкционированного доступа
2.6. Средства резервного копирования для виртуальных сред
Введение
По оценкам компании Veeam, мировой рынок виртуализации продолжает набирать обороты, и к 2015 году может достигнуть 100-155 млрд. долларов. Мировой рост этого рынка будет составлять 20-40% в год, а для России прогноз роста составляет 80% в год. Объём российского рынка виртуализации может составить к 2015 году 0,5 млрд. долларов.
Согласно Magic Quadrant for x86 Server Virtualization Infrastructure 2013 исследовательской компании Gartner , в числе лидеров производителей средств виртуализации серверов на июнь 2013-го года находились компании VMware и Microsoft (рисунок 1).
Рисунок 1. «Магический квадрант» для инфраструктуры виртуализации серверов архитектуры x86 (Gartner)
Кроме того, в качестве чёткой тенденции последних лет, можно отметить увеличивающуюся популярность виртуализации десктопов. На начало 2013 года, согласно опросу специалиста Gartner Криса Вульфа (Cris Wolf), среди наиболее желанных производителей средств виртуализации десктопных операционных систем были компании VMware и Citrix с небольшим перевесом в сторону VMware. При этом наблюдался постепенный рост интереса к продуктам Microsoft.
Рисунок 2. Предпочитаемые производители средств виртуализации десктопных ОС
Несмотря на преимущества, которые предлагает виртуализация, она также приводит к возникновению новых специфических типов угроз. К счастью, благодаря растущей популярности использования виртуальных инфраструктур, появляется всё больше средств защиты информации, расположенной в виртуальных средах. С другой стороны, при большом количестве защитных средств, важно чётко понимать возможности каждого из них и, хотя бы, базовые критерии сравнения для того, чтобы обеспечить оптимальную и полноценную защиту информационной системы предприятия.
Согласно отчёту Global Cloud Security Software Market. 2010-2014 компании TechNavio среднегодовой рост мирового рынка защиты облачных сред, куда входят частные (виртуальные среды) и публичные облака, в настоящее время составляет 41,4% и достигнет к 2014 году объёма 963,4 миллиона долларов. С 2010 по 2014 год доля мирового рынка защиты облачных сред в общем рынке программных защитных средств вырастет с 2 до 4%. В числе ключевых драйверов роста рынка защиты облачных сред называются:
- возрастающее применение облачных сервисов для принципиально новых задач;
- возросшее применение облачных сервисов в государственных структурах;
- рост атак, специфических для облачных сервисов;
- возросшее использование облачных сервисов для хранения важных данных;
- возросшая мобильность сотрудников предприятий.
В статье мы остановимся на программных продуктах, призванных защищать виртуальные инфраструктуры предприятий на базе VMware vSphere. Связано это с тем, что данная платформа на настоящий момент наиболее популярна и наиболее подготовлена для интеграции со сторонними защитными программными продуктами. В частности, VMware vSphere обладает открытым для сторонних производителей API к технологии vShield Endpoint, позволяющим организовать безагентную антивирусную защиту на уровне гипервизора ESXi.
Компания Microsoft в настоящее разрабатывает аналог технологии vShield для своей платформы Hyper-V, и появление этой технологии может существенно повлиять как на рынок виртуализации, так и на рынок информационной безопасности виртуальных сред.
Защитные программные продукты для виртуальных сред
Каждой из известных типов угроз, возникающих при использовании виртуальных сред, можно противопоставить средства защиты. Ассортимент защитных программных продуктов достаточно обширен, но составить их чёткую классификацию на данный момент сложно – любая классификация будет достаточно условной. Часть антивирусных продуктов содержат в себе функциональность систем защиты от вторжений. Системы защиты от вторжений содержат в себе средства мониторинга за действиями пользователей, а также иногда и антивирусную составляющую. Тем не менее, мы сделали попытку рассмотреть наиболее популярные продукты для защиты виртуальных инфраструктур предприятий на базе VMware vSphere, взглянуть на рынок этих продуктов в целом.
В данной обзорной статье мы рассмотрим наиболее заметные на рынке программные продукты для защиты виртуальных инфраструктур следующих классов:
- антивирусные продукты, поддерживающие безагентную технологию посредством интеграции с vShield Endpoint;
- антивирусные продукты, работающие по агентной технологии без интеграции с vShield Endpoint, но поддерживающие другие типы оптимизации работы;
- системы предотвращения вторжений;
- средства резервного копирования для виртуальных сред.
Для удобства их сравнения расположим их в виде общей таблицы (см. таблицу 1).
Следует отметить, что только платформы VMware vSphere 5.5 позволяет защищать виртуальные машины с установленной Windows 8/2012 Server посредством технологии vShield Endpoint.
Таблица 1. Программные продукты для защиты виртуальных сред на базе VMware vSphere.
Производитель | Название продуктов | Поддерживаемые версии VMware vSphere |
Антивирусные продукты, поддерживающие безагентную технологию посредством интеграции с vShield Endpoint | ||
BitDefender | GravityZone | 4.1, 5.0, 5.1, 5.5 |
Kaspersky | Security для виртуальных сред | 4.1, 5.0, 5.1* |
McAfee | MOVE AntiVirus | 5.0, 5.1 |
Sophos | Antivirus for vShield | 5.1, 5.5 |
Trend Micro | Deep Security | 4.1, 5.0, 5.1, 5.5 ** |
Антивирусные продукты, работающие по агентной технологии без интеграции с vShield Endpoint | ||
ESET | SecureEnterprise | Не имеет значения |
Symantec | Endpoint Protection | Не имеет значения |
Системы предотвращения вторжений | ||
IBM | Security Virtual Server Protection for VMware | 4.1, 5.0 |
Сетевая безопасность виртуальных сред | ||
Checkpoint | Security Gateway Virtual Edition | 4.0, 4.1, 5.0, 5.1 |
Cisco | Virtual Security Gateway | 5.0, 5.1 |
Защита от несанкционированного доступа | ||
Код безопасности | vGate | 4.0, 4.1, 5.0, 5.1, 5.5*** |
Symantec | Virtualization Security Manager | 4.0, 4.1, 5.0, 5.1 |
Средства резервного копирования | ||
Acronis | vmProtect | 4.0, 4.1, 5.0, 5.1 |
Symantec | Backup Exec | 4.0, 4.1, 5.0, 5.1, 5.5 |
Symantec | NetBackup | 4.0, 4.1, 5.0, 5.1 |
Veeam | Backup & Replication | 4.0, 4.1, 5.0, 5.1, 5.5 |
* Версия Kaspersky Security для виртуальных сред с поддержкой VMware vSphere 5.5 находится в разработке и будет доступна в ближайшее время.
** В настоящее время vShield 5.5 поддерживается через API версии 5.1. Нативная поддержка vShield 5.5, по сообщению от разработчиков, готовится к выпуску в ближайшее время.
*** Версия vGate, поддерживающая платформу VMware vSphere 5.5, находится на сертификации.
Далее рассмотрим основные преимущества каждого из отобранных нами продуктов.
Антивирусные продукты с интеграцией с vShield Endpoint
Общее преимущество всех продуктов данной категории заключается в использовании безагентной технологии vShield Endpoint, позволяющей сэкономить аппаратные ресурсы на гипервизорах.
Продукты, входящие в данную категорию, разработаны специально для защиты виртуальных машин, работающих на гипервизорах под управлением операционной системы ESXi. При помощи интеграции с vShield Endpoint антивирусная защита организуется на уровне гипервизора, без необходимости установки на каждой защищаемой виртуальной машине полноценного антивирусного агента. Десятки виртуальных машин защищаются ценой аппаратных ресурсов, необходимых для запуска виртуальной машины VMware vShield Manager и специальной виртуальной машины, разрабатываемой производителем специализированного антивируса. На защищаемых виртуальных машинах устанавливается лишь тонкий клиент VMware vShield Endpoint Thin Agent, необходимый для интеграции с интерфейсом vShield.
BitDefender GravityZone
Основные преимущества:
- кроме VMware vSphere поддерживаются реализована оптимизация работы антивируса и для других популярных платформ;
- снижение затрат посредством более высокого уплотнения серверов позволяет существенно сократить использование аппаратных ресурсов;
- хорошая производительность при виртуализации десктопов;
- низкая нагрузка на администраторов.
Kaspersky Security для виртуальных сред
Основные преимущества:
- предоставление средств для удобного совмещения использования агентной и безагентной технологий защиты виртуальных машин на предприятии с помощью единого интерфейса консоли Kaspersky Security Center;
- удобство мастера установки/настройки Kaspsersky Security для виртуальных сред, с помощью которого можно, в частности, за одну прогонку мастера установить множество виртуальных машин защиты или произвести необходимые настройки;
- оптимизация проверки с помощью технологии общего кэша Shared Cache;
- Kaspersky Security для виртуальных сред все защищаемые виртуальные машины, расположенные на ESXi-серверах и управляемых сервером VMware vCenter, автоматически объединяет в общий кластер для облегчения управления защитой виртуальных машин;
- в рамках продукта реализован специальный механизм противодействия фишингу;
- защита от сетевых атак реализована через новую технологию VMware vCloud Networking and Security, появившуюся в последних версиях VMware vSphere.
McAfee MOVE AntiVirus
Основные преимущества:
- оптимизированная защита для виртуальных сред;
- стандартизация защиты среди всех популярных гипервизоров;
Sophos Antivirus for vShield
Основные преимущества:
- минимизация использования ресурсов и максимизация скорости работы системы;
- в состав защиты входит HIPS и облачный детект.
Trend Micro Deep Security
Основные преимущества:
- позволяет организовать защиту согласно стандартам PCI DSS 2.0, HIPAA, NIST, SAS 70 и других;
- поддерживается интеграция с виртуальными машинами, расположенными в облачных дата-центрах;
- иерархическая структура политик с поддержкой многих уровней наследования;
- поддержка аппаратной технологии VMware Trusted Platform Module (TPM), позволяющая сигнализировать об атаках на гипервизоры ESXi;
- удобные мастера развёртывания компонентов защиты.
- кроме антивирусной составляющей Trend Micro Deep Security содержит в себе следующие модули: систему обнаружения вторжений (IDS), систему предупреждения вторжений (IPS), файрволл, систему мониторинга отчётности Log Inspection, файрволл веб-приложений;
- кроме популярных платформ в качестве ОС на защищаемых виртуальных машинах поддерживаются такие как HP-UX, AIX, и Solaris.
Антивирусные продукты без интеграции с vShield Endpoint
Производители этой категории антивирусов, несмотря на то, что не обеспечили интеграцию с технологией VMware vShield Endpoint, предлагают некоторые средства оптимизации антивирусной защиты объектов, расположенных в виртуальной среде.
Подчеркнём особо, что данные продукты серьёзно проигрывают по возможностям антивирусным продуктам, использующим интеграцию с технологией vShield, т.е. используемые оптимизации дают лишь незначительный прирост в производительности, что может серьёзно сказаться на неэффективном использовании аппаратных ресурсов гипервизоров при их использовании. При возможности необходимо использовать антивирусы из первой группы.
ESET Secure Enterprise
Разработчики ESET Secure Enterprise в документе под названием ESET Virtual Environment Optimization Guide предлагают оптимизировать защиту следующим образом:
- настроить обновление антивируса с зеркального сервера обновлений;
- отключить автоматическое обновление при входе пользователя в систему;
- снизить приоритет сканирования при старте системы;
- добавить в исключения из проверки инструменты и файлы, относящиеся к виртуальной машине;
- снизить уровень подробности создаваемых файлов отчёта;
- отключить графический интерфейс антивируса.
Symantec Endpoint Protection
Разработчики Symantec Endpoint Protection в настоящее время разрабатывают антивирус, работающий через vShield Endpoint, при этом в текущей версии реализованы следующие методы оптимизации работы антивируса в условиях виртуальных сред:
- использование технологии общего кэша проверенных файлов Shared Insight Cache;
- рандомизация обновления клиентов для более равномерного распределения нагрузки на сетевую подсистему гипервизора;
- рандомизация файловых сканирований для более равномерного распределения нагрузки на дисковую и вычислительную подсистемы гипервизора;
- использование технологии Virtual Image Exception – позволяет исключать из проверки файлы, относящиеся к эталонному образу виртуальной системы.
Как видим, в целом предлагаемые в данных продуктах оптимизации и рекомендации по использованию для защиты виртуальных сред решают проблему оптимизации нагрузки на гипервизор лишь частично – средний уровень нагрузки на аппаратную часть от работы антивируса в этом случае значительно выше, чем в продуктах, работающих на уровне гипервизора (при использовании технологии vShield).
Системы предотвращения вторжений
К данной категории продуктов был отнесёт продукт компании IBM, позволяющий ограничивать доступ к объектам виртуальной инфраструктуры предприятия, сохранять их целостность, осуществлять мониторинг действий привилегированных пользователей и т.д.
IBM Security Virtual Server Protection for VMware
Основные преимущества:
- предотвращение вторжений без использования агентов, что позволяет автоматически обеспечивать защиту виртуальных машин при их переносе или развёртывании;
- обеспечение соответствия нормативным требованиям за счёт мониторинга и отчётности об инцидентах безопасности;
- снижение затрат и сложности за счёт различных оптимизаций защиты для виртуальных сред.
Сетевая безопасность виртуальных сред
К этой категории отнесены продукты, обеспечивающие анализ и защиту сетевого трафика, проходящего между различными компонентами виртуальных сред.
Checkpoint Security Gateway Virtual Edition
Основные преимущества:
- предоставляет защиту внутреннего трафика между гостевыми системами на уровне гипервизора;
- автоматически защищает новые виртуальные машины без изменения в настройках сети;
- при переносе виртуальной машины на другой хост не требуется её отключать;
- предоставляет антивирусную защиту виртуальных машин без необходимости установки агентов;
- гранулированная политика организации доступа к объектам виртуальной инфраструктуры.
Cisco Virtual Security Gateway
Основные преимущества:
- расширенная совместимость со стандартами в области информационной безопасности;
- дополнительные удобства при проведении аудита виртуальных сред;
- снижение стоимости организации защиты для большинства типов виртуальных сред.
Защита от несанкционированного доступа
В данную категорию выделено два продукта, один из которых является отечественной разработкой. Данные подукты созданы для обсечения защиты от несанкционированного доступа к объектам виртуальной инфраструктуры.
vGate от компании Код безопасности
Основные преимущества:
- усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности;
- защита средств управления виртуальной инфраструктурой от несанкционированного доступа;
- мандатное управление доступом на основе меток конфиденциальности;
- защита ESX-серверов от несанкционированного доступа;
- поддержка распределенных инфраструктур;
- контроль целостности конфигурации виртуальных машин и доверенная загрузка;
- контроль доступа администраторов виртуальной инфраструктуры к файлам виртуальных машин;
- разграничение доступа ESX-серверов на запуск виртуальных машин;
- контроль целостности и доверенная загрузка ESX-серверов;
- контроль целостности и защита от несанкционированного доступа компонентов средств защиты информации (СЗИ);
- регистрация событий, связанных с информационной безопасностью;
- централизованное управление и мониторинг.
Symantec Virtualization Security Manager
Основные преимущества:
- многофакторная аутентификация для администраторов виртуальной инфраструктуры;
- автоматическое изменение прав доступа, базирующееся на местонахождении или протоколе доступа;
- защита от атак, направленных на инфраструктуру виртуализации;
- мандатное управление доступом на основе меток;
- гибкая ролевая модель управления доступом;
- многофакторный механизм подтверждения действий администратора;
- контроль и исполнение политик для соответствия рекомендациям и стандартам безопасности;
- защита от НСД для серверов ESX(i);
- расширенная регистрация событий;
- простота установки и отсутствие влияния на производительность.
Средства резервного копирования для виртуальных сред
Как и для любых других объектов информационной системы предприятия, для объектов, входящих в состав виртуальной инфраструктуры, рекомендуется создавать периодически резервные копии. При этом объекты виртуальной инфраструктуры могут достигать значительного объема, и в этом случае особенно остро возникает проблема скорости создания резервных копий, нагрузок на виртуальную среду при создании копий, а также время, которое требуется на восстановление объекта из резервной копии. Рассмотрим преимущества некоторых популярных продуктов, поддерживающих работу с виртуальными средами на базе VMware vSphere.
Acronis vmProtect
Основные преимущества:
- развёртывание продукта и начало создания резервных копий за 10 минут;
- репликация виртуальных машин на другой хост;
- восстановление элементов Microsoft Exchange;
- запуск из VMware vCenter или через веб-интерфейс.
Symantec Backup Exec
Основные преимущества:
- унифицированное резервное копирование виртуальных и физических систем;
- снижение требований к управлению и хранению для виртуальных серверов;
- резервное копирование и выборочное восстановление объектов приложений Microsoft;
- быстрое аварийное восстановление на любой аппаратной платформе.;
- простая миграция физических серверов в виртуальные машины, находящиеся в виртуальной среде.
Symantec NetBackup (в дополнении к функционалу BackupExec)
Основные преимущества:
- защита данных в разнородных системах;
- высокая степень масштабируемости;
- полное резервное копирование за время, сравнимое с инкрементальным резервным копированием;
- интеграция образов моментальных копий и репликация.
Veeam Backup & Replication
Основные преимущества:
- ускорение выполнения резервного копирования и восстановления;
- сокращение затрат времени администраторов;
- экономия финансовых затрат;
- резервное копирование на уровне образов виртуальных машин, а не файлов.
Выводы
Если в качестве основной платформы виртуальной среды предприятия используется VMware vSphere версии 5.х, а в качестве защищаемых объектов выступают виртуальные машины с установленным Windows, то рекомендуется устанавливать специализированный антивирусный продукт из набора антивирусов, поддерживающих интеграцию с VMware vShield. При использовании неподдерживаемых vShield версий Windows или при использовании других операционных систем, запускаемых на виртуальных машинах, рекомендуется использовать антивирусы класса Endpoint Protection, причём преимущество необходимо отдавать тем продуктам, которые оптимизированы для использования в виртуальных средах.
Следует обратить внимание, что оптимизация продуктов класса Endpoind Security для виртуальных сред может достигаться по-разному. Если компания ESET останавливается на нескольких несложных рекомендациях, то в продукте компании Symantec уже реализован общий кэш проверенных файлов и автоматическая рандомизация сканирований и обновлений. Наиболее перспективной в этом плане является технология так называемых лёгких агентов (Light Agents), которые лишь незначительно увеличивают нагрузку на аппаратную часть гипервизора (относительно полноценных антивирусных агентов), но позволяют реализовать в собственном агенте ту функциональность, которую невозможно реализовать в рамках технологии vShield и других предлагаемых VMware средств. Подобные лёгкие агенты уже присутствуют в продукте Trend Micro Deep Security и в ближайшее время появятся в новой версии Kaspersky Security для виртуальных сред.
Продукты других классов – системы предотвращения вторжений, сетевая защита виртуальных сред, защита от несанкционированного доступа, а также продукты для резервного копирования объектов виртуальных сред – могут использоваться при необходимости в дополнение к используемым антивирусным продуктам, т.к. их функциональность не пересекается, и продукты этих классов дополняют друг друга.
Можно заметить, что не все продукты поддерживают интеграцию с последней версией VMware vSphere 5.5. Особенно оперативное обеспечение поддержки для новых версий этой платформы критично для антивирусных продуктов, работающих через vShield Manager, ведь только версия 5.5 этой платформы обеспечивает поддержку защиты виртуальных машин, на которых установлены Windows 8 и Windows 2012 Server. Т.е. обратной стороной использования преимуществ vShield являются сразу два фактора задержки решения для защиты новых версий Windows – за счёт того, что поддержка новых версий Windows не сразу обеспечивается со стороны vShield, а новые версии vShield далеко не сразу начинают поддерживаться производителями антивирусов. Данный фактор может превратиться в сдерживающий для использования vShield в будущем, если его совместить с сократившимся циклом разработки новых версий Windows со стороны Microsoft. Вероятно, поэтому в будущем производители антивирусов сосредоточат больше усилий на использование технологий лёгкого агента и других средств оптимизации для защиты виртуальных машин с ещё не поддерживаемыми vShield версиями Windows.
Виртуальные среды также в последнее время часто соприкасаются с облачными технологиями, поэтому защитные продукты для виртуальных сред всё чаще содержат в себе поддержку и различных популярных облачных сервисов, по сути являющихся новым уровнем виртуализации. В частности, в последнее время производители программного обеспечения для защиты виртуализации проявляют большой интерес к технологии VMware NSX, позволяющей проводить виртуализацию локальных сетей по тем же принципам, как другие продукты VMware позволяют проводить виртуализацию рабочих станций и серверов. В частности, компания Symantec весной 2014 года планирует выпуск продукта с поддержкой данной технологии.
В целом, можно сказать, что спектр описанных в данном обзоре продуктов позволяет существенно повысить уровень информационной безопасности при использовании виртуальных сред и защититься от специфических для них типов угроз. А принятие стандартов по защите информации, расположенных в таких средах, позволит этот процесс упорядочить ещё больше.