БЕЗОПАСНОСТЬ ЧАСТНОГО ОБЛАКА НА ОСНОВЕ ТЕХНОЛОГИЙ MICROSOFT Бешков Андрей Руководитель программы информационной безопасности Microsoft
Послеобеденная кома?!!
О чем будем говорить? Какие бывают облака Основные проблемы безопасности приватных облаков Построение безопасного приватного облака
Что такое облака?
Облака сообществ Частные облака Публичные Облака Гибридные Облака Модели развертывания Сервисные модели Основные характеристики Общие характеристики Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Software as a Service (SaaS) Пулы ресурсов Доступность отовсюду Эластичность Оплата за сервис Самообслуживание Недорогое ПО Виртуализация Ориентация на сервис Безопасность Гомогенность Масштабируемость Отказоустойчивость Гео. распределенность
(On- Premises) Хранилища Сервера Сеть ОС Драйвера Виртуализация Данные Приложения Исп. файлы Вы управляете Infrastructure (as a Service) Хранилища Сервера Сеть ОС Драйвера Виртуализация Данные Приложения Исп. файлы Управляют другие Вы управляете Platform (as a Service) Управляют другие Вы управляете Хранилища Сервера Сеть ОС Драйвера Виртуализация Приложения Исп. файлы Данные Software (as a Service) Управляют другие Хранилища Сервера Сеть ОС Драйвера Виртуализация Приложения Исп. файлы Данные
Гибридные облака?
Виртуализация Частное облако предоставляет ОС и набор виртуализованных разделяемых ресурсов Наборы ресурсов создаются на основе бизнес правил с помощью ПО автоматизации Управление Вы не думаете об инфраструктуре в терминах количества вирт. машин и уровне консолидации, ОЗУ или хранилища. Думаете о размере вычислительной мощности доступной потребителю В центре внимания приложения. Наборы ресурсов создаваемые автоматически отходят на второй план
Безопасность ЦОД Microsoft Ограниченный доступ 24x7 Системы контроля доступа Видео-наблюдение Датчики движения Сигнализация событий нарушения безопасности Ограниченный доступ 24x7 Системы контроля доступа Видео-наблюдение Датчики движения Сигнализация событий нарушения безопасности Физическая безопасность мирового уровня Сертификация системы управления безопасностью ISO/IEC 27001:2005 Ежегодная аттестация SAS-70 Type II Разрешение эксплуатации по FISMA Сертификация системы управления безопасностью ISO/IEC 27001:2005 Ежегодная аттестация SAS-70 Type II Разрешение эксплуатации по FISMA Международная сертификация
Типовой виртуализированный ЦОД
Автоматическое развертывание вирт. машин Раздельное администрирование для арендаторов инфраструктуры Автоматическое развертывание юнитов масштабирования (кластерами до 16 узлов) Обновление хостов и вирт. машин без прерывания сервиса Мониторинг инфраструктуры и автоматические корректирующие действия Типовое решение облака IaaS
Логическая архитектура облака IaaS
Источник: IDC Enterprise Panel, August 2008 # КЦД = Конфиденциальность, Целостность и Доступность
TWC SDL Systems Management Active Directory Federation Services (ADFS) Identity & Access Management Certificate Lifecycle Management Information Protection Encrypting File System (EFS) BitLocker Client and Server OS Server Applications Edge Client and Server OS Server Applications Edge Forefront Protection Management Управляемая инфраструктура ключ к безопасности Services Стек безопасности технологий Microsoft
Монолитный гипервизор VMware Нет многослойной защиты Вся систем виртуализации работает на одном уровне привилегий Планировщик Управление памятью Стек системы хранения Сетевой стек Управление состоянием вирт. машин Виртуальные устройства Бинарный транслятор Драйвера устройств API управления Оборудование Кольцо -1 User Mode Kernel Mode User Mode Kernel Mode User Mode Kernel Mode Кольцо 0 Кольцо 3 Вирт. машина
Микроядерный гипервизор Hyper-V Многослойная защита Применение аппаратной защиты DEP, TPM Малый размер гипервизора Разграничение привилегий Планировщик Управление памятью Оборудование Управление состоянием вирт. машин Виртуальные устройства API управления Ring -1 Стек системы хранения Сетевой стек Драйвера User Mode Kernel Mode User Mode Kernel Mode Ring 0 Ring 3 Родительский раздел Вирт. машина
Уязвимости виртуализации The fact is, the absolute last place you want to see drivers is in the hypervisor, not only because the added abstraction layer is inevitably a big performance problem, but because hardware and drivers are by definition buggier than "generic" code that can be tested. Linus Torvalds,
Уязвимости ТОП 20 производителей ПО Источник Secunia 2011 yearly report
Атаки на стек виртуализации Родительский раздел Стек виртуализации VM Worker Processes VM Service WMI Provider Вирт. машина Ring 0: Kernel Mode Virtualization Service Clients (VSCs) EnlightenmentsVMBus Оборудование Provided by: Rest of Windows ISV Hyper-V Guest Applications OS Kernel Virtualization Service Clients (VSCs) Enlightenments Ring 3: User Mode Windows hypervisor VMBus Virtualization Service Providers (VSPs) Windows Kernel Server Core Device Drivers
Каждая ВМ получает свой собственный ресурс ОЗУ, дисков, ЦПУ, сетей Отдельный процесс обслуживания для каждой ВМ Изолированные каналы взаимодействия ВМ и родительского процесса ВМ не может влиять на другие ВМ, родительский раздел и гипервизор Взаимодействие ВМ только через родительский раздел Server core уменьшает поверхность атаки –~50% меньше обновлений Защита стека виртуализации
Ролевое управление группами хостов и ВМ Привязка ролей и групп к AD Рекомендуется создавать дополнительные роли – Комбинация из 33-х операций для каждой роли Обслуживание хоста Hyper-V Обслуживанием сетей Hyper-V Обслуживание ВМ Hyper-V
Virtual Machine Manager Единая система авторизации и идентификации Роли: Administrator Полный доступ ко всем хостам, ВМ и серверам библиотек ВМ. Delegated Administrator Административный доступ к группе хостов и серверов библиотек Self-Service User Административный доступ к ограниченному набору ВМ через веб интерфейс портала самообслуживания
Физическая сеть хоста Hyper-V Сегментация сети с помощью VLAN Раздельные физические сетевые адаптеры на хосте Hyper-V Один для управления Hyper-V (изолирован VLAN) Один или более для трафика ВМ Выделенный адаптер для сети СХД (iSCSI) Во внешние сети подключать только ВМ
Изоляция ВМ в виртуальных сетях Hyper-V
Сеть: Родительский раздел
Сеть: Вирт. коммутатор
Изоляция управляющего канала
Фильтрация сетевого трафика Использовать Windows Firewall with Advanced Security (WFAS) на хосте и ВМ Настройки межсетевого экрана распространять с помощью групповых политик Правила межсетевого экрана могут применяться через портал самообслуживания Использование IDS/IPS для обнаружения аномалий сетевого трафика и реагирования на них.
Untrusted Unmanaged/Rogue Computer Domain Isolation Active Directory Domain Controller X Server Isolation Servers with Sensitive Data HR Workstation Managed Computer X Trusted Resource Server Corporate Network Определить логические границыРаспространяем политики и данные аутентификации Управляемые системы могу работать друг с другом Блокируем входящие соединения от недоверенных клиентов Ограничение доступа к ресурсам в зависимости от доверия к системе Изоляция сегментов с помощью IPSec
Проверка здоровья клиентов, физ. хостов и ВМ Снижение риска от неавторизованных, устаревших или атакованных систем Сервера восстановления Example: Patch Карантинная сеть Клиент, сервер или ВМ СоответствуетСоответствует NPS DHCP, VPN Switch/Router Сервера политик such as: Patch, AV Корпоративная сеть Не соотвествует Network Access Protection
Развертывание виртуальных машин одной кнопкой прекрасно…. Внедрение виртуализации без управления способно принести больше вреда, чем пользы. Результатом автоматизации бардака всегда становится автоматизированный бардак!
Порталы и отчеты Сторонние решения
Event Mgmt Service Desk Asset/CMDB Configuration Virtual Security Storage Server Network ИТ задачи Процесс развертывания ВМ Monitor Service request Stop VM Update request Update request Update & close request Clone new VM Update properties Remove from Ops Manager Test VMDeploy Applications Verify Application Add to Ops Manager Create CI Retire CI Create incident Detach Storage Detach Network Adapter
Windows Server 2008 R2 AD Certificate Services Server Baseline Windows Server 2008 R2 Attack Surface Reference.xlsx Windows Server 2008 R2 DHCP Server Baseline Windows Server 2008 R2 DNS Server Baseline Windows Server 2008 R2 Domain Baseline Windows Server 2008 R2 Domain Controller Baseline Windows Server 2008 R2 Member Server Baseline Windows Server 2008 R2 File Server Baseline Windows Server 2008 R2 Hyper-V Baseline Windows Server 2008 R2 Network Access Services Server Baseline Windows Server 2008 R2 Print Server Baseline Windows Server 2008 R2 Remote Desktop Services Baseline Windows Server 2008 R2 Web Server Baseline Windows Server 2008 R2 Setting Pack Windows Server 2008 R2 Security Guide.docx Windows 7, Windows Vista, Windows XP, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Internet Explorer 8 Microsoft Office 2010, and Office 2007
Контроль приложений Applocker или SRP Запуск только разрешенных приложений на хосте Hyper-V, виртуальной машине, клиенте, Контроль по издателю, версии, хэш сумме
RMSBitLocker Шифрование директорий с данными Хранение ключей EFS на смарткарте EFS Защита данных и ОС Безопасная передача данных партнерам и клиентам Защита данных от утечек и инсайдеров Защита информации в течении всего цикла жизни Шифрование данных основных приложений Microsoft
Ресурсы Microsoft Virtualization: – Microsoft Virtualization TechCenter – Microsoft Hyper-V Security Guide – Windows Virtualization Blog Site: – Windows Server 2008 Virtualization & Consolidation: – consolidation.aspx consolidation.aspx System Center Virtual Machine Manager (SCVMM) – t.aspx t.aspx Hyper-V FAQ –
Ресурсы Virtualization Hypervisors evaluation criteria: Document.aspx?cid= Document.aspx?cid=1569 Security Best Practices for Hyper-V and Server Virtualization Virtualization Security Overview by Cisco Private Cloud Solution Hub Private Cloud IaaS Page www. microsoft.com/privatecloud
Вопросы?