Безопасность виртуализации и облаков. Что мы имеем на сегодняшний день?

Недавно посетил небольшое мероприятие, где центральными темами были «облака» и виртуализация. Организаторами выступали поставщики решений по виртуализации, а среди присутствующих около 50% безопасники, поэтому диссонанс был налицо. Аудиторию беспокоили вопросы безопасности, а доклады, в основном, были про целесообразность перехода в облако с точки зрения бизнеса.

Суть же моего доклада сводилась к тому, что виртуализация и облака с точки зрения безопасности принципиально иные среды, нежели физические. Поэтому для «эффективной секьюрности» нужно применять иные продукты, чем те к которым мы привыкли.

Например, в виртуальных средах появляются следующие проблемы:

1) «антивирусный шторм». Отказ хоста из-за нехватки ресурсов (н-р, оперативной памяти) при одновременном запуске агентских антивирусов на разных виртуальных машинах в пределах хоста.
2) «включение спящих машин». Когда часть машин в хосте были продолжительное время неактивными и в дальнейшем запускаются с устаревшими системами безопасности.
3) различные информационные активы в пределах хоста, что само по себе не очень хорошо…
4) и т.д.

Видя эти и другие проблемы вендоры ИБ принялись за адаптацию своих продуктов к условиям новых сред.

Кто-то принялся разрабатывать продукты с нуля, кто-то занялся переработкой существующих решений. Дальше всех продвинулись Trend Micro, McAfee и, по слухам, Symantec.

Вот короткая презентация от McAfee про их Cloud Security Platform:

Понятно, что McAfee в большей степени сосредоточились на предоставлении безопасного доступа к облачным сервисам.

Trend Micro сосредоточились на защите серверов. Для этого свою платформу Deep Security они глубоко интегрировали  с VMware и отказались от агентов.

В рамках виртуальной фермы появляется сервер безопасности, который мониторит все виртуальные машины в пределах хоста в безагентском режиме. В этом и заключается новизна подхода, мы переходим от агентов в рамках отдельных виртуальных машин к единой платформе на весь хост. Эта платформа может также сосуществовать с другими сторонними решениями, вроде vGate.

А вообще по-настоящему специализированных решений для обеспечения безопасности виртуализации и облаков не так-то много, если не сказать — почти нет.

В результате приходим к идее, что мы сейчас находимся в самом начале пути формирования нового класса решений по безопасности, которые нацелены на обеспечение ИБ в виртуальных и облачных средах. Причем, то, что мы видим сейчас, это скорее «заплатки», которые решают конкретные задачи. Однако в ближайшей перспективе с ростом популярности и развитием виртуальных и облачных инфраструктур, обязательно получат развитие и соответствующие решения по безопасности. Уже сейчас на профильных западных мероприятиях по ИБ, «защите облаков» уделяется не менее половины всего времени. У нас, как всегда, есть небольшое отставание в том числе и на фоне регулирования.

Посмотрим, чем нас удивят разработчики в ближайшее время, а главное, как они смогут сертифицировать свои решения 😉 в суровых российских условиях.

Иран отключают от SWIFT’а

С завтрашнего дня крупнейшая система международных финансовых платежей SWIFT отключает иранские банки от своей системы.

Новость для иранской банковской системы неприятная, но катастрофы не случится. Платежи не остановятся, а пойдут по другим каналам. Ситуация похожа на эмбарго нефти. Любые эмбарго нефти приводят лишь к незначительному сокращению поставок, основная часть нефти переводится на посредников, что в свою очередь увеличивает издержки и еще непонятно кто от этого больше проигрывает, продавец или покупатель.

Таже ситуация и тут, непонятно кто больше потеряет из-за отключения SWIFT’а. Ведь Иран это совсем не «банановая республика», это сильное развивающееся государство с бурно растущей экономикой. Причем больше всего впечатляет диверсификация экономики и темпы роста наукоемких отраслей. Например, по уровню развития инноваций Иран уже сейчас занимает 27 место, а по индексу экономики знаний 34-е, и все это за 4 пятилетки! Кому интересно предлагаю сравнить экономики Ирана и России, большинство читателей удивится (лично я, когда сравнивал в первый раз, удивился 😉 ) .

Возможности Китая в проведении киберопераций и шпионаже. Как это видит Конгресс США?

По теме информационной безопасности все чаще появляются разного рода отчеты от общественных и правительственных организаций по всему миру.

1) Вот недавно Руслан Пермяков писал про весьма странный документ, опубликованный от имени The United Nations Institute for Disarmament Research (UNIDIR) (являющейся независимым институтом Организации Объединенных Наций и базирующейся в Швейцарии). Однако разработан этот документ был The Center for Strategic and International Studies (CSIS) некой некоммерческой организацией со штаб-квартирой в Вашингтоне. Эта организация имеет в своем штате более 220 сотрудников, и обладает сетью дочерних организаций, которые специализируется на вопросах международной безопасности. Странная ситуация с этими общественными организациями, одна пишет документ, другая публикует. Также забавным выглядит дисклеймер к документу, который гласит:

«Мнения, выраженные в этой публикации, является предметом ответственности автора. Они не обязательно отражают взгляды или мнение Организации Объединенных Наций, UNIDIR, его сотрудников или спонсоров».

Может мне этот дисклеймер его у себя в блоге без изменений вписать 😉 …

Не смотря на путаницу с разработчиками документа и выгодоприобретателями, в данном случае это не важно, т.к. содержание документа носит скорее справочный характер и выводов документ не содержит. Одним словом документ почти бессмысленный.

2) Другое дело свежий документ Occupying the Information High Ground: Chinese Capabilities for Computer Network Operations and Cyber Espionage, который разработали в The U.S.-China Economic and Security Review Commission, что можно вольно перевести, как Комиссия по американо-китайским отношениям в области экономики и безопасности. Документ был опубликован 7 марта, а соответствующий релиз вышел 8 марта.

Необходимо сказать пару слов про организацию-разработчика документа — The U.S.-China Economic and Security Review Commission. Эта организация была создана Конгрессом США в 2000-м году и получила полномочия вести мониторинг и расследовать, со стороны Конгресса США, различные аспекты торгово-экономических и военных взаимоотношений с Китаем. Организация обязана предоставлять регуляторные доклады Конгрессу США, а также имеет возможность вырабатывать рекомендации по изменению законодательных и административных мер, влияющих на отношения между двумя странами.

Вообще в США сотни аналогичных организаций, которые создаются различными государственными структурами для сбора информации, ее анализа и выработки рекомендаций на ее основе (некий аналог наших консультационных советов, межведомственных комиссий и т.п.), только у американских аналогов есть свои сайты 😉 .

В данном случае был проведен анализ киберпотенциала Китая с точки зрения появления потенциальных угроз для США.

Среди основных выводов:

  • Китайский киберпотенциал вырос достаточно, чтобы представлять серьезную угрозу для военных операций США в случае возникновения конфликта;
  • Китайские коммерческие фирмы с иностранным капиталом обладают современными технологиями, и предоставляют доступ к ним Народно-освободительной армии Китая (НОАК).
  • Китайские военные в тесной связи с крупными китайскими технологичными компаниями сознательно «подсаживают» американских военных, государственные и частные компании на свое оборудование и комплектующие, которые используются в критически важной американской инфраструктуре.

С первым пунктом все понятно, т.к. киберпространство рассматривается военными как поддерживающий основные войска элемент. Что касается второго пункта, то если раньше Китай воспринимался больше как сборочный цех всего мира, то сейчас на территории Китая ведется не только сборка, но и разработка технологичной продукции. А про «подсаженных» американских военных… что ж привыкайте, мы уже привыкли…

Далее в докладе утверждается, что киберпотенциал Китая направлен против оборонительных систем США, в частности дается интересная аббревиатура C4ISR (Command, Control, Communications, Computers, Intelligence, Surveillance and Reconnaissance). Очевидно, за ней скрываются, в первую очередь, командные центры. Также в докладе указывается, что в США не существует плана реагирования на случай широкомасштабного нападения на военные и гражданские сети, и Китай может затормозить такой атакой принятие решений военного командования.

Немалую роль в растущем киберпотенциале Китая, играет академический и коммерческий ресурс. Крупнейшие университеты и ИТ-компании сотрудничают с НОАК (непонятно почему везде указан НОАК, в Китае есть спецслужбы, которые также занимаются этими вопросами). Китайское правительство финансирует программы исследований, связанные с ведением кибервойны, в гражданских и военных университетах. ИТ-компании Китая разрабатывают технологии двойного назначения. И все это на фоне активного притока западных технологий.

P.S. В докладе нет и слова про Россию, и дело, как мне кажется, не только в том, что доклад о взаимоотношениях США и Китая, просто мы не участвуем в цепочках поставок и трансфере технологий. В перечнях технологичных компаний, которые регулярно появляются в документе, нет ни одной российской… есть корейцы, японцы, американцы, европейцы, а «русских» нет… Как подтверждение моих слов — вот как разработчики документа видят глобальную цепочку поставок:

Качество картинки плохое, но смысл понятен.