Защита виртуальных сред в финансово-кредитных организациях Главный инженер

Защита виртуальных сред в финансово-кредитных организациях Главный инженер департамента системной интеграции ООО «УЦСБ» Николай Домуховский www. USSC. ru 1

Виртуализация. Хроника революции Год Оценка технологии (Gartner) Доля ВМ 2009 Виртуализация меняет подходы организации к управлению вычислительными мощностями. Пользователи и операторы ИТ услуг смотрят на виртуализацию как на технический прорыв, что порождает завышенные ожидания от технологии. 11. 5% (IDC) 19% (VMware) 2010 Хотя виртуализацию x 86 -х серверов можно назвать зрелой технологией, виртуализация как общий тренд ИТ пока, в лучшем случае, в зачаточном состоянии, она по-прежнему рассматривается как технический прорыв и порождает повышенные ожидания. 30% (Gartner) 31% (VMware) 2011 Несмотря на то, что виртуализация серверов – зрелая технология, виртуализация как общий тренд ИТ еще слишком юная, что порождает различный уровень ожиданий. 38. 9% (VIndex) 44% (VMware) 2012 Виртуализация серверов – зрелая технология. Но в целом в ИТ 59% (VMware) виртуализация еще юная, что приводит к несколько завышенным ожиданиям 09. 02. 2018 www. USSC. ru 2

Виртуализция в банках • Виртуализованная инфраструктура: – Инфраструктурные сервисы – Электронные коммуникации – Информационные системы 09. 02. 2018 • Традиционная инфраструктура: – процессинг – АБС – Скоринговые системы – Специализированные сервисы www. USSC. ru 3

Что препятствует? Цена Интеграция с унаследованными системами Риски утечки данных Потеря контроля Потеря управляемости мощностями и затратами Проблемы интеграции облачных платформ Вопросы ИБ (в целом) Риск кражи интеллектуальной собственности Требования регуляторов Источник: KPMG International’s Global cloud survey: the implementation challenge Отсутствие прозрачности и контроля над операциями с данными 09. 02. 2018 www. USSC. ru 4

Существующие рекомендации по защите платформ виртуализации • NIST SP 800 -125 «Guide to security for Full Virtualization Technologies» - январь 2011 • PCI Data Security Standard «Information Supplement PCI DSS Virtualization Guidelines» - июнь 2011 • ФСТЭК: Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (проект) – октябрь 2012 • ЦБ: О вопросах обеспечения защиты информации при использовании технологии виртуализации (доклад) - февраль 2013 09. 02. 2018 www. USSC. ru 5

Виртуализация. Новые решения – новые проблемы Разделение полномочий Новые каналы утечки информации 09. 02. 2018 Неактивные Гипервизор – новый виртуальные машины критичный объект защиты Изоляция гостевых ОС www. USSC. ru 6

Рекомендации по защите сред виртуализации (1) Группа требований Требования Разделение информационных потоков виртуальных машин • Решение о физическом разделении • Контроль изоляции средствами гипервизора • Контроль информационного обмена между ВМ Обеспечение ИБ на этапах жизненного цикла образов ВМ • • • 09. 02. 2018 Ролевой состав образов Дифференциация образом по типам АС Контроль целостности образа Контроль состава и конфигурации ПО Регламент обновления ПО Контроль внесения изменений в образ пользователем • Контроль копирования образов и ВМ • Учет образов и ВМ, а также определение порядка вывода из эксплуатации www. USSC. ru 7

Рекомендации по защите сред виртуализации (2) Группа требований Требования Обеспечение ИБ при доступе к серверным компонентам средств виртуализации • Физическая защита АРМ и консолей управления • Защищенный доступ к серверным компонентам • Регистрация и учет действий администраторов • Контроль целостности ПО серверных компонент Обеспечение ИБ ВМ • Регламентация и контроль жизненного цикла ВМ • Реализация «традиционных» механизмов ИБ • Единый уровень ИБ для всех ВМ на одном физическом сервере 09. 02. 2018 www. USSC. ru 8

Рекомендации по защите сред виртуализации (3) Группа требований Требования Мониторинг событий ИБ • Регламентация мониторинга • Реализация с помощью встроенных средств серверных компонент средств виртуализации, ОС и Ср. ЗИ Обеспечение ИБ при доступе к СХД • Логическая сегментация СХД • Контроль доступа к логическим сегментам СХД • Физическая защита АРМ и консолей управления СХД • Защищенный доступ к интерфейсам СХД 09. 02. 2018 www. USSC. ru 9

Схема защищенной виртуальной среды 09. 02. 2018 www. USSC. ru 10

Safe. Net Protect-V Защищенный виртуальный жесткий диск Protect-V Manager Виртуальная машина с ПО Protect-V Client Администратор ВМ Система управления ключами Key. Secure/Data. Secure 09. 02. 2018 www. USSC. ru 11

Выводы • Тенденции говорят о достижении 75% доли виртуальных машин к 2015 году • Несмотря на новизну технологии, вопросы ИБ изучены достаточно хорошо • Рынок Ср. ЗИ готов обеспечить необходимыми средствами системы защиты сред виртуализации 09. 02. 2018 www. USSC. ru 12

Защита виртуальных сред в финансово-кредитных организациях Спасибо за внимание! Николай Домуховский Главный инженер департамента системной интеграции ООО «УЦСБ» 620026, Екатеринбург, ул. Красноармейская, д. 78 Б, оф. 902 Тел. : +7 (343) 379 -98 -34 Факс: +7 (343) 264 -19 -53 info@ussc. ru www. USSC. ru 09. 02. 2018 www. USSC. ru 13