Як підвищити безпеку Windows Server 2016 з 5nine Cloud Security.
Автор: 5nine
Дата: 19/01/2017

В останні роки компанія 5nine Software , Брала участь у багатьох проектах, в яких клієнти будували свою віртуальну інфраструктуру на платформі Windows Server, починаючи від версії 2008 до 2016. Це були, як правило, проекти великих компаній з підвищеними вимогами до безпеки. Не секрет, що останнім часом інциденти ІБ в великих компаніях і державних організаціях стали регулярними. В умовах, коли користувачі втрачають конфіденційну інформацію і великі кошти, такі вимоги виглядають розумними. Чому ж почастішали інциденти ІБ і як можна підвищити безпеку своєї інфраструктури з нової серверної ОС Microsoft?

Віртуалізація вже давно стала традиційною частиною інфраструктурних рішень. Безумовно, можливості гіпервізора істотно розширилися, трансформуючись в приватні і гібридні хмари, внаслідок чого інфраструктура клієнтів стала більш гнучкою і динамічною, що відповідає сучасним умовам ведення бізнесу - потрібно швидко створювати і обслуговувати нові сервіси і віртуальних машини в їх складі, підтримувати кілька кластерів або ЦОД з міграцією і балансуванням ВМ між ними.

Але, тим не менш, клієнти часто використовують у віртуальному середовищі застарілі технології end-point security з установкою агентів в ВМ і ізоляції за допомогою VLAN. Ці технології додають уразливості, пов'язані з можливістю блокування або видалення агента в ВМ, споживає дефіцитні ресурси обладнання, ускладнюють адміністрування віртуалізованих ЦОД великих компаній.
Що ж пропонують для вирішення цих проблем Microsoft і його технологічні партнери?

По-перше, для захисту від «ефекту Сноудена» в Windows Server 2016 з'явилася технологія Shielded VM, яка дозволяє шифрувати диск ВМ з інфраструктури гостьових операційних систем, захищаючи його від копіювання та перегляду адміністратором хоста. Істотно збільшити безпеку інфраструктури ЦОД допоможе використання Nano Server, нової версії ОС, в якій відсутній графічний інтерфейс GUI і істотно знижена площа атаки шляхом мінімізації набору ролей, як результат - в 3 рази менше портів і в 10 разів менше критичних оновлень. Ще одне нововведення - захист компонентів, що відповідають за цілісність ядра ОС, паролів та інших важливих системних даних за допомогою окремого контейнера Hyper-V - Virtual Security Module (VSM). Все це істотно збільшує захищеність нової ОС і інфраструктури користувача.

Але разом з цим, ряд важливих функцій безпеки і відповідності законодавству в ній відсутні, тому що вони не є характерними для серверної ОС і повинні бути реалізовані сторонніми рішеннями. Microsoft істотно полегшив реалізацію цих функцій давши доступ кільком технологічним партнерам до комутатора Hyper-V. Розширюваний віртуальний комутатор Hyper-V дає можливість ізоляції користувачів ВМ, управління всім трафіком всередині віртуального середовища, захисту ВМ від шкідливих атак.

Завдяки вбудованій підтримці драйверів-фільтрів NDIS і драйверів зовнішнього виклику фільтрування пакетів Windows, віртуальний комутатор Hyper-V дозволяє незалежним розробникам програмних продуктів (ISV) створювати розширення віртуального комутатора, які збільшують безпеку ВМ і мереж.

Компанія 5nine Software є одним з ключових вендорів, з яким Microsoft співпрацює з розробки засобів захисту і управління Hyper-V c 2009 року. Остання версія програми 5nine Cloud Security була представлена ​​на щорічній конференції Ignite, одночасно з Windows Server 2016.

5nine Cloud Security інтегровано в віртуальний комутатор і є єдиним безагентним рішенням для забезпечення безпеки Hyper-V Server. Він контролює мережевий трафік між віртуальними машинами, ізолює окремі ВМ і групи, виявляє шкідливі атаки на рівні додатків, здійснює швидке антивірусне сканування і блокування загроз, підвищуючи безпеку віртуального середовища.

Основною відмінністю від інших СЗІ є безагентная архітектура рішення, що дозволяє не встановлювати програмне забезпечення в гостьову операційну систему, аналізуючи і керуючи трафіком на рівні віртуального комутатора.

Установка Cloud Security досить проста і може бути без проблем виконана адміністратором Windows Server зі знаннями, еквівалентними кваліфікації MCSA, на відміну від аналогічних рішень інших вендорів, значно складніших, дорогих і вимагають набагато більше зусиль і кваліфікації.

Для запуску програми потрібно встановити три основних компоненти:

• Керуюча служба (Management Service) - встановлюється в гостьовому або батьківському розділі, які будуть визначені як керуючі сервери для всієї інфраструктури Hyper-V. Можлива установка декількох керуючих серверів, які забезпечують функцію аварійного відновлення,
• Керована служба (HostManagementService) - встановлюється на кожному защищаемом сервері,
• Консоль управління (ManagementConsole) - встановлюється на кожному робочому місці, використовуваному для управління і контролю застосування правил системи безпеки.

Рішення також може бути інтегровано з System Center Virtual Machine Manager шляхом встановлення безкоштовного плагіна, що дозволяє управляти інфраструктурою ЦОД і безпекою віртуалізації з єдиної консолі.

Розширення для Azure Pack дає можливість управління функціями Cloud Security з порталу самообслуговування, що дозволяє хостинговим компаніям розгорнути нову послугу «Безпека як сервіс» (SECaaS).

У продукті реалізована рольова модель управління безпекою. Доступні три ролі: адміністратор інформаційної безпеки, ІТ-адміністратор і аудитор.

З власної консолі або SCVMM адміністратор може досить просто налаштувати політики безпеки віртуального мережевого доступу, в т.ч. за допомогою шаблонів. Підтримуються віртуальні машини як під управлінням Windows, так і Linux. Ізолювати можна як окремі ВМ, так і їх групи, завдяки підтримці мультітенантності. Доступна функція захисту самого батьківського розділу сервера Hyper-V, в тому числі антивірусна.

За допомогою функцій брандмауера можна реалізувати наступну функціональність:

• Фільтрація по MAC-адресу
• підтримка ARP
• Фільтрація трафіку з застосуванням SPI (Stateful Packet Inspection) і DPI (Deep Packet Inspection)
• Аналіз аномалій мережевого трафіку
• Управління вхідної та вихідної смугою пропускання для кожної віртуальної машини.
• Фільтрація MAC-мовлення
• Журнал роботи відфільтрованих події безпеки (в т.ч. антивіруса і IDS) з можливістю експорту в формати SYSLOG і SIEM SPLUNK
• Підтримка технології віртуалізації мережі NVGRE
• Управління доступом до віртуальної машини за розкладом

Антивірусний сервіс використовує за вибором один з трьох двигунів і баз сигнатур (Лабораторія Касперського, Bitdefender або Threat Track), проте механізм сканування принципово інший, ніж у самих антивірусних вендорів. Завдяки функціонуванню на рівні гипервизора, антивірусне сканування можливо без установки агента в ВМ, що підвищує їх захищеність, тому що адміністратор гостьовий операційної системи не може відключити антивірус.

Використання технології інкрементального сканування збільшує його швидкість до 70 разів, при цьому навантаження на хост падає до 30%. Ця технологія в поєднанні з налаштуванням кількості сканованих ВМ, дозволяє гнучко управляти ресурсами хостів і уникнути «антивірусного шторму». Також є антивірусне сканування мережевого трафіку і опція активного захисту віртуальної машини, при якому скануються не тільки диски, але і оперативна пам'ять гостьового розділу.

Бази сигнатур антивірусів і IDS можуть оновлюватися централізовано для всієї інфраструктури Hyper-V через локальний проксі-сервер, дозволяючи ізолювати хости від публічних мереж з одночасним їх розміщенням всередині ЦОД для мінімізації вразливості батьківських розділів від зовнішньої атаки. В інтерфейсі антивірусного сервісу доступні настройки режимів сканування, розкладу і винятків для типів файлів, і папок.

Система виявлення вторгнень (IDS) аналізує весь трафік усередині віртуального комутатора Hyper-V, використовуючи технологію Cisco Snort for Business для перевірки аномалій пакетів, які можуть бути потенційними атаками. На відміну від аналогічних рішень інших вендорів, можливе виявлення атак не тільки in-out, але і всередині віртуального середовища з однієї ВМ на іншу.

Такий сценарій атаки став все більш поширений як в віртуалізованих ЦОД хостинг-провайдерів, так і у великих компаніях, де одна захоплена ВМ стає центром атаки всередині контуру захисту. Для виявлення атак використовується не тільки сигнатурний, але і евристичний метод. СОВ визначає модель вашого нормального робочого трафіку протягом дня. Потім постійно відстежує його профіль і при наявності відхилень або аномалій, негайно повідомляє про можливість нападу.

Для великих компаній буде цікава можливість міграції політик безпеки в розподілених ЦОД. Якщо у вас є кілька ЦОД або філій, які не мають прямих каналів зв'язку, ви все одно можете синхронізувати налаштування 5nine Cloud Security між ними, підтримуючи міграцію ВМ, відмовостійкість і безпеку бізнесу в разі аварій. Проста інтеграція продукту в System Center VMM дозволяє об'єднати в рамках єдиного рішення управління ІТ інфраструктурою і інформаційною безпекою підприємства.

Це спрощує і здешевлює вартість володіння Microsoft Cloud у власному ЦОД і дозволяє контролювати і управляти безпекою інфраструктури в хмарі хостинг-провайдера, побудованому на технології Cloud OS. Зараз такі хмари надають всі провідні провайдери в Росії і в світі: ActiveCloud, Dataline, Ростелеком і т.д.

Наявність всіх систем захисту: брандмауера, антивіруса, IDS, логування подій безпеки і рольової моделі доступу дозволяє користувачам екосистеми Windows Server виконати вимоги регуляторів: 152-ФЗ «Про персональних даних», наказів №17 і №21 ФСТЕК, стандарту PCI-DSS і інших.

5nine Cloud Security - легко встановлюється засіб захисту віртуального середовища Hyper-V, яке просто інтегрується в засоби управління Microsoft. Налаштування займає небагато часу і інтуїтивно зрозуміла. Основна перевага - високий рівень захисту на рівні гипервизора при низькому навантаженні на ресурси хостів. Тестування продуктивності системи при всіх включених сервісах 5nine Cloud Security, показує додаткове навантаження в межах 3-4%.

Подібні продукти інших вендорів при тестуванні показують деградацію такого параметра, як ширина пропуску віртуальної мережі до 50%. Крім того, при тестуванні цих продуктів з'ясовується, що в разі падіння керуючого сервісу на базі ВМ, пропадають важливі мережеві настройки і мережа стає практично не працездатна. При відключенні ВМ з керуючим сервісом 5nine, всі налаштування зберігаються і Cloud Security продовжує здійснювати безперебійну захист віртуальної інфраструктури.

Для великих компаній з відповідальними ІС передбачений відмовостійкий режим роботи захисту з кластерізованний керуючим сервісом і Recovery Action для перезапуску при падінні.

Функція Розподілених серверів управління дозволяє оптимізувати продуктивність керуючих сервісів 5nine Cloud Security для великих проектів і підвищити їх масштабованість. Нова технологія забезпечує одночасну роботу кількох керуючих сервісів, застосування і зміна правил і налаштувань безпеки ЦОД. Це також збільшує відмовостійкість і високу доступність сервісів 5nine, що забезпечують комплексну безпеку віртуальної інфраструктури зі складною топологією, в тому числі територіально розподіленою.

Адміністратори, виходячи з архітектури ЦОД, зможуть запускати кілька серверів управління в безпосередній близькості від керованих ресурсів для прискорення поширення нових налаштувань безпеки і зміни існуючих. Ці настройки розподілені і синхронізовані між усіма керуючими сервісами для гнучкості конфігурації. Якщо сервіс управління стає недоступними, група хостів перемикається на найближчий працездатний. Адміністратор може призначити кожній групі хостів певний керуючий сервіс з наявних у списку. Після настройки хости будуть обмінюватися даними з призначеним сервісом для отримання повідомлень, конфігурацій і балок.

Всі ці функції 5nine Cloud Security дозволяють клієнтам надійно захистити віртуальну інфраструктуру Windows Server будь-якого розміру і складності без втрати продуктивності і простоти управління, а також виконати жорсткі вимоги законодавства РФ і міжнародних стандартів ІБ.

Більш ніж для 100 тисяч клієнтів по всьому світу вже вибрали рішення 5nine Software для захисту і управління хмарами Microsoft. За свої унікальні можливості 5nine Cloud Security обраний виданням Cyber ​​Defense Magazine найкращим рішенням 2016 року в категорії Data Center Security.

Протестувати 5nine Cloud Security можна встановивши версію з сайту або в віртуальної лабораторії .