пятница, 7 мая 2010 г.

Хоть что-то конкретное про безопасность ВМ

Виртуальные машины и безопасность:

Смотрю везде стали подниматься вопросы VM безопасности. Делюсь своим хендмейд решением, которое позволяет не бояться незаметной кражи образа виртуальной машины.
Итак,имеем в наличии:
-- ESXi сервер 1 шт.
-- Виртуальная машина x шт. (ос имеет значение, об этом далее)
Нужно:
--свести к нулю пользу от возможной кражи виртуальной машины.
Решение вопроса:
....

19 комментариев:

  1. А ничего, что труе крипт и иже с ним сертификации в ФСБ не имеет и посему его нельзя в производственной среде использовать?

    ОтветитьУдалить
  2. Тут или шашечки или ехать.
    Сертифицированные решения есть, но они платны, только под винду, и не умеют шифровать системный диск. :)

    ОтветитьУдалить
  3. >его нельзя в производственной среде использовать?

    Только в гос. учреждениях.

    ОтветитьУдалить
  4. Информзащита разрабатывала какую-то систему безопасности для VMWare, при этом они, насколько я знаю, сертифицировали её.

    ОтветитьУдалить
  5. "Код безопасности" - это защита совсем другого уровня, и сертифицировали они ее для соотв. закону о персональных данных.

    ОтветитьУдалить
  6. Интересно как картина IOPS меняется

    ОтветитьУдалить
  7. Антон, не соглашусь.
    1. Cертификат vGate подтверждает соответствие требованиям руководящих документов в части защиты от несанкционированного доступа по 5 уровню защищенности (СВТ 5) и контроля отсутствия недекларированных возможностей по 4 уровню контроля (НДВ 4).
    Речи о каком-то "другом уровне" вовсе не идет. Эти характеристики позволяют, как одну из возможностей использования, использовать решение для информационных систем персональных данных до класса К1.
    2. Если ресурсы попадают под 152 ФЗ, то это требование распространяется не только на государственные учреждения.

    ОтветитьУдалить
  8. arsenyspb>Интересно как картина IOPS меняется

    Кто мешает проверить? :)

    Вообще спасибо Михаилу - тема хоть и не новая, но в интересном разрезе (впору ветку создавать на руссишгруппенфоруме Вари, бо в формате комментов блога оттянуться не удастся - утонет пост быстро). Могу лишь отметить, что дисковое криптование пригодно не только для защиты данных от компрометации при краже VM`ки (так же как до этого правильные пацаны шифровали быкапы) - оно так же убережёт от компрометации собственно "рабочий" (активный) набор данных на самих боевых серверах.

    За себя могу сказать - ТС продукт неплохой, использовал его на платформах Вин и Мак (и слегка - на лине). На физмашинах современного класса (C2D, C2Q) трансфер на крипторазделах теряет не более 10-15% на массированных дисковых операциях (копирование больших объёмов данных) - скажем, "чистый" трансфер на терабайтной Барракуде с примерно 90-100МБ/с падает до 75-80МБ/с на Барракуде, криптованной ТС (AES). Загрузка проца при этом не превышает 20% на одном из ядер. IOPS`ы пока не мерил (не успел). Также имею одну VM`ку с XP в роли лёгкого SQL-сервера (MySQL), полностью зашифрованную ТС - замеров не делал, но со своими задачами она справляется не хуже, чем было до криптования.

    По поводу обсуждаемой заметки...
    Всё написано правильно, но варианты защиты инфы далеко не исчерпываются описанной схемой. Например, если СХД позволяет, можно закриптовать его volume, положить на него чувствительную инфу и отдать по NFS в распоряжение VM`ки (лежащей на соседнем volume, можно и некриптованном). Тогда спёртая VM`ка, будучи запущенной во вражеском логове, не увидит штатного NFS-ресурса и лежащих на нём данных.
    Если СХД есть "чОрный ящик" от крутого вендора, не позволяющий поставить на себя ТС, то можно отдать её LUN как iSCSI нашей VM`ке, закриптовать полученный "диск" и положить на него данные - при таком раскладе можно даже не использовать описанное в статье FDE (тогда решается проблема автостарта): достаточно сделать автомонтирование криптотома iSCSI в стартующей VM`ке с привязкой к своей сети (точнее, её доверенному ресурсу) - тогда опять же спёртая VM`ка будет долго и безуспешно искать криптотом iSCSI в чужой сети.

    Maria Sidorova>
    Антон, не соглашусь.
    ...
    2. Если ресурсы попадают под 152 ФЗ, то это требование распространяется не только на государственные учреждения.

    Мария, Вы, конечно, формально правы, но ФЗ №152 - "мёртвый закон" (мёртвый во многих смыслах). Я понимаю, что в дискуссиях о нём Вы играете на своём поле (и я Вам не соперник), но длительный мониторинг ресурсов по ПДн укрепил меня в мысли, что или этот "закон" сожрёт всё, до чего дотянется, или сам будет сожран (как вариант - выхолощен).
    Мне близка точка зрения коллег из области ИБ о том, что в разрезе ФЗ 152 голова у нас болит не столько как защитить данные, сколько как защититься от регуляторов. Соответственно мы, технари, будем защищать данные, а наши коллеги-юристы пусть думают, как при таких раскладах защищаться от регуляторов. :)

    С уважением,
    Umlyaut.

    ОтветитьУдалить
  9. Про 152 ФЗ - насколько я помню, он напрямую не требует ГОСТ-шифрования. его требуют другие документы с ним связанные.
    С другой стороны: Скажите, кто-нибудь из вас собирается шифровать критичные для бизнеса данные ГОСТом?

    ОтветитьУдалить
  10. Мария, с чем не согласишься-то?
    vGate работает на приниципиально другом уровне, чем TrueCrypt.
    TrueCrypt использует не ГОСТовые алгоритмы, и поэтому его нельзя применять в гос. учреждениях.

    ОтветитьУдалить
  11. Использовали систему шифрования дисков Ultimaco SafeGuard. Сама виртуальная машина с Windows 2003, SQL2005, 1Cv8.
    Было запущено тестовая задача обработки в 1С примерно на пол часа времени. Разница с зашифрованным диском и не зашифрованным - в 1% времени.
    ЗЫ. синтетические IOPSы не интересуют, т.к. не отображают реальной картины. Не забываете, что впереди паровоза идет бизнес, со своими реальными требованиями, а только уж потом ИТ со своими попугаями...

    ОтветитьУдалить
  12. Pumpkin>синтетические IOPSы не интересуют, т.к. не отображают реальной картины. Не забываете, что впереди паровоза идет бизнес, со своими реальными требованиями, а только уж потом ИТ со своими попугаями...

    Хм-ммм... интересно, это Ваша реальная позиция (читай - убеждённость), или фронда?
    Если говорит о "реальных требованиях бизнеса" в контексте виртуализации (а иначе для чего мы тут все собрались? :) ), то IOPSы есть более чем реальный показатель (не)готовности системы к выполнению поставленной перед ними задачи.
    (BTW, я подозреваю, что под "синтетичностью" Вы могли подразумевать... н-ну-у-ууу... скажем, некоторую неочевидность для беглого взгляда полезности именно данного метода оценки производительности - не мне Вас за это судить; в конце концов, я и сам долгое время ориентировался в основном на те тесты, что давали результат в виде "стандартного" трансфера (в ?B/s).

    Насчёт Utimaco (кстати, без буквы "L", если что :))...
    Я некоторое время работал с этим продуктом (равно как и с PGP (очень давно), BestCrypt (давно), DriveCrypt/DCPP недавно) и ТrueСrypt (сейчас)).
    Плохого про него не скажу, однако его чисто виндовая направленность ограничивает области применения (в основном, ноутами и одиночными компами ряда категорий пользователей) - в этом плане TC гораздо гибче.

    С уважением,
    Umlyaut.

    ОтветитьУдалить
  13. 2 Антон,
    truecrypt - opensource. Ничто не мешает встроить туда гостовые алгоритмы. Даже больше есть приватные кастомные сборки с гостом. Но... любой продукт с шифрованием для продажи на территории россии требует сертификации, те затрат денег...
    Поэтому пока не будет рынка - небудет поделок с гостовыми алгоритмами.
    2 любителям упоминать ФЗ152 - этот закон говорит - все обязаны защищать данные. А что конкретно и как защищать говорят регламентирующие документы от ФСТЭК и ФСБ - уже более двух десятков документов...

    ОтветитьУдалить
  14. Просто скорее всего имеется в виду, что иопсы могут быть несколько абстрактны для некоторых людей. Однажды я около недели занимался тестированием производительности специфического окружения. За эталон была взята виртуальная машина с развернутой тестовой средой, в которой скрипт выполнял определенные действия и сообщал время выполнения. Затем эта виртуалка разворачивалась на различных рейд массивах\контроллерах\дисках SAS\SATA. Результаты получились интересные, возможно стоит описать весь процесс отдельно с подробными комментариями.

    ОтветитьУдалить
  15. Пытался пользоваться TC, убило отсутствие поддержки Volume Shadow Copy Service на зашифрованных разделах (http://www.truecrypt.org/docs/?s=issues-and-limitations).

    ОтветитьУдалить
  16. Кирилл, IOPS - единственный измеримый показатель производительности. Просто потому что скорость работы 1С может отличаться на одной и той же железке на порядок. И более того, я встречал упоминания как волшебный пин... мотивация разработчика 1С пересмотреть подход к написанию скриптов приводит к многократному росту производительности (снижению времени исполнения скрипта).

    ОтветитьУдалить
  17. Анонимныйсреда, 12 мая, 2010

    Ethril>Пытался пользоваться TC, убило отсутствие поддержки Volume Shadow Copy Service на зашифрованных разделах

    Ну, там не полное отсутствие - поддержка VSCS декларируется только для разделов, расположенных на СИСТЕМНОМ диске (харде - не разделе!):
    ===
    The Windows Volume Shadow Copy Service is currently supported ONLY for partitions within the key scope of system encryption (for example, a system partition encrypted by TrueCrypt or a non-system partition located on a system drive encrypted by TrueCrypt).
    ===

    Лично я не использую данную фичу винды за ненадобностью (даже и без шифрования), посему могу понять Ваше огорчение, но не разделить его... :)

    С уважением,
    Umlyaut.

    ОтветитьУдалить
  18. >>Кирилл, IOPS
    Я это отлично понимаю, я лишь говорю о том, что при определенных условиях можно отойти от IOPS и использовать более наглядные показатели. Почему бы и нет, если это приводит к желаемому результату? :)

    ОтветитьУдалить
  19. C IOPs под truecrypt все будет грустно, ибо работа с диском всегда будет в один поток.
    С DiskCryptor все гораздо бодрее.

    ОтветитьУдалить