Российская платформа виртуализации на базе OpenStack проходит сертификацию по требованиям ФСТЭК (Cnews, октябрь 2015)

28.10.2015
Российская платформа виртуализации на базе OpenStack проходит сертификацию по требованиям ФСТЭК (Cnews, октябрь 2015)
Парадигма обеспечения безопасности корпоративной информации всего за 2–3 года претерпела серьезные изменения, за которыми не всегда поспевают не только компании, но и вендоры. Меняется характер рисков в сфере ИБ, меняется ИТ-инфраструктура, безопасность которой необходимо обеспечивать. И привычные схемы и решения уже не всегда работают: рынок ждет новых подходов.

Основным фактором, влияющим на изменения, стал рост популярности виртуализации. Так, среднегодовой темп роста мирового рынка программных решений для виртуализации составит 14,9% с 2015 г. и далее, так что к 2020 г. объем этого сегмента в денежном выражении достигнет $2,6 млрд. По данным Forrester Research, 85% компаний либо уже внедрили виртуальные компоненты инфраструктуры, либо собираются это сделать. Среди российских компаний виртуализацию серверов используют 56% компаний, а виртуальные рабочие станции внедрены у 25%.

Логичным следствием роста интереса к виртуализации стало усиление важности правильного выбора защиты таких инфраструктур: для этого требуются как новые подходы, так и специализированные средства. Над решением вопроса работают отраслевые комитеты и ассоциации (например, Cloud Security Alliance) и регуляторы ИТ-отрасли. Однако защита виртуальной инфраструктуры все еще остается трудной задачей для большинства компаний: им не хватает специальных знаний и эффективных инструментов.

Например, согласно недавнему исследованию в области защиты данных в виртуальных средах, которое провела «Лаборатория Касперского», 42% компаний уверены, что виртуальная среда безопаснее физической. При этом 73% из почти 5,5 тыс. опрошенных компаний из 25 стран мира не используют специальные решения для защиты виртуальной инфраструктуры, а 34% – даже не представляют, какие преимущества от использования таких решений они могли бы получить.

Например, согласно недавнему исследованию в области защиты данных в виртуальных средах, которое провела «Лаборатория Касперского», 42% компаний уверены, что виртуальная среда безопаснее физической. При этом 73% из почти 5,5 тыс. опрошенных компаний из 25 стран мира не используют специальные решения для защиты виртуальной инфраструктуры, а 34% – даже не представляют, какие преимущества от использования таких решений они могли бы получить.

Но, согласно тому же исследованию, инциденты, связанные с безопасностью данных в виртуальной среде, обходятся компаниям вдвое дороже, чем аналогичные проблемы в среде физической. В среднем, представители малого и среднего бизнеса теряют на каждом инциденте около $60 тыс., а для компаний крупного бизнеса (более 1500 сотрудников) потери составляют около $800 тыс. за инцидент. В такие суммы обходится компаниям восстановление данных.

Суть вопроса

Российская действительность от описанной общемировой картины отличается незначительно: с поправкой на то обстоятельство, что отечественный рынок решений виртуализации более молод, так что путаницы, противоречий и недопонимания в вопросах защиты данных здесь возникает еще больше – так, по данным «Лаборатории Касперского», лишь 18% российских компаний приняли все меры по обеспечению информационной безопасности виртуальной инфраструктуры.

В чем, собственно, проблема? Трудностей несколько: особенности виртуальной вычислительной инфраструктуры, которые нужно учитывать; недостаточное количество универсальных решений в сфере информационной безопасности, учитывающих особенности ИТ-инфраструктур нового типа – виртуальных и гибридных. Кроме того, законодательная база в области защиты информации активно обновляется в последние годы, и это тоже необходимо учитывать при формировании требований к создаваемым решениям.

Начнем с архитектурных особенностей. С одной стороны, виртуализация сама по себе дает определенные преимущества в плане безопасности. Некоторые виды атак можно реализовать только в «физической» среде. Кроме того, проводить антивирусную проверку виртуальных машин можно даже в выключенном состоянии: это удобно. Но только лишь перенос данных в виртуальные среды проблему защиты информации не решает, для этого требуются специализированные средства. К тому же в случае заражения виртуальных систем угроза молниеносно распространяется по всей среде, поражая все доступные массивы данных.

Виртуальная модель предполагает создание и использование программного-аппаратного слоя, отдельные компоненты которого могут быть уязвимы. В виртуальной среде это в первую очередь гипервизор: получив над ним контроль, злоумышленники могут перехватывать данные вне зависимости от того, используются ли средства защиты виртуальных машин. Очевидно, что защита всей среды виртуализации должна быть разносторонней и комплексной.

Буква закона

По мере расширения использования виртуальной инфраструктуры Федеральная служба по техническому и экспортному контролю (ФСТЭК) России сформулировала требования и рекомендации к обеспечению безопасности персональных данных и данных государственных информационных систем в виртуальных средах. В случае с госсектором наличие нормативных требований создает для вендоров достаточно много трудностей в части прохождения оценки соответствия решений, одной из форм которой является сертификация.

Речь идет о вышедших в 2013 г. приказах ФСТЭК № 17 (касательно ГИС – государственных информационных систем) и № 21 (персональные данные). Само появление этих документов для рынка уже стало качественным прорывом, более того, ФСТЭК активно привлекала и привлекает для выработки таких требований экспертное сообщество и представителей рынка, что является позитивным опытом. Кроме того, ФСТЭК приняла ряд руководящих документов, которые уточняют и конкретизируют многие требования вышеупомянутых приказов. И на данный момент участники рынка информационной безопасности и сервис-провайдеры ведут большую работу по созданию решений, которые не только удовлетворяли бы всем требованиям де-юре, но и обеспечивали надежную защиту информации де-факто. И уже в этом году ФСТЭК впервые констатировала, что отечественных сертифицированных средств защиты стало больше, чем импортных: рынок вполне закономерно отреагировал на новые условия – государственный курс взят на импортозамещение.

Проблемы выбора 

За два года, прошедшие с момента появления приказов ФСТЭК, российский рынок решений для виртуализации и защиты данных не смог полностью к ним адаптироваться. Начнем с того, что существует несколько видов подтверждения соответствия, и прошли его далеко не все представленные на рынке решения. Более того, уже выданные сертификаты не бессрочны, и их обладателям вскоре придется вновь подтверждать соответствие своих разработок требованиям регулятора.

В числе представленных на рынке решений для защиты виртуальных сред можно отметить HyTrust, TrendMicro, продукты «Лаборатории Касперского», Symantec, Acronis. Напомним, что сейчас на рынке существует две ключевых платформы виртуализации, с большим отрывом лидирующие по своим функциональным возможностям и популярности: это VMware vSphere и MicrosoftHyper-V. Отметим, что ни та, ни другая не могут обеспечивать защиту данных согласно требованиям ФСТЭК для государственных информационных систем 1 и 2 класса защищенности, а также для информационных систем, обрабатывающих персональные данные субъектов, относящихся к 1 и 2 уровню защищенности: их компоненты, обеспечивающие потенциал безопасности, не прошли контроль отсутствия недекларированных возможностей.

Со специальными решениями антивирусных вендоров все еще сложнее. Как правило, они поддерживают работу только с одним из гипервизоров, ряд – только с гипервизорами определенных, не самых последних версий. Например, решение Trend Micro Deep Security может использоваться в среде виртуализации VMware и, кроме антивируса, включает в себя глубоко проработанный функционал обнаружения вторжений. Проблема только в том, что сертификат получен на версию 8.0, которая работает с vSphere версии не выше 5.0. Если у клиента используется vSphere версией выше, ему требуется Deep Security 10, которая не имеет сертификата. Получается замкнутый круг.

Приходится признать, что существует множество решений для разных задач из области защиты информации в виртуальной среде, но такого решения, которое полностью удовлетворяет и требованиям ФСТЭК, потребностям потребителей, на данный момент нет.

РУСТЭК ответит на запрос рынка

В 2015 г. «Сервионика», дочерняя компания одного из крупнейших российских ИТ-холдингов, ГК «Ай-Теко», на основе успешного собственного опыта разработок в сфере облачных технологий создала платформу виртуализации РУСТЭК. Она стала ответом на растущую потребность рынка в решении вопросов безопасности облачных инфраструктур. Система управления облачной инфраструктурой создана на открытой платформе OpenStack с доработками, внесеными специалистами компании, и находится в процессе сертификации по требованиям ФСТЭК РФ.

Особое внимание в РУСТЭК уделяется защите данных: глубоко проработанный функционал безопасности платформы позволяет свободно использовать ее как для коммерческих компаний, работающих с персональными данными, так и для государственных организаций. Разработчики РУСТЭК также сотрудничают со специалистами «Лаборатории Касперского» в области создания защитных решений, используемых с гипервизором KVM, на базе которого работает созданная «Сервионикой» платформа. Она должна компоноваться как с антивирусными продуктами, так и с межсетевыми экранами и VPN-решениями, средствами обнаружения вторжений и прочими СЗИ, создавая высокозащищенную виртуальную среду.

Развитием платформы «Сервионика» занимается совместно с новой дочерней компанией ГК «Ай-Теко» – «Ай-Теко Новые Технологии», резидентом Иннополиса в Татарстане. Им предстоит создать уникальный для российского рынка программно-аппаратный комплекс на базе оборудования Huawei и платформы РУСТЭК и конфигурированные высокопроизводительные решения, которые позволят крупным компаниям и госструктурам использовать возможности РУСТЭК в полной мере.

В качестве базы для РУСТЭК в таких комплексах будут выступать решения Huawei, в частности, аппаратная часть платформы Huawei FusionCube, которая обеспечивает высокую производительность вычислений – как заявляет вендор, она может достигать 10-кратного роста по сравнению с традиционными решениями.

Связка Huawei Fusion Cube и РУСТЭК уже задействована в крупном проекте, выполненном «Сервионикой» для государственного заказчика – одной из ключевых компаний, участвующих в формировании инфраструктуры электронного правительства в России. Перспективы использования таких программно-аппаратных комплексов на российском рынке огромны: выполняя задачи импортозамещения в ИТ, они позволят в полной мере использовать преимущества открытого кода, продолжить развитие электронного правительства на базе самых передовых технологий и разработок, снизив при этом риски информационной безопасности.

Полный текст обзорной статьи читайте на сайте Cnews

Назад к разделу "Публикации"