Журнал "Information Security/ Информационная безопасность" #5, 2018

Примечательно, что все сказанное выше верно как для физических ЭВМ, так и для виртуальных машин, для железа и программного обеспечения любого производителя и любой архитектуры, для любой платформы виртуализации. В последнее время наблюдается тенденция перевода все большего числа информационных систем на ОС семейства Linux – это касается как частных компаний, так и государст- венных учреждений. Причины могут быть разными, например импортозамещение и переход на отечественные дистрибутивы, снижение затрат на покупку ПО, повышение производитель- ности с уменьшением требуемых для работы ресурсов и многое другое. В любом случае операционные системы Linux все чаще используются и для рабочих мест пользователей, и для серверов, в том числе серверов виртуализации. Одним из наиболее популярных решений для виртуализации в среде Linux является программное решение KVM. Оно поз- воляет создавать виртуальные машины (ВМ) с различными гостевыми ОС (Linux, Windows) и собственным виртуальным аппаратным обеспечением: жестким диском, видеокартой, USB-контроллерами, дисплеем и т.д. KVM является открытым программным обеспечением, и тра- диционно считается, что использование таких программ повы- шает безопасность системы. Трудно, да и незачем спорить с этим утверждением. Но стоит заметить, что использование программного обеспечения с открытым кодом не отменяет необходимости принятия мер по защите информации [1]. И одной из таких мер является контроль целостности ВМ. Защита для виртуальных инфраструктур Разработанное ОКБ САПР специальное программное обес- печение "Аккорд-KVM" предназначено для применения в вир- туальных инфраструктурах, построенных на базе KVM и использующих библиотеку libvirt в качестве инструмента управ- ления гипервизором. Основными функциями данного продукта являются контроль целостности ВМ, выполняемый до их запус- ка, и управление их размещением и перемещением между серверами виртуализации. Конечно, использования одного только "Аккорд-KVM" недо- статочно для полной защиты виртуальной инфраструктуры, ее невозможно обеспечить лишь программными средствами. Необходимо применение СДЗ для физических серверов вир- туализации, СЗИ от НСД, как на гипервизорах, так и внутри ВМ для защиты их ресурсов. "Аккорд-KVM" успешно работает в связке с соответствующими средствами защиты ОКБ САПР и может использоваться в составе комплексного решения по защите виртуальной инфраструктуры. Функции защиты "Аккорд-KVM" Каждая ВМ характеризуется своим виртуальным аппаратным обеспечением (набором оборудования) и работающей на нем гостевой операционной системой со всеми ее файлами. А пото- му в "Аккорд-KVM" контроль целостности ВМ включает в себя контроль двух компонентов – конфигурации и файлов внут- ри ВМ. Контроль целостности конфигурации заключается в расчете эталонных контроль- ных сумм оборудования и его настроек и в сравнении их с текущими при каждом включении ВМ или ее миграции. Аналогично осуществляется контроль системных и пользовательских файлов внутри маши- ны. Поддерживаемые "Аккорд-KVM" файловые системы поз- воляют контролировать целостность ВМ с гостевыми ОС семейств и Windows, и Linux. "Аккорд-KVM" также обеспечивает контроль за размещением исполняемых ВМ на серверах виртуализации, что позволяет исключить смешение информации различного уровня доступа, другими словами, не допустить размещения ВМ, обрабатывающих информацию ограниченного доступа, на серверах виртуализации, предназначенных для работы с общедоступной информацией. "Аккорд-KVM" может применяться на гипервизорах с раз- личными операционными системами – Red Hat, Ubuntu, CentOS. "Аккорд-KVM" и не требует для работы дополнительных серве- ров. Это позволяет использовать "Аккорд-KVM" для защиты широкого спектра виртуальных инфраструктур, администри- руемых как с помощью консольного приложения virsh или довольно простой графической утилиты Virtual Machine Manager (virt-manager), так и в инфраструктурах, дополненных системой управления oVirt. Информационные системы, использующие виртуализацию на базе KVM, могут значительно различаться, но в любом случае необходимой мерой их защиты является обеспечение контроля целостности ВМ. Средству защиты для таких систем необходимо, но не достаточно решать эту задачу, кроме того, оно должно соответствовать всем факторам, характеризующим защищаемую виртуальную инфраструктуру: ОС гипервизоров, способам подключения хранилища, гостевым версиям ОС, системам управления и т.д. "Аккорд-KVM" обладает всеми необходимыми для такого СЗИ характеристиками, и его использования достаточно для контроля целостности ВМ в самых различных виртуальных инфраструктурах. Литература 1. Лыдин С.С. Перспективы открытых программных и аппаратных решений для корпоративных и коммерческих ЦОД // Национальный банковский журнал. – 2018. – № 9 (сентябрь). – С. 94–95. l • 33 ТЕХНОЛОГИИ www.itsec.ru Необходимо и достаточно, или контроль целостности виртуальных машин с помощью "Аккорд-KVM" еред открытием любого файла необходимо убедиться в его безопасности. Перед этим необходимо провести проверку тех программ, с помощью которых вы будете работать с файлом, и тех, с помощью которых будете эту проверку производить. А еще раньше – убедиться в безопасности операционной системы, в которой будете работать, и оборудования вашей машины – необходим контроль целостности. П Надежда Мозолина, ОКБ САПР, преподаватель кафедры “Защита информации” ФРТК МФТИ АДРЕСА И ТЕЛЕФОНЫ ОКБ САПР см. стр. 56 NM