Хелпикс

Главная

Контакты

Случайная статья





Техническая оценка настоящего



Техническая оценка настоящего

 

В настоящее время, первоначальный скепсис по поводу использования технологии аппаратной виртуализации в области ИБ забыт, и она воспринимается как панацея, решающая все проблемы.

Крылатые слова: «я этому Интелу не доверяю», одного из бывших руководителей Центра защиты информации и специальной связи ФСБ России,немного переиначу. Применительно к аппаратной виртуализации, это будет звучать так: «я этой аппаратной виртуализации не доверяю», объясню почему.

- Аппаратура виртуализации имеет множество недокументированных возможностей, часть из них описана в конфиденциальных документах Интел и АМД, а часть не описана и там, так что реальные возможности этих систем нам до конца не известны. Пример, чтоб не быть голословным можно найти в статье «Виртуальная матрешка». Фактически мы используем аппаратуру с НДВ.

- Аппаратура виртуализации не контролирует режим Системного Менеджмента, другими словами, когда выполняется программы SМ вся аппаратура платформы и ПО лишены защиты. Режим «Дуального монитора» для виртуализации программ Системного Менеджмента не доступен, поскольку требует для своей активации доступа к аппаратуре в режиме SM. Но для нас вход в режим SM заблокирован на уровне BOOT блока БИОС. Поэтому, аппаратура виртуализации периодически деактивируется, и виртуальные машины часть времени работают в незащищенной среде.

- Программы и аппаратура АктивногоАдминистрирования (АМТ, Vpro, ВМС системы) принципиально не контролируется системой виртуализации и имеют полный доступ ко всем аппаратным и программным ресурсам платформы в любой момент времени, и даже на выключенной машине. Другими словами, имеются описанные в документации возможности скрытно и удаленно контролировать вычислительную установку со всеми ее виртуальными машинами через сетевые интерфейсы.

- Самые критические с точки зрения безопасности режим загрузки, выгрузки, сна и гибернации ОС хоста гипервизора также не контролируются гипервизорами. А это значит, что «жизненный» цикл системы виртуализации не покрывает все время функционирования вычислительной установки. Принципиально существуют временные интервалы, когда вычислительная установка работает с неактивной аппаратурой виртуализации, в полностью беззащитном режиме.

 

Так что я, «не доверяю этой аппаратной виртуализации», а вот специалисты Центра защиты информации и специальной связи ФСБ России доверяют…

Видимо они читают, что аппаратура виртуализации физически создает несколько независимых вычислительных систем, типа в одном корпусе собрано несколько разных персоналок…

Это не преувеличение, их уровень квалификации приблизительно соответствует такому пониманию специфики работы аппаратуры виртуализации. Ну а лицензиаты, хоть и понимают, что концепция нескольких изолированных вычислительных ресурсов на одной платформе это бред, но в силу коммерческого интереса всячески замалчивают эту тему.

Все это было терпимо, пока речь шла о мелочевке, типа персональных данных и коммерческих секретов. Но вот когда эта тенденция добралась до обеспечения ИБ уровня критической инфраструктуры, и обработки сведений с грифом «С» и два «С», вот тут уже стало «за державу обидно»…

 

Во всем мире принципы безопасной обработки цифровой информации одни и те же. Везде, где нужно отделить публичный контур (глобальный Интернет), от доверенного контура (локальной сети) критического объекта, используется физическая изоляция на уровне аппаратных ресурсов.

Проще говоря, на режимном объекте существуют две группы компьютеров, одна группа работает с внешним подключением к Интернету, другая работает с внутренним подключением к локальной сети объекта.

Перенос информации между этими изолированными системами строго контролируется, причем не только специальным оборудованием, но и регламентом, включающим непосредственное участие доверенного сотрудника.

 

Так было всегда, так есть везде, за исключением «банановых республик» естественно.

 

И вот, у нас, коммерсанты (а ИБ в России отдано на откуп бизнесу) начали настойчиво лоббировать схему построения защищенного периметра с использованием виртуальных машин…

Предлагается одну аппаратную платформу разбить с помощью гипервизора на две виртуальных машины. Одну виртуальную машину использовать в публичном контуре, а другую в изолированном.



  

© helpiks.su При использовании или копировании материалов прямая ссылка на сайт обязательна.