Еще раз о VMsafe или революция, которая прошла почти незаметно
Уже более 2 лет прошло с того момента как компания VMware анонсировала технологию VMsafe, главным идеологом которой является один из основателей компании — Мендель Розенблюм. Реализацию VMsafe мы смогли увидеть только, в появившейся в мае — VMware vSphere.
О технологии
VMsafe – технология, позволяющая сторонним разработчикам получить доступ к гипервизору VMware и фактически представляющая собой набор API интерфейсов.
Устанавливать дополнительно к vSphere VMsafe не нужно, эти интерфейсы доступны по умолчанию, использовать этот набор API могут только виртуальные машины управляемые решением по информационной безопасности (партнером программы «Сертифицировано VMware на использование технологии VMsafe» или решениями самой VMware). Появление этой технологии позволило VMware, не проходя самостоятельного пути по созданию комплекса средств защиты, привлечь к обеспечению информационной безопасности инфраструктур виртуализации построенных на VMWare vSphere лидеров рынка информационной безопасности.
Преимущества использования технологии
Согласно официальной информации компании VMware, преимущества решений c использованием технологии VMSafe включают:
- Better Security
- Better isolation
- Better correlation.
- Better enforcement across the infrastructure.
- Better scalability.
Улучшенные возможности по обеспечению безопасности, появление новых возможностей мониторинга инфраструктуры не имеющих аналогов в физической инфраструктуре.
Улучшение изоляции гостевых операционных систем.
Улучшение возможностей по корреляции событий.
Решения, которые поддерживают технологию VMsafe, могут быть легко введены в эксплуатацию, так как такие решения обычно поставляются в виде виртуальных устройств (virtual appliance)и позволяют потратить меньше времени на их внедрение.
Улучшение возможностей масштабируемости инфраструктуры, сохраняя все правила и политики.
Режимы работы
Известно, так же, что работа с VMsafe может осуществляться в 2 режимах:
- Kernel-mode.
- VM-mode.
Обработка в гипервизоре.
Обработка внутри виртуальной машины.
Свои преимущества, безусловно, есть у каждого метода.
«Сертифицировано VMware на использование технологии VMsafe»
Сразу после выхода vSphere, стали появляться решения по обеспечению информационной безопасности с меткой «Сертифицировано VMware на использование технологии VMsafe». Однако, появление такой метки скорее оставило больше вопросов, чем ответов. С какими конфигурациями была протестирована работа решения? Не мешаю ли такие решения сторонних разработчиков друг другу? Все, что известно – так это то, что тестирование проходит на VMware vSphere 4 Enterprise Plus. Я считаю, что было бы правильно со стороны VMware рассказать о том, как проходит процесс сертификации таких решений, и дать возможность пользователям ознакомиться с требованиями к этой сертификации.
Решения, доступные российским пользователям
Заблуждением было бы утверждение о том, что с VMsafe работают только антивирусные решения, хотя и в этом у решений появляются новые возможности – например, отсутствие агентов в виртуальных машинах или способность проверять их в выключенном состоянии. Решения, пользующиеся популярностью среди российских пользователей (по состоянию на декабрь 2009 года):
- Reflex VMC.
- Check Point VPN-1 VE.
- Trend Micro Core Protection for Virtual Machines.
- McAfee VirusScan Enterprise for Offline Virtual Images.
- IBM Virtual Server Security.
- Stonegate IPS.
- HyTrust Appliance.
Выбор решения
Выбрать оптимальное решение, обладающее необходимым функционалом и оптимальным соотношением цена/качество применительно к тем задачам, которые оно призвано решать, из множества имеющихся на рынке, безусловно, сложно, необходимо учитывать ряд факторов:
- Какова степень детализации политик безопасности?
- Влияет ли решение на работу других компонентов инфраструктуры и производительность?
- Интегрировано ли решение с vCenter?
- Поддерживает ли решение миграцию политик при миграции виртуальных машин?
- С какими интерфейсами VMware API интегрировано решение?
Ответ конкурентов
У других вендоров (Microsoft, Citrix, RedHat), пока технологий подобных VMSafe нет, но я полагаю, что они появятся в ближайшее время. А пока они буду спорить о том насколько безопасным можно считать предоставление доступа к гипервизору сторонним разработчикам решений.
В виртуальной среде при помощи технологии VMsafe и решений производителей средств ИБ (не исключая при этом разработку внутренних стандартов/политик обеспечения безопасности и следование рекомендациям производителей) можно обеспечить более высокий уровень информационной безопасности, чем на физическом уровне.
Это полная информация, которой я обладаю на сегодняшний день, собирать ее приходилось буквально по кусочкам, и вы можете поправить или дополнить меня.
пишет:
Вообще говоря, пока что описание технологии вызывает больше вопросов, чем ответов. Во всяком случае, у меня — как у человека, не сильно искушённого в том, как работает гипервизор VMware «изнутри».
Вот например, будем считать, что мы рассматриваем антивирусное решение. Пользователь в ВМ запускает браузер и загружает из Интернета заражённый файл. В случае с традиционным резидентным антивирусом, установленным внутри ВМ, дальнейшее развитие событий вполне очевидно. Антивирус обнаруживает действие ОС по записи файла на диск, проверяет этот файл и удаляет (либо помещает в карантин, выводит пользователю диалоговое окно с запросом нужного действия и так далее — в зависимости от настроек). А что происходит в случае, когда антивирус запущен в гипервизоре? Как гостевая ОС воспримет действия, произведённые через «астрал» — механизм, о котором она не имеет ни малейшего понятия?
А что если это не файл, а фрагмент базы данных? И в случае неожиданного (для приложения) удаления (или перемещения) этого фрагмента вся база приходит в негодность. По этим причинам в случае с традиционными файловыми антивирусами производители рекомендуют исключать такие базы из области проверки. А для их защиты использовать специализированные решения, разработанные именно для работы с этим типом БД и корректно поддерживающие её внутреннюю структуру.
(Например, из базы данных Exchange Server таким образом удаляется не просто фрагмент, содержащий вирус, а целиком письмо или его вложение. И соответствующие корректировки вносятся во все таблицы БД. При этом антивирус работает с БД не напрямую, а через API Exchange Server).
Кроме того — интересно, как в случае работы в режиме ядра такое решение будет встраиваться в ESXi. Ведь декларируется, что установка стороннего ПО туда невозможна. (Хотя, наверное, я чего-то не до конца понимаю. Ведь Cisco VEM — тоже сторонний продукт. И, тем не менее, он как-то устанавливается внутрь ESXi).
Кстати, Розенблюм же уволился полтора года назад. Так что даже если он разработал идеологию VMsafe — конкретную реализацию всё равно уже создавали без него.
пишет:
Артем, спасибо за дополнение!
Информации действительно мало, приходилось буквально по кусочкам ее собирать, VMware молчит.
Антивирусные системы работающие в средах виртуализации на сегодняшний день не шагнули так далеко, как предположил ты. Проверка осуществляется только для виртуальных машин, практически аналогичным для физических инфраструктур способом. Среди новшеств стоит отметить — возможность работы без агентов и проверки в offline-режиме. Возможно в будущем и появятся специализированные решения разработанные именно для установки на гипервизор.