Безопасность под Hyper-V, защита виртуальных машин – интервью с Бражниковом Юрием, главой российского подразделения компании 5nine Software

Здравствуйте! Бражников Юрий Николаевич, глава российского подразделения компании 5nine Software. Это американская компания, которая является партнером Microsoft по разработке решений по безопасности для виртуальных структур и платформы Hyper-V Server Microsoft.


Дмитрий Мацкевич: Юрий, скажите, а почему компания Microsoft не может сделать такое решение? Почему именно ваша компания предлагает это решение? Что является уникальной вещью, которой нет в Hyper-V?

Юрий Бражников: Дело в том, что в индустрии сложилась уже такая традиция, что решения по безопасности предоставляются от сторонних производителей, которые имеют компетенцию в данном вопросе. Вы можете на примере VMware увидеть, что, несмотря на то, что у них большой потенциал разработки, решения безопасности предоставляет Trend Micro. Точно так же для Hyper-V первым и единственным решением, которое обеспечивает безопасность инфраструктуры Hyper-V, является наша компания, которая в течение последних трех лет производит продукты, которые позволяют защитить облачные инфраструктуры при помощи наших продуктов. Наши продукты разрабатывались изначально для крупных компаний, которым нужно обеспечить безопасность тысяч машин.

Дмитрий Мацкевич: А какие компании можете для примера привести?

Юрий Бражников: Вы можете их посмотреть. Начиная от правительства США, банки, крупнейшие операторы – все пользуются услугами нашей компании, для того, чтобы обеспечить безопасность. Кстати, вот тоже хостинг-провайдеры известные: CBeyond и другие, которые уже обеспечили безопасность инфраструктуры при помощи наших продуктов.

Дмитрий Мацкевич: А какие угрозы возникают при использовании гипервизоров? Почему эта тема такая актуальная?

Юрий Бражников: Дело в том, что когда вы имеете физические сервера, вы защищаете по периметру сервера их любым фаерволом или антивирусом, и вопрос для вас в известной степени решен. Когда вы на базе одной физической машины поднимаете сотню виртуальных, то для того, чтобы защитить каждую из них, вам нужно устанавливать на каждую из машин, например, тот же фаервол. Но при возникновении вирусной угрозы одновременная работа нескольких антивирусов, которые значительно используют ресурсы машины, как вы сами знаете, «съедает» ресурс самого хоста, и падает производительность для всех виртуальных машин, которые на ней висят. Поэтому наш продукт ставится на хост и сейчас для 2012-го сервера является безагентным, но полностью обеспечивает, во-первых, фаерволинг, то есть закрывает все необходимые порты в связи с теми политиками, которые вы сами определите. Причем вы можете определять их как на уровне виртуальной машины, так и на уровне самого хоста для всех виртуальных машин, которые на нем висят, в зависимости от того, являетесь ли вы хостинг-компанией или энтерпрайзом, который обеспечивает безопасность своих подразделений, или вы являетесь просто частным пользователем, который хочет закрыть свою собственную виртуальную машину в виртуальной среде.

Дмитрий Мацкевич: То есть, для частных облаков тоже годится ваше решение?

Юрий Бражников: Само собой. Наше решение и предназначено для того, чтобы сделать публичные облака частными.

Дмитрий Мацкевич: То есть, закрытыми и защищенными?

Юрий Бражников: Да, частными и защищенными, которыми, во-первых, вы сами управляете, и в которых вы сами определяете политику безопасности. Важнейшей частью этого решения является антивирус, который также позволяет сканировать вашу машину с учетом сканирования, как я уже раньше сказал, других машин. В случае, если возникает то, что сейчас принято называть антивирусным штурмом, на уровне хоста уменьшается активность, прекращается сканирование других машин, и, пока не выровняется ситуация с нагрузкой на несколько зараженных виртуалок, вы имеете работоспособный хост, который не теряет производительности. Для нового 2012-го сервера, благодаря новым разработкам Microsoft, мы получили еще более экономный и лучше работающий механизм, использующий WFP-платформу сервера 2012 и являющийся ее расширением, который позволяет на безагентной основе применять ее в политике безопасности как виртуальную машину на хосте.

Есть еще ряд очень важных вещей, которые позволяют обеспечить безопасность. Это, например, такая функция heart beat service, которая не просто определяет правила, но и смотрит за тем, как они применяются. Поэтому если на хосте, на котором у вас висят виртуальные машины, появляется привнесенная виртуальная машина, которая пытается подменить IP-адрес какой-либо из машин, чтобы получить к ней доступ (это достаточно частая ситуация), наш продукт позволяет определить такую ситуацию и приостановить деятельность той или иной виртуальной машины, которая пытается подменить адрес существующей. И после разборки на уровне сисадмина можно либо перезапустить, если это просто ошибка, или, например, применить некие административные меры к тем, кто пытается нарушить безопасность виртуального решения.

Также очень важной функцией для 2008-го и 2012-го сервера является выделение полосы пропускания для каждой виртуальной машины. В 2008-м мы делали эту функцию только при помощи нашего программного обеспечения, 2012-й как более продвинутый продукт от Microsoft, позволяет теперь это делать, но только одинаково в обе стороны. Мы же можем градуировать и позволять делать разные скорости полосы пропускания для политик in/out.

И очень важное решение, которое сейчас для всех является первоочередным, – это соответствие вашей виртуальной структуры требованиям закона. Для того, чтобы это было, нужно, во-первых, иметь, как мы уже упомянули, фаерволинг и антивирус. Помимо этого, нужно логировать все события, которые есть, максимально подробно, вести журнал таких логов (событий), и, соответственно, разбирать их в случае, если у вас произошли какие-то инциденты, через любое количество времени для того, чтобы доказать, что какие-либо происшествия были связаны не с администратором, а с какими-то угрозами. Поэтому для 2012-го сервера, используя функции Virtual Filtering Platform , мы можем обеспечить ведение журнала логинов и такие функции как IDS/IPS. То есть мы можем не только констатировать наличие угрозы, но и предотвращать ее. Так что продукт развивается.

Дмитрий Мацкевич: То есть, есть некоторый интеллект?

Юрий Бражников: Да, есть некоторый интеллект и, как сейчас принято называть, проактивность, то есть мы не только констатируем, но и предотвращаем угрозы. Вы прекрасно знаете, что убытки компаний от того, что они недостаточно заботятся о безопасности, составляют миллионы, как в случае, например, с Sony PlayStation, когда угрозы от потери управляемости и безопасности составили от 1 до 1,5 млрд. дол. Эти угрозы огромны, и тратить деньги на обеспечение безопасности мы должны тогда, когда планируем строительство структуры, а не тогда, когда у нас уже что-то случилось. Поэтому мы готовы предложить теперь и российским пользователям Microsoft и виртуальной среды Hyper-V решение, которое используют 20 тысяч клиентов во всем мире, и которое рекомендует сам Microsoft, потому что наш продукт теперь управляется непосредственно из сервера 2012, он интегрирован. Мы являемся одним из четырех производителей, которые имели доступ непосредственно к ядру и к разработке нового Microsoft Server. Начиная с ноября прошлого года, с момента объявления о выходе первых релизов и до последних мы совместно с Microsoft делали и улучшали продукт для того, чтобы вы чувствовали себя безопасно в облаках.

Дмитрий Мацкевич: Юрий, спасибо вам огромное! Пожелаем удачи вашей компании и успехов на российском рынке.

Юрий Бражников: Спасибо большое. Пожелаем вам, чтобы вы донесли важную информацию для наших пользователей, которые должны себя чувствовать безопасно и планировать свою дорогу в облаках вместе с Microsoft и 5nine.


Поделиться информацией

Вы можете послать эту статью или новость коллеге или знакомому по email со своим комментарием, пригласить обсудить ее. Просто нажмите на иконку конверта --->  


Сообщения, вопросы и ответы

Вы можете задать вопрос, написать комментарий, обсудить данную новость или статью.

Ваше сообщение (вопрос, ответ, комментарий)