Сегодня мы поговорим про возможности и нюансы использования бандла - продукта под названием vGate от компании «Код Безопасности» и продукта под названием ZVirt от компании Orion soft.

Мы сегодня поговорим про виртуализацию и ее особенности в текущих реалиях. У нас есть определенный вид угроз виртуальной инфраструктуры, потому что все серьезные атаки начинаются именно со стремления попасть в виртуальную инфраструктуру.

Виртуальную инфраструктуру защитить довольно сложно: большие объемы сетевого трафика существенно ограничивают возможности подхода. К тому же мы видим, что многие ИТ-службы полюбили продукты компании VMware. И это понятно, этот продукт хорошо показал себя на протяжении последних десятилетий и стал неким стандартом в отрасли. Но при этом, начиная с 2022 года, у нас от них нет никаких обновлений. Мы понимаем, что атака на виртуальную инфраструктуру приводит к тому, что ИТ-инфраструктура "ложится" всерьез и надолго, давление на виртуальные машины приводит к их удалению и удалению всех их бэкапов. Мы видим много публичных и непубличных историй, когда инфраструктура на день-два, а то и на три дня выходит из строя.

Кроме того, мы понимаем, что перед многими стоят требования по выполнению различных указов президента по миграции на отечественную инфраструктуру и обеспечение защиты. Эти указы вызваны необходимостью защищать инфраструктуру, критическую инфраструктуру финансовых и иных организаций. Потому что те же самые продукты VMware имеют определенные критические уязвимости, и их достаточно много. И вся наша критическая инфраструктура, все что государство хочет защитить, тянется в отечественную виртуализацию, которая обновляется и развивается.

Поэтому мы поговорим о сегментах. Как вы можете видеть, основные сегменты - это как раз те сегменты, где есть отечественные организации, это органы госуправления, это финансовые органы, где любые уязвимости крайне критичны и крайне дорого обходятся. Ну и, разумеется, это Telecom, важная часть, которая сейчас активно развивается, и отечественные ЦОДы сейчас хотят стать альтернативой зарубежным. В июле, на мероприятии, посвященном анонсу новой версии vGate, где присутствовало 1200 слушателей, мы задали им вопрос о том, сколько людей готовы мигрировать. И мы увидели, что миграция идет активно, но при этом есть некоторые сомнения у заказчиков, которые тестируют, выбирают, смотрят. У кого-то это ментальный страх, вызванный недоверием к отечественному производителю. Причем, он часто вызван сертифицированными версиями, которые накладывают определенные ограничения по функционалу.

Вот, собственно говоря, та уязвимость, о которой ФСТЭК рассылал письмо. Эта новость была опубликована на Tag Advisor, и также можно найти ее в Яндексе.

Уязвимость действительно хорошая и большинство заказчиков начинает ее воспринимать очень серьезно.

Итак, что такое vGate? vGate -это платформа по защите отечественной виртуализации, и не только отечественной, т.к. мы совместимы и с VMware. Но сегодня мы говорим именно об интеграции с zVirt, потому что коллеги zVirt наиболее активны на текущий момент на рынке, и по результатам 2023 года у них уже была четверть рынка, и, насколько мне известно, у них хорошие амбиции по захвату еще большей части рынка.

Что умеет vGate? vGate – это платформа по защите виртуализации. Почему мы нужны для коллег zVirt? Их многие заказчики говорят, что они хотят больше функционала, что они привыкли к VMware, и понятно, что к этому нам надо стремиться. Но разработчики, они конечны, и ресурсы, которыми можно этого достигать в сжатые сроки, ограничены. Поэтому просто не остается времени на построение именно защищенных решений. Понятно, что ФСТЭК требует в использовании критической инфраструктуры аттестованное защищенное решение, и использование не сертифицированных решений там крайне нежелательно, потому что они не обладают необходимой безопасностью. Но в vGate есть решение по защите информации как наложенное средство. И оно позволяет пройти аттестацию даже для не сертифицированной версии.

Мы предлагаем совместное решение, где не сертифицированная версия zVirt предлагает весь доступный на текущий день функционал, т.е. все новые версии, которые обновляются достаточно часто. vGate же выступает в роли средства по защите этой виртуализации, т.е. именно как средство, которое защищает как с точки зрения управления виртуальными машинами, так и с точки зрения микросегментации сети. Потому что у нас есть решение по защите сети в виде межсетевого экрана, который сертифицирован ФСТЭК.

Совместный бандл предоставляет защиту именно виртуальной инфраструктуры. Для чего это нужно?

Атака на виртуальную инфраструктуру это, пожалуй, самая основная цель злоумышленников. И при этом мы видим большое количество кейсов, которые стали публичными.

Вот совсем свежий кейс. Злоумышленники стерли все виртуальные машины, бэкапы и т.д., это была очень серьезная атака. Об этом писали на РБК, инфраструктуру восстанавливали несколько дней.

Что мы предлагаем? В первую очередь, это микросегментация. Это решение по разбиению инфраструктуры на отдельные маленькие участки. Наверное, одним из лучших примеров этого могут служить противопожарные просеки, которые делаются в лесах. Леса разграничивают на отдельные квадраты с тем, чтобы пожар не мог перекинуться на соседний сегмент. Т.е. он становится изолированным в этом сегменте. И все действия злоумышленника либо минимизируются в этом квадрате, либо, когда они перепрыгивают на соседние квадраты, они стихают. Таким образом, мы снижаем как вероятность инцидента, так и его тяжесть.

Для чего это нужно и почему это важно?

На текущий день наша ИТ-инфраструктура состоит из серверов, которые используют как минимум 10 гигабит. Это не то чтобы стандарт, стандарт это уже все-таки 25, но при этом есть еще решение, которое использует 10 гигабит. На хорошем сервере у нас 2 по 25 гигабит, а на высокопроизводительном, который не использует все на третьем поколении, а уже хотя бы что-то новое, а если даже шестого поколения, где несколько сотен ядер в одном сервере, понятно, что 2 по 25 это уже мало, и поэтому там используется уже 4 по 25. Понятно, что весь трафик находится внутри, и наверх выходит порядка 20%. Для чего это нужно? Основная нагрузка - это миграции, бэкапы, отработка. Где-то виртуальная машина просто переезжает с одного физического сервера на другой, где-то она пытается получить больший ресурс. Т.е. задач много. Машины передвигаются, и, понятно, что трафик большой, потому что, если мы берем даже 50 гигабит с каждого сервера, а серверов у нас, предположим, хотя бы 50, то мы уже получаем достаточно большие значения. А если у нас 100 гигабит и серверов 100, а то и 200, то значение становится совсем пугающим.

Как защищаются заказчики в таких случаях от таких атак? Ответ на самом деле очень простой и неожиданный: никак! Потому что трафика очень много, и закрывать его стандартными аппаратными межсетевыми экранами достаточно сложно и дорого. Тут накладывается определенное ограничение, потому что физический межсетевой экран - это дополнительный элемент, который надо размещать в шкафах.

Плюс, мы понимаем, что выход трафика из виртуальной среды в физическую – это задержки. Мы понимаем, что физический межсетевой экран – это дополнительная сущность, которая живет, имеет операционную систему, и там еще больше растут задержки. И для задач базы данных, веб-приложения, все это накладывает определенную задержку и весьма чувствительную. Понятно, что все это можно чуть-чуть уменьшить, используя виртуальные аплайнсы. Но, все равно, это виртуальная машина, она не так чувствительна к производительности, потому что она использует виртуальные ресурсы того хоста, где она находится, она не так ограничена, но при этом мы понимаем, что она не может так масштабироваться. То есть если вы даете больше ядер и больше памяти, то это не всегда приводит к увеличению производительности этого виртуального аплайнса. При этом мы понимаем, что задержки также возникают в этом устройстве, потому что это та же сущность, по сути из той же операционной системы, за исключением того, что трафик не выходит на физический уровень. Кто-то говорит, что будет делать сегментацию на уровне физических коммутаторов. Это тоже можно сделать, но тут наступает определенное ограничение с точки зрения выхода на физический уровень, плюс в коммутаторах есть определенное ограничение по количеству мегабайт.

И самая, наверное, высоконагруженная задача, она больше к ИБ относится, это когда виртуальная машина переезжает на другой IP, на другой физический сервер, и нам нужно руками переписать правила фильтрации и трафика. Это накладывает определенное ограничение на производительность сотрудников ИБ, когда виртуальных машин много, а сотрудников мало. И они либо не успевают все это делать, либо делают с какой-то задержкой, что приводит к определенным уязвимостям. Если же мы говорим о межсетевом экране уровня гипервизора, который есть в vGate, то он осуществляется, благодаря фильтрации трафика именно на уровне гипервизора как такового, то есть он не обладает какими-то задержками, он использует ту виртуальную сетевую карту, которая есть в его распоряжении, и не вносит никаких дополнительных задержек, тем самым сильно упрощает инфраструктуру.

Понятно, что есть большие решения на уровне коммутатора ЦОД. У нас есть 7-юнитовый межсетевой экран, в нем несколько лезвий, есть балансировщики, есть 100- гигабитный интерфейс. Но при этом его стоимость вас потрясет. Понятно, что это действительно уровень очень крупного ЦОД. При этом его производительность ограничена, т.е. гранулярность достаточно высока. Когда вам нужно чуть-чуть больше, вам нужно купить несколько таких железок. И со временем, когда количество серверов растет, мы понимаем, что растет количество ядер, нагрузка по сети, производительность аппаратного межсетевого экрана не возрастает. И все настройки, которые создаются в межсетевом экране этого уровня, они создаются на уровне start виртуальной машины. Т.е. виртуальная машина уже стартует с теми правилами, которые мы ей прописали. Она автоматически разворачивается с правилами фильтрации. И когда она переезжает, все эти правила фильтрации по трафику остаются привязанными к этой виртуальной машине, нам ничего не нужно менять.

Тем самым мы существенно снимаем нагрузку с тех коллег, которые пишут эти правила для межсетевых экранов. Мы разговаривали с заказчиками, проводили опросы. Напомню вам о нашем исследовании, которое было нами проведено в июле. Все 1200 слушателей, присутствовавших на семинаре, когда мы их опросили о необходимости использования микросегментации в составе их решений, ответили нам о том, как это важно для них.

И практически половина сказала, что это для них очень важно. И еще 34% сказали, что просто важно. То есть 80% слушателей говорили о том, что это важное решение для них. Значит, заказчики в большинстве своем понимают, зачем эта технология нужна и как ее использовать.

Межсетевой экран мы делаем уже несколько лет. Есть успешные применения, где развернуто больше трех тысяч процессоров, то есть 1500 серверов и десятки тысяч виртуальных машин. Решение показало свою работоспособность и эффективность. Есть подобные кейсы, причем кейсы бывают разные. Есть и на 70 серверов, и на 30 серверов, и на полторы тысячи. У нас есть сертификат ФСТЭК. Наша компания единственная на рынке, кто имеет такой сертификат.

В чем главный интерес заказчиков? Помимо удобства, есть еще экономическая составляющая, которая говорит о том, что, если мы посчитаем по фильтрации трафика, мы возьмем классический аппарат на md4v и в режиме межсетевого экрана посчитаем количество и сравним стоимость лицензий на LIDI как программного решения на уровне гипервизора, так и с аппаратными решениями.

И даже при небольших инсталляциях на 10 Гбайт/с интерфейса разница будет троекратной. При больших же инсталляциях с интерфейсом в 25 Гбайт/с, она будет очень большой и доходить до 10 раз. Как я уже говорил, уровень фильтрации на физическом межсетевом экране достаточно сложно масштабируется.

Какой плюс нашей интеграции с vGate в виде бандла? В первую очередь это гарантированная совместимость.

Мы с коллегами работаем очень тесно и плотно. Наши отделы разработки совместно продвигают решения. И мы заранее видим все версионности, которые выходят. Если мы говорим о сертифицированных версиях, то они существенно отстают по функционалу, т.к. сертификация того же zVirt отнимает много времени. Сертифицированная версия выходит с запаздыванием в 12-14 месяцев. Мы же говорим о разнице в версионности в 1-2 месяца. Сейчас мы хотим еще уменьшить, то есть в рамках одного месяца наша команда по разработке синхронизируется, и все версии будут добавляться в формуляр, что позволит выдавать заказчику максимально функциональный продукт. Грубо говоря, заказчик получит весь функционал, который предлагает zVirt на текущий момент, все новые версии. При этом мы, как наложенное средство, даем возможность пройти аттестацию. Мы говорим о единой техподдержке, то есть группирование ими техподдержки обеспечивает коллеги zVirt. Купив бандл, заказчик приходит в zVirt, и ему там отвечают на все вопросы. Инженеры в zVirt знают продукт vGate. В случае сложных вопросов, они передают их в нашу техподдержку, но все равно отвечают через канал zVirt. Для заказчиков это существенно проще. Тем самым мы говорим о том, что ИБ и IT становятся в один ряд и идут вместе. И, если раньше сертифицированная версия от zVirt радовала сотрудников ИБ, они получали аттестат, но ИБ показывая этот аттестат, говорили IT-шникам, что продукт, конечно, выполнен с задержкой в 12-14 месяцев, и он по функционалу не отражает последние тенденции. Зато теперь в виде наложенного средства заказчик получает и последнюю версию по функционалу, и соответственные требования регулятора. Таким образом мы идем рука об руку и поддерживаем интересы те и эти.

Иллюстрации предоставлены пресс-службой компании «Код Безопасности»