Поиск по публикациям и новостям

Мероприятие специального проекта команды «OCS Soft — ПРОдемо: Лаборатория программных решений». На встрече поговорили про возможности использования бандла vGate + ZVirt и узнать принцип работы. Сегодняшнее мероприятие ведет Евгений Тарелкин, ведущий эксперт компании «Код Безопасности».

Сегодня мы поговорим про возможности и нюансы использования бандла - продукта под названием vGate от компании «Код Безопасности» и продукта под названием ZVirt от компании Orion soft.

Мы сегодня поговорим про виртуализацию и ее особенности в текущих реалиях. У нас есть определенный вид угроз виртуальной инфраструктуры, потому что все серьезные атаки начинаются именно со стремления попасть в виртуальную инфраструктуру.

Виртуальную инфраструктуру защитить довольно сложно: большие объемы сетевого трафика существенно ограничивают возможности подхода. К тому же мы видим, что многие ИТ-службы полюбили продукты компании VMware. И это понятно, этот продукт хорошо показал себя на протяжении последних десятилетий и стал неким стандартом в отрасли. Но при этом, начиная с 2022 года, у нас от них нет никаких обновлений. Мы понимаем, что атака на виртуальную инфраструктуру приводит к тому, что ИТ-инфраструктура "ложится" всерьез и надолго, давление на виртуальные машины приводит к их удалению и удалению всех их бэкапов. Мы видим много публичных и непубличных историй, когда инфраструктура на день-два, а то и на три дня выходит из строя.

Кроме того, мы понимаем, что перед многими стоят требования по выполнению различных указов президента по миграции на отечественную инфраструктуру и обеспечение защиты. Эти указы вызваны необходимостью защищать инфраструктуру, критическую инфраструктуру финансовых и иных организаций. Потому что те же самые продукты VMware имеют определенные критические уязвимости, и их достаточно много. И вся наша критическая инфраструктура, все что государство хочет защитить, тянется в отечественную виртуализацию, которая обновляется и развивается.

Поэтому мы поговорим о сегментах. Как вы можете видеть, основные сегменты - это как раз те сегменты, где есть отечественные организации, это органы госуправления, это финансовые органы, где любые уязвимости крайне критичны и крайне дорого обходятся. Ну и, разумеется, это Telecom, важная часть, которая сейчас активно развивается, и отечественные ЦОДы сейчас хотят стать альтернативой зарубежным. В июле, на мероприятии, посвященном анонсу новой версии vGate, где присутствовало 1200 слушателей, мы задали им вопрос о том, сколько людей готовы мигрировать. И мы увидели, что миграция идет активно, но при этом есть некоторые сомнения у заказчиков, которые тестируют, выбирают, смотрят. У кого-то это ментальный страх, вызванный недоверием к отечественному производителю. Причем, он часто вызван сертифицированными версиями, которые накладывают определенные ограничения по функционалу.

Вот, собственно говоря, та уязвимость, о которой ФСТЭК рассылал письмо. Эта новость была опубликована на Tag Advisor, и также можно найти ее в Яндексе.

Уязвимость действительно хорошая и большинство заказчиков начинает ее воспринимать очень серьезно.

Итак, что такое vGate? vGate -это платформа по защите отечественной виртуализации, и не только отечественной, т.к. мы совместимы и с VMware. Но сегодня мы говорим именно об интеграции с zVirt, потому что коллеги zVirt наиболее активны на текущий момент на рынке, и по результатам 2023 года у них уже была четверть рынка, и, насколько мне известно, у них хорошие амбиции по захвату еще большей части рынка.

Что умеет vGate? vGate – это платформа по защите виртуализации. Почему мы нужны для коллег zVirt? Их многие заказчики говорят, что они хотят больше функционала, что они привыкли к VMware, и понятно, что к этому нам надо стремиться. Но разработчики, они конечны, и ресурсы, которыми можно этого достигать в сжатые сроки, ограничены. Поэтому просто не остается времени на построение именно защищенных решений. Понятно, что ФСТЭК требует в использовании критической инфраструктуры аттестованное защищенное решение, и использование не сертифицированных решений там крайне нежелательно, потому что они не обладают необходимой безопасностью. Но в vGate есть решение по защите информации как наложенное средство. И оно позволяет пройти аттестацию даже для не сертифицированной версии.

Мы предлагаем совместное решение, где не сертифицированная версия zVirt предлагает весь доступный на текущий день функционал, т.е. все новые версии, которые обновляются достаточно часто. vGate же выступает в роли средства по защите этой виртуализации, т.е. именно как средство, которое защищает как с точки зрения управления виртуальными машинами, так и с точки зрения микросегментации сети. Потому что у нас есть решение по защите сети в виде межсетевого экрана, который сертифицирован ФСТЭК.

Совместный бандл предоставляет защиту именно виртуальной инфраструктуры. Для чего это нужно?

Атака на виртуальную инфраструктуру это, пожалуй, самая основная цель злоумышленников. И при этом мы видим большое количество кейсов, которые стали публичными.

Вот совсем свежий кейс. Злоумышленники стерли все виртуальные машины, бэкапы и т.д., это была очень серьезная атака. Об этом писали на РБК, инфраструктуру восстанавливали несколько дней.

Что мы предлагаем? В первую очередь, это микросегментация. Это решение по разбиению инфраструктуры на отдельные маленькие участки. Наверное, одним из лучших примеров этого могут служить противопожарные просеки, которые делаются в лесах. Леса разграничивают на отдельные квадраты с тем, чтобы пожар не мог перекинуться на соседний сегмент. Т.е. он становится изолированным в этом сегменте. И все действия злоумышленника либо минимизируются в этом квадрате, либо, когда они перепрыгивают на соседние квадраты, они стихают. Таким образом, мы снижаем как вероятность инцидента, так и его тяжесть.

Для чего это нужно и почему это важно?

На текущий день наша ИТ-инфраструктура состоит из серверов, которые используют как минимум 10 гигабит. Это не то чтобы стандарт, стандарт это уже все-таки 25, но при этом есть еще решение, которое использует 10 гигабит. На хорошем сервере у нас 2 по 25 гигабит, а на высокопроизводительном, который не использует все на третьем поколении, а уже хотя бы что-то новое, а если даже шестого поколения, где несколько сотен ядер в одном сервере, понятно, что 2 по 25 это уже мало, и поэтому там используется уже 4 по 25. Понятно, что весь трафик находится внутри, и наверх выходит порядка 20%. Для чего это нужно? Основная нагрузка - это миграции, бэкапы, отработка. Где-то виртуальная машина просто переезжает с одного физического сервера на другой, где-то она пытается получить больший ресурс. Т.е. задач много. Машины передвигаются, и, понятно, что трафик большой, потому что, если мы берем даже 50 гигабит с каждого сервера, а серверов у нас, предположим, хотя бы 50, то мы уже получаем достаточно большие значения. А если у нас 100 гигабит и серверов 100, а то и 200, то значение становится совсем пугающим.

Как защищаются заказчики в таких случаях от таких атак? Ответ на самом деле очень простой и неожиданный: никак! Потому что трафика очень много, и закрывать его стандартными аппаратными межсетевыми экранами достаточно сложно и дорого. Тут накладывается определенное ограничение, потому что физический межсетевой экран - это дополнительный элемент, который надо размещать в шкафах.

Плюс, мы понимаем, что выход трафика из виртуальной среды в физическую – это задержки. Мы понимаем, что физический межсетевой экран – это дополнительная сущность, которая живет, имеет операционную систему, и там еще больше растут задержки. И для задач базы данных, веб-приложения, все это накладывает определенную задержку и весьма чувствительную. Понятно, что все это можно чуть-чуть уменьшить, используя виртуальные аплайнсы. Но, все равно, это виртуальная машина, она не так чувствительна к производительности, потому что она использует виртуальные ресурсы того хоста, где она находится, она не так ограничена, но при этом мы понимаем, что она не может так масштабироваться. То есть если вы даете больше ядер и больше памяти, то это не всегда приводит к увеличению производительности этого виртуального аплайнса. При этом мы понимаем, что задержки также возникают в этом устройстве, потому что это та же сущность, по сути из той же операционной системы, за исключением того, что трафик не выходит на физический уровень. Кто-то говорит, что будет делать сегментацию на уровне физических коммутаторов. Это тоже можно сделать, но тут наступает определенное ограничение с точки зрения выхода на физический уровень, плюс в коммутаторах есть определенное ограничение по количеству мегабайт.

И самая, наверное, высоконагруженная задача, она больше к ИБ относится, это когда виртуальная машина переезжает на другой IP, на другой физический сервер, и нам нужно руками переписать правила фильтрации и трафика. Это накладывает определенное ограничение на производительность сотрудников ИБ, когда виртуальных машин много, а сотрудников мало. И они либо не успевают все это делать, либо делают с какой-то задержкой, что приводит к определенным уязвимостям. Если же мы говорим о межсетевом экране уровня гипервизора, который есть в vGate, то он осуществляется, благодаря фильтрации трафика именно на уровне гипервизора как такового, то есть он не обладает какими-то задержками, он использует ту виртуальную сетевую карту, которая есть в его распоряжении, и не вносит никаких дополнительных задержек, тем самым сильно упрощает инфраструктуру.

Понятно, что есть большие решения на уровне коммутатора ЦОД. У нас есть 7-юнитовый межсетевой экран, в нем несколько лезвий, есть балансировщики, есть 100- гигабитный интерфейс. Но при этом его стоимость вас потрясет. Понятно, что это действительно уровень очень крупного ЦОД. При этом его производительность ограничена, т.е. гранулярность достаточно высока. Когда вам нужно чуть-чуть больше, вам нужно купить несколько таких железок. И со временем, когда количество серверов растет, мы понимаем, что растет количество ядер, нагрузка по сети, производительность аппаратного межсетевого экрана не возрастает. И все настройки, которые создаются в межсетевом экране этого уровня, они создаются на уровне start виртуальной машины. Т.е. виртуальная машина уже стартует с теми правилами, которые мы ей прописали. Она автоматически разворачивается с правилами фильтрации. И когда она переезжает, все эти правила фильтрации по трафику остаются привязанными к этой виртуальной машине, нам ничего не нужно менять.

Тем самым мы существенно снимаем нагрузку с тех коллег, которые пишут эти правила для межсетевых экранов. Мы разговаривали с заказчиками, проводили опросы. Напомню вам о нашем исследовании, которое было нами проведено в июле. Все 1200 слушателей, присутствовавших на семинаре, когда мы их опросили о необходимости использования микросегментации в составе их решений, ответили нам о том, как это важно для них.

И практически половина сказала, что это для них очень важно. И еще 34% сказали, что просто важно. То есть 80% слушателей говорили о том, что это важное решение для них. Значит, заказчики в большинстве своем понимают, зачем эта технология нужна и как ее использовать.

Межсетевой экран мы делаем уже несколько лет. Есть успешные применения, где развернуто больше трех тысяч процессоров, то есть 1500 серверов и десятки тысяч виртуальных машин. Решение показало свою работоспособность и эффективность. Есть подобные кейсы, причем кейсы бывают разные. Есть и на 70 серверов, и на 30 серверов, и на полторы тысячи. У нас есть сертификат ФСТЭК. Наша компания единственная на рынке, кто имеет такой сертификат.

В чем главный интерес заказчиков? Помимо удобства, есть еще экономическая составляющая, которая говорит о том, что, если мы посчитаем по фильтрации трафика, мы возьмем классический аппарат на md4v и в режиме межсетевого экрана посчитаем количество и сравним стоимость лицензий на LIDI как программного решения на уровне гипервизора, так и с аппаратными решениями.

И даже при небольших инсталляциях на 10 Гбайт/с интерфейса разница будет троекратной. При больших же инсталляциях с интерфейсом в 25 Гбайт/с, она будет очень большой и доходить до 10 раз. Как я уже говорил, уровень фильтрации на физическом межсетевом экране достаточно сложно масштабируется.

Какой плюс нашей интеграции с vGate в виде бандла? В первую очередь это гарантированная совместимость.

Мы с коллегами работаем очень тесно и плотно. Наши отделы разработки совместно продвигают решения. И мы заранее видим все версионности, которые выходят. Если мы говорим о сертифицированных версиях, то они существенно отстают по функционалу, т.к. сертификация того же zVirt отнимает много времени. Сертифицированная версия выходит с запаздыванием в 12-14 месяцев. Мы же говорим о разнице в версионности в 1-2 месяца. Сейчас мы хотим еще уменьшить, то есть в рамках одного месяца наша команда по разработке синхронизируется, и все версии будут добавляться в формуляр, что позволит выдавать заказчику максимально функциональный продукт. Грубо говоря, заказчик получит весь функционал, который предлагает zVirt на текущий момент, все новые версии. При этом мы, как наложенное средство, даем возможность пройти аттестацию. Мы говорим о единой техподдержке, то есть группирование ими техподдержки обеспечивает коллеги zVirt. Купив бандл, заказчик приходит в zVirt, и ему там отвечают на все вопросы. Инженеры в zVirt знают продукт vGate. В случае сложных вопросов, они передают их в нашу техподдержку, но все равно отвечают через канал zVirt. Для заказчиков это существенно проще. Тем самым мы говорим о том, что ИБ и IT становятся в один ряд и идут вместе. И, если раньше сертифицированная версия от zVirt радовала сотрудников ИБ, они получали аттестат, но ИБ показывая этот аттестат, говорили IT-шникам, что продукт, конечно, выполнен с задержкой в 12-14 месяцев, и он по функционалу не отражает последние тенденции. Зато теперь в виде наложенного средства заказчик получает и последнюю версию по функционалу, и соответственные требования регулятора. Таким образом мы идем рука об руку и поддерживаем интересы те и эти.

Иллюстрации предоставлены пресс-службой компании «Код Безопасности»

2024-12-10 19:38:19
Геннадий Ветров
 Готовые решения Orion soft «Код Безопасности»

Сейчас на главной

1 апр. 2025 г., 09:47:22
Линейно-интерактивный ИБП Ippon Pacific 1000: стабильная энергия для малого бизнеса

ИБП Ippon Pacific 1000 — устройство, которое отлично вписывается в сценарии использования, характерные для совсем небольшого офиса или рабочих мест предпринимателей-фрилансеров. Устройство эффективно защищает подключенное оборудование от перепадов напряжения и кратковременных отключений электропитания. Диапазон доступных настроек достаточен для разных сфер применения, ИБП будет одинаково уместно смотреться и на рабочем месте фрилансера, и в составе серверной стойки.

29 мар. 2025 г., 22:14:16
«Полигон»: оборудование для ИТ-инфраструктуры

Мероприятие научно-производственного предприятия «Полигон», ведущего российского производителя сетевого оборудования. В рамках встречи Иван Лялин, коммерческий директор ООО «ТВК Инзер» (ГК АО НПП «Полигон»), рассказал о структуре компании, разработках, особенностях производства, а также работе с партнёрами.

10 мар. 2025 г., 20:36:49
Проверьте вашу мотивацию движения к цели

Продолжаем разговор о технологии достижения результата.

6 мар. 2025 г., 11:46:57
IT-эксперт о потерянных $1,46 млрд Bybit: как технически стало возможным крупнейшее в истории крипто-ограбление

Криптовалютный рынок продолжает привлекать внимание как инвесторов, так и злоумышленников. Недавно произошел громкий инцидент в сфере безопасности, который поставил под угрозу репутацию одной из крупнейших криптобирж в мире — Bybit. По оценкам экспертов, хакеры смогли украсть рекордные $1,46 млрд. Это событие стало самой масштабной цифровой кражей в истории.

27 февр. 2025 г., 15:08:11
Российский рынок корпоративного ПО: перспективы роста и ключевые тренды

Российский рынок корпоративного программного обеспечения демонстрирует уверенный рост, который, согласно исследованию консалтинговой компании Strategy Partners, в среднем составит 24% ежегодно до 2030 года. В результате его объем превысит 700 млрд рублей, а общая емкость ИТ-рынка может достигнуть 7 трлн рублей. Ключевыми факторами роста остаются цифровая трансформация бизнеса, импортозамещение и активная государственная поддержка отрасли

20 февр. 2025 г., 21:40:23
Новости линейки IP-телефонов Flat-Phone

Мероприятие «Флат-ПРО», российского разработчика программно-аппаратных решений в области связи. Встреча посвящена итогам первого года продаж IP-телефонов компании, продуктовой линейке устройств «Флат-ПРО», а также планам и перспективам её развития в 2025 году.

17 февр. 2025 г., 17:44:19
PT NAD и PT Sandbox - защита от целевых атак

Мероприятие серии «ПРОдемо:Лаборатория программных решений» — специального проекта команды OCS Soft. В рамках встречи Дмитрий Щербатюк, пресейл-эксперт по информационной безопасности OCS, рассказал о системе поведенческого анализа сетевого трафика для обнаружения скрытых кибератак PT NAD и экспертной песочнице для защиты от сложного вредоносного ПО и угроз нулевого дня PT Sandbox.

13 февр. 2025 г., 12:06:48
Формула изменений: проверьте себя на готовность к изменениям

Продолжаем разговор о технологии достижения результата. В первой статье мы говорили об алгоритме постановки цели, который соответствует данным нейрофизиологии. Надеюсь, вам удалось качественно сформулировать свою актуальную цель.

6 февр. 2025 г., 19:36:17
Максим БРЫКСИН: "Эстетика, технологичность, последние тренды – как все это совместить в крупной бытовой технике»?

Актуальная задача для производителя, предлагающего свои продукты для пользователя и его дома, – предоставить максимально комфортные решения, которые не только упростят жизнь, но и подарят наслаждение от его использования. Какие новые решения могут быть реализованы у вас дома и помогут по-новому организовать ваше время и пространство рассказал Максим Брыксин, менеджер по продукту компании Midea.

30 янв. 2025 г., 14:43:18
Синергия железа и ПО: что появилось в результате партнерства двух крупных игроков российского рынка ИТ

С цифровизацией бизнеса и госуправления каждый год растут объемы обработки данных и потребности в ресурсах для их хранения. Российские вендоры благодаря наработанному опыту и профессиональным командам разрабатывают и производят передовые отечественные решения.

27 янв. 2025 г., 01:12:37
Как правильно сформулировать вашу актуальную цель, чтобы мозг понимал вас

Тема постановки цели и достижения результата очень популярна сейчас. И это не только модное веяние времени. Деятельность человека целенаправленна. Так звучит одна из аксиом науки праксеологии – теории о человеческой деятельности. Существует масса рекомендаций о постановке целей. Как понять, к каким советам нужно прислушаться?

26 янв. 2025 г., 21:11:03
Обзор продуктового портфеля и новинок М3 Mobile

Мероприятие OCS и М3 Mobile, мирового производителя защищенных портативных компьютеров для предприятий. Более 20 лет компания создает промышленные и корпоративные терминалы сбора данных (ТСД), а также устройства для сфер розничной торговли и логистики.

Все новости