Защищаем виртуальные рабочие места

Бизнес

Использование виртуализации рабочих мест (Virtual Desktop Infrastructure, VDI) для многих организаций стало стандартом де-факто. Две основные значимые бизнес-причины для этого: сокращение издержек и упрощение части задач системного администрирования. Помимо этого использование технологии VDI позволяет быстро создавать чистые типовые рабочие станции и организовывать мобильный доступ сотрудников с самых разных устройств.

Несмотря на устойчивый миф заведомой защищенности, виртуальная инфраструктура нуждается в защите не меньше, чем физическая. Практически все существующие угрозы остаются актуальными и для виртуальных машин. Подробнее о самой технологии VDI, ее достоинствах и недостатках, а также о необходимости защиты можно прочесть в этой статье. Мы же хотим поговорить о наших инструментах, разработанных именно для защиты виртуальных сред.

Почему не подходят обычные защитные решения для физических машин?

Для начала давайте разберемся, что не так со стандартными решениями. По сути, основная проблема — прямое следствие главного преимущества виртуализации. То есть экономии ресурсов. Ведь что делает гипервизор с доступной памятью и вычислительными мощностями? Делит между несколькими виртуальными машинами. Следовательно, чем более ресурсоемкие процессы запускаются на каждой из них, тем меньше машин можно будет развернуть в инфраструктуре. И тем ниже будет отказоустойчивость всей системы.

А между тем на каждой из машин работает один и тот же «софт». То есть процессор физического сервера, на котором развернута виртуальная инфраструктура, по сути, загружен множеством копий одной и той же задачи. И тут возникает еще одна проблема — так называемые штормы активности. Они особенно неприятны в инфраструктурах, где развертывается большое количество виртуальных машин с однотипным программным обеспечением. Чтобы не ходить далеко за примером, давайте рассмотрим наши родные защитные решения.

Дело в том, что нагрузка, которую создают программы, неравномерна. Большую часть времени защитные продукты находятся в состоянии готовности, ожидая атаки, но периодически они должны производить полное сканирование машины. И представьте себе такую картину: на всех виртуальных машинах сканирование запускается одновременно. К чему это приведет? К перегрузке и, следовательно, замедлению.

main

Как Kaspersky Security для виртуальных сред | Легкий агент защищает VDI

Для защиты виртуальных сред у «Лаборатории Касперского» есть два подхода, реализованных в решении Kaspersky Security для виртуальных сред. Первый — Kaspersky Security для виртуальных сред | Защита без агента, ничего не устанавливающий на виртуальную машину и работающий только в инфраструктуре под управлением VMware vSphere. Второй — Kaspersky Security для виртуальных сред | Легкий агент — устанавливает облегченную (но при этом полнофункциональную) версию защитного решения на каждую машину. Он может быть развернут под разными платформами — VMware, Microsoft Hyper-V, Citrix и KVM. И именно его мы считаем наиболее эффективным средством защиты VDI, поскольку он полностью поддерживает самые популярные решения для виртуализации десктопов — Citrix XenDesktop и VMware Horizon.

В основе этого решения лежит использование специализированной виртуальной машины (Security Virtual Machine, SVM), в которую вынесены все специфические инструменты для борьбы с киберугрозами. По сути, она берет на себя функцию защитного решения для остальных виртуальных машин, оснащенных легким агентом. Благодаря этому агенты могут, во-первых, отправлять данные для анализа и выполнять получаемые инструкции, а во-вторых, координировать задачи сканирования на разных агентах исходя из общей загрузки хоста.

Наличие этого легкого агента позволяет эффективно защищать виртуальную машину благодаря наличию прямого доступа к ее памяти и глубоким системным процессам, а также дает возможность использовать дополнительные технологии безопасности, такие как веб-контроль, контроль приложений и устройств.

Контроль процессов в памяти сейчас особенно важен из-за стремления злоумышленников избежать обнаружения путем создания вредоносного ПО, работающего только в оперативной памяти, без сохранения файлов на диске. Именно легкие агенты делают возможным противодействие таким продвинутым техникам на виртуальной машине. Помимо этого техники детектирования, основанные на отслеживании поведения процессов, позволяют обнаруживать зловредов, код которых надежно обфусцирован (запутан или замаскирован с целью затруднения анализа и понимания алгоритмов работы), а следовательно, не может быть обнаружен на уровне файловой системы.

Реализованная в Kaspersky Security для виртуальных сред | Легкий агент защита от эксплойтов (Automatic Exploit Prevention) предназначена для борьбы с эксплуатацией уязвимостей, в том числе и уязвимостей нулевого дня (то есть вновь открытых и неизвестных ранее).

Один из мощнейших проактивных слоев защиты виртуальной машины — контроль приложений при помощи динамических белых списков (Dynamic Whitelisting). Благодаря его использованию вредоносные приложения просто не смогут запуститься, если их нет в составленном системным администратором реестре доверенного ПО и/или в постоянно обновляемой «Лабораторией Касперского» базе безопасного софта.

Также можно упомянуть, что наличие легкого агента позволяет выявить и предотвратить сканирование портов (а этот трюк часто применяется злоумышленниками на этапе сбора данных об атакуемой машине). И это далеко не полный список технологий, применяемых для защиты виртуальных сред.

Однако при создании Kaspersky Security для виртуальных сред | Легкий агент немало внимания было уделено и бережному отношению к ресурсам. Например, центральная виртуальная машина безопасности (SVM) поддерживает разделяемый кэш (shared cache), за счет которого файлы, уже просканированные на одном из узлов, не нужно проверять повторно, так как данные об их проверке уже сохранены в кэше.

Благодаря всем этим технологиям наше решение на базе легкого агента способно, с одной стороны, обеспечить надежный уровень защиты виртуальных сред, а с другой — не создать лишней нагрузки на инфраструктуру, а значит, сэкономить ресурсы.