Мария Сидорова: Защита виртуальных компонентов ИТ-инфраструктуры требует особого подхода
На вопросы CNews ответила Мария Сидорова, заместитель руководителя направления "Защита виртуальных инфраструктур" компании "Код Безопасности".
CNews: Как вы оцениваете уровень безопасности данных в виртуализированных средах? Действительно ли они становятся более уязвимыми?
Мария Сидорова: О преимуществах технологий виртуализации сказано очень много – это и заметное сокращение затрат на информационные технологии за счет более эффективного использования ресурсов, и легкость развертывания новых серверов и рабочих станций, и многое другое. При этом задавшись вопросом - насколько безопасна будет инфраструктура, построенная с использованием таких технологий, - можно получить самый широкий спектр ответов. Такая инфраструктура несет в себе новые компоненты по отношению к традиционной инфраструктуре – это серверы виртуализации, включая гипервизор, а также средства обслуживания и управления виртуальной инфраструктурой. С появлением новых компонентов встает вопрос обеспечения их безопасности, тем более что с точки зрения информационной безопасности важность новых компонентов крайне высока. Компрометация сервера виртуализации приводит к серьезному повышению риска компрометации всех виртуальных машин, размещенных на этом сервере, а захват централизованных средств управления виртуальной инфраструктурой - к компрометации всех виртуальных машин в рамках инфраструктуры. Следовательно, вместе с повышением плотности растут и ставки потерь. Очевидно, что защита данных компонентов чрезвычайно важна и требует особого подхода.
К тому же некоторые традиционные средства обеспечения ИБ становятся неприменимыми в том виде, в котором они сейчас существуют. Виртуализация предоставляет и новые возможности, недоступные для физических инфраструктур на сегодняшний день, но которые тем не менее могут быть использованы для усиления функций защиты.
CNews: Как вы считаете, способствуют ли законодательные акты в области защиты информации популяризации виртуальных технологий или наоборот - мешают?
Мария Сидорова: По моему мнению, законодательные акты практически не влияют на распространение технологий виртуализации в российских компаниях. Проникновение виртуализации, в силу ее специфических особенностей, идет cо стороны больших компаний. Если в виртуальной среде обрабатываются персональные данные, защищенность виртуальной информационной системы должна соответствовать требованиям законодательства, однако ни требования федерального закона № 152, ни методические рекомендации и материалы регуляторов по обеспечению безопасности персональных данных не выявляют различий между физической и виртуальной средой обработки. То же самое касается и руководящих документов регуляторов в части защиты конфиденциальной информации.