Виртуализация как средство обеспечения безопасности
Размышления на тему услышанного на Инфофоруме 2011.
Второй раз за последние два года я, с некоторым удивлением для себя, столкнулся с идеей построения защищенной информационной системы на основе виртуализации. Идея заключается в том, что вместо создания системы из доверенных компонентов, к примеру, защищенной операционной системы, верифицированных приложений и протоколов, предлагается использовать пачку недоверенных компонентов, которые соединяются между собой через доверенный компонент небольшого размера. Недоверенные компоненты - это виртуальные машины с приложениями, а доверенный компонент - это гипервизор.
Не очень понятно, какую при этом задачу люди пытаются решить. Общий тон рассуждений обычно выдерживается в том ключе, что вот были защищенные операционные системы, но с ними не очень получается, т.к. дорого, медленно и сложно, а вот с виртуализацией всё получается быстрее и намного дешевле. То есть как бы декларируется, что пачка виртуальных машин с доверенным гипервизором по спектру решаемых задач эквивалентна защищенной операционной системе с тем же мандатным контролем доступа. Этот тезис представляется крайне спорным. Ведь что позволяет сделать виртуальная машина? Разграничить приложения, выполняемые на общей аппаратной базе, т.е. как если бы они выполнялись на физически независимых машинах. Но разве это всё, для чего нужны защищенные операционные системы, формальные модели контроля доступом и так далее? Да, виртуализация перекроет возможность использования недекларированных каналов взаимодействия между приложениями, и оставит только штатные каналы. Но во-первых, то же самое можно легко реализовать штатными средствами многих защищенных операционных систем, а во-вторых, сильно ли поможет такая изоляция, если два взаимодействующих приложения - это веб-приложение и клиент к нему, активно использующие JavaScript, AJAX, или, прости господи, SOAP?
Можно засунуть в гипервизор полный набор валидаторов и контентных фильтров - WAF, XML firewall, IPS и так далее, в результате он быстро превратится из доверенного компонента в обычного современного монстра из линейки продуктов компании McAfee.
Так что единственная задача, которую хорошо решает виртуализация - это управление сложностью. Разделение большой полносвязной системы на множество небольших систем, связанных по топологии "звезда" уменьшает пространство перебора при создании модели угроз, делает его более обозримым. А вот закрыть виртуальными машинами все дыры, которые раньше затыкались защищенными ОС, вряд ли удастся.
