Защита виртуальных сред с помощью средств доверенной загрузки

Нормативная база

• Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

• XI. Защита среды виртуализации (ЗСВ)

• ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

Приказ ФСТЭК России № 17 от 11 февраля 2013 г.

• Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

Приказ ФСТЭК России № 21 от 18 февраля 2013 г.

• Об утверждении Требований к обеспечению защиты информации в АСУ ТП на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды

Приказ ФСТЭК России № 31 от 14 марта 2014 г.

2

Требования к реализации ЗСВ.5

• В информационной системе должна обеспечиваться доверенная загрузка серверов виртуализации, виртуальных машин (контейнеров) и серверов управления виртуализацией в соответствии с УПД.17.

• Доверенная загрузка должна обеспечивать блокирование попыток несанкционированной загрузки гипервизора, хостовой и гостевых операционных систем.

• Доверенная загрузка гипервизоров обеспечивается с использованием средств доверенной загрузки, функционирующих на серверах виртуализации.

• Доверенная загрузка виртуальных машин (контейнеров) обеспечивается с использованием многокомпонентных средств доверенной загрузки, отдельные компоненты которых функционируют в гипервизорах.

Источник: Методический документ. Меры защиты информации в ГИС. Утвержден ФСТЭК России 11 февраля 2014 г.

3

Роль доверенной загрузки в защите виртуальных сред

Несанкционированное чтение и изменение

данных, обрабатываемых в СВТ

Угроза целостности и конфиденциальности

информации обрабатываемой в АС

Несанкционированное изменение

аутентификационной информации

Подмена сертификатов, хэшей паролей и др.

ключевых данных с целью добавления в систему новых привилегированных учетных записей или компрометации

существующих Внедрение программных закладок

и вредоносного ПО Руткиты (rootkits) и буткиты (bootkits)– это набор программных средств для

• маскировки объектов (процессов, файлов, директорий, драйверов)

• контроля (событий происходящих в системе)

• сбора данных (параметров системы)

К данному типу угроз относится и внедрение «тонкого» гипервизора

4

•Инициализация аппаратного гипервизора

•Red Pill: по адресу таблицы векторов прерываний

•считывание значения регистра IDTR с помощью команды SIDT

•Тесты производительности

•замер временных задержек в т.ч. и по внешним источникам событий

Методы выявления

Пример угрозы «тонкого» гипервизора

Гостевая ОС

Тонкий гипервизор

Аппаратная платформа

5

Общие этапы доверенной загрузки виртуальной инфраструктуры

Гостевая ОС виртуальной машины

Виртуальная машина

Гипервизор I типа

Микросхемы CMOS и FLASH с кодом BIOS/UEFI

Сервер виртуализации

Виртуальный BIOS/UEFI МДЗ

МДЗ

6

Общие этапы доверенной загрузки виртуальной инфраструктуры

Гостевая ОС виртуальной машины

Виртуальная машина

Гипервизор II типа

Базовая (хостовая) ОС

Микросхемы CMOS и FLASH с кодом BIOS/UEFI

Сервер виртуализации

Виртуальный BIOS/UEFI

МДЗ

МДЗ

7

Загрузка с микросхемы (FLASH)

• AWARD-Phoenix

• AMIBIOS

• Phoenix TrustedCore

• SeaBIOS

• (среды виртуализации)

BIOS

• Intel AMI Aptio

• Phoenix SecureCore/Secure Core Tiano

• Insyde Software InsydeH2O UEFI

8

BIOS

Инициализация контроллера ОЗУ

Распаковка BIOS в shadow-область ОЗУ

Защита от записи shadow-области ОЗУ

Перечисление доступной периферии и

POST-тест

Установка перехватчиков (hooks)

ПЗУ расширения (expansion ROM)

Просмотр потенциальных

устройств для загрузки

Поиск сигнатур на устройствах загрузки

Загрузка boot-сектора

МДЗ

9

UEFI

Безопасность (SEC)

•Предварительная верификация

Преинициализация EFI (PEI)

•Инициализация ЦП

•Инициализация чипсета

•Инициализация платы

Среда выполнения драйверов (DXE)

•Шина устройства или драйвер сервиса

•Диспетчер драйверов EFI

Выбор загрузочного устройства (BDS)

•Менеджер загрузки Переходный запуск

системы (TSL) Среда выполнения (RT)

Завершающие операции (AL)

МДЗ

Модуль поддержки

совместимости (CSM)

10

• Программная реализация, не требующая аппаратных средств

• Первое средство защиты виртуальных машин

• Экономичность, связанная с отсутствием аппаратных компонентов

• Минимум временных затрат для установки на большое количество платформ (возможность автоустановки)

Основные преимущества МДЗ-Эшелон

11

Сертификация МДЗ-Эшелон

12

Сертификат №815 на

соответствие Приказу МО РФ,

в том числе:

по 3 классу защищенности от НСД

по 2 уровню контроля отсутствия НДВ

КИКТ к ПДСЧ

по соответствию реальных и декларируемых в документации возможностей

Сертификат Минобороны России

Сертификат ФСТЭК России Защита авторских прав

Сертификат №1872 :

по 2 уровню контроля отсутствия НДВ

на соответствие требованиям технических условий

патент №101555 на полезную модель «Устройство для доверительной загрузки»

в перспективе патент на изобретение «Способ доверенной загрузки в виртуализированных средах» (в стадии экспертизы заявки на изобретение по существу)

Контактная информация

107023, ул. Электрозаводская, д. 24

+7(495) 223-23-92

+7(495) 645-38-11

http://www.npo-echelon.ru

support.mdz@npo-echelon.ru

13