На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 6 ноябрь-декабрь 2014 г.
Тема номера:
ПЕРСПЕКТИВНЫЕ НИОКР КИБЕРБЕЗОПАСНОСТИ
Облако ЦОДов, или Сон разума: доверенная загрузка системы виртуализации
С. С. Лындин, начальник научно-исследовательского отдела,
С. В. Конявская, кандидат филологических наук, заместитель генерального директора
ЗАО «ОКБ САПР»

Предыдущая статьяСледующая статья

Итак, цикл "Облако ЦОДов, или сон разума" подошел к разделу, посвященному особенностям обеспечения доверенной загрузки именно систем виртуализации, в отличие от каких бы то ни было еще.

Невозможно не обратить внимание на то, что специфическим в вопросах защиты облачных инфраструктур оказывается далеко не все, и даже не большая часть. Однако пренебрегать этой спецификой, конечно, было бы большой ошибкой. СЗИ НСД, предназначенные для реальных сред, обеспечивают доверенную вычислительную среду за счет ее корректного старта на СВТ: доверенной загрузки ОС, в ходе которой подтверждается целостность компонентов защиты, работающих в ОС, и дальнейшее функционирование ОС под управлением проконтролированного средства защиты. В условиях терминальной сессии ситуация абсолютно аналогична, просто появляются дополнительные СВТ (терминалы), среда на которых контролируется абсолютно так же, с учетом того факта, что функциональность терминальной ОС (если используется специализированная ОС, а не полнофункциональная) может быть строго ограничена по самой своей сути. Никакого принципиально нового объекта контроля не появляется.

В виртуальной же среде старт системы растянут на другое количество этапов, а не просто на разные СВТ: включение физических серверов —> загрузка основных ОС (ОС гипервизора/ ОС с управляющими сервисами) —> включение управляющих сервисов —> отправка сигнала о включении виртуальной машины (ВМ) —> обработка сигнала гипервизором —> включение ВМ f загрузка ОС.

Компоненты традиционных СЗИ НСД способны проконтролировать только часть этих этапов, и за скобками при этом остается абсолютно принципиальный этап включения ВМ и загрузка ее ОС (с установленным компонентом безопасности, который также некому проконтролировать). Задача специальных СЗИ НСД, предназначенных для виртуальных инфраструктур заключается именно в этом, а все остальные — можно решить комбинированием традиционных продуктов. Специализированные СЗИ НСД, предназначенные именно для защиты систем виртуализации, в том числе и сертифицированные, на отечественном рынке присутствуют. Значит, есть из чего выбирать, и необходимы критерии для того, чтобы выбор этот был осознанным.

Однако прежде чем выбирать средство защиты виртуальной инфраструктуры, нужно выбрать саму инфраструктуру, то есть — средство виртуализации. От этого выбора зависит настолько многое в том, как будет в дальнейшем организована жизнь всей системы, что делать его следует точно не только сердцем.

< ... >

warning!   Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2018 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100