Использование технологий виртуализации создает предпосылки для появления угроз безопасности, не характерных для информационных систем, построенных без использования технологий виртуализации. Общий перечень угроз, дополнительно могущих возникать при использовании технологий виртуализации, включает угрозы, описанные далее [из 5 Угрозы безопасности, обусловленные использованием технологий виртуализации ГОСТ Р 56938–2016]
5.1 Угрозы атаки на активное и (или) пассивное виртуальное и (или) физическое сетевое оборудование из физической и (или) виртуальной сети ГОСТ Р 56938-2016
Данные угрозы появляются в связи с ограниченностью функциональных возможностей (наличием слабостей) активного и (или) пассивного виртуального и (или) физического сетевого оборудования, входящего в состав виртуальной инфраструктуры. На реализацию данных угроз прямое влияние оказывают: наличие уязвимостей программного и (или) микропрограммного обеспечения указанного оборудования, наличие у него фиксированного сетевого адреса и другие параметры его настройки, возможность изменения алгоритма работы программного обеспечения (ПО) сетевого оборудования вредоносными программами [из 5.1 Угрозы атаки на активное и (или) пассивное виртуальное и (или) физическое сетевое оборудование из физической и (или) виртуальной сети ГОСТ Р 56938–2016]
5.2 Угрозы атаки на виртуальные каналы передачи ГОСТ Р 56938-2016
Данные угрозы связаны со слабостями технологий виртуализации, с помощью которых строят виртуальные каналы передачи данных (сетевых технологий виртуализации). Некорректное использование сетевых технологий виртуализации может обеспечивать возможность несанкционированного перехвата трафика сетевых узлов, недоступных с помощью других сетевых технологий [из 5.2 Угрозы атаки на виртуальные каналы передачи ГОСТ Р 56938–2016]
5.3 Угрозы атаки на гипервизор из виртуальной машины и (или) физической сети ГОСТ Р 56938-2016
Данные угрозы связаны со слабостями гипервизора, а также слабостями программных средств и ограниченностью функциональных возможностей аппаратных средств, используемых для обеспечения его работоспособности. Реализация данных угроз приводит к недоступности всей (если гипервизор – один) или части (если используют несколько взаимодействующих между собой гипервизоров) виртуальной инфраструктуры [из 5.3 Угрозы атаки на гипервизор из виртуальной машины и (или) физической сети ГОСТ Р 56938–2016]
5.4 Угрозы атаки на защищаемые виртуальные устройства из виртуальной и (или) физической сети ГОСТ Р 56938-2016
Данные угрозы связаны с наличием у гипервизоров сетевых программных интерфейсов, предназначенных для удаленного управления составом и конфигурацией виртуальных устройств, созданных (создаваемых) данными гипервизорами, что позволяет злоумышленнику удаленно осуществлять несанкционированный доступ (НСД) к этим устройствам с помощью сетевых технологий из виртуальной и (или) физической сети. Возможный ущерб может быть связан с доступностью данных виртуальных устройств [из 5.4 Угрозы атаки на защищаемые виртуальные устройства из виртуальной и (или) физической сети ГОСТ Р 56938–2016]
5.5 Угрозы атаки на защищаемые виртуальные машины из виртуальной и (или) физической сети ГОСТ Р 56938-2016
Данные угрозы появляются в связи с наличием у создаваемых ВМ сетевых адресов и возможностью осуществления ими сетевого взаимодействия с другими субъектами как с помощью стандартных сетевых технологий, так и с помощью сетевых технологий виртуализации [из 5.5 Угрозы атаки на защищаемые виртуальные машины из виртуальной и (или) физической сети ГОСТ Р 56938–2016]
5.6 Угрозы атаки на защищаемые виртуальные машины из виртуальной и (или) физической сети ГОСТ Р 56938-2016
Данные угрозы появляются в связи с наличием у создаваемых ВМ сетевых адресов и возможностью осуществления ими сетевого взаимодействия с другими субъектами как с помощью стандартных сетевых технологий, так и с помощью сетевых технологий виртуализации [из 5.6 Угрозы атаки на защищаемые виртуальные машины из виртуальной и (или) физической сети ГОСТ Р 56938–2016]
5.7 Угрозы атаки на систему хранения данных из виртуальной и (или) физической сети ГОСТ Р 56938-2016
Угрозы данного типа реализуются за счет слабостей применяемых технологий распределения информации по различным виртуальным устройствам хранения данных и (или) виртуальным дискам, а также слабостей технологии единого виртуального дискового пространства. Указанные слабости связаны со сложностью алгоритмов обеспечения согласованности при реализации процессов распределения информации в рамках единого виртуального дискового пространства, а также взаимодействия с виртуальными и физическими каналами передачи данных для обеспечения работы в рамках одного дискового пространства [из 5.7 Угрозы атаки на систему хранения данных из виртуальной и (или) физической сети ГОСТ Р 56938–2016]
5.8 Угрозы выхода процесса за пределы виртуальной машины ГОСТ Р 56938-2016
Данные угрозы связаны с наличием слабостей ПО гипервизора, реализующего функцию изолированной программной среды для функционирующих в ней программ. В случае запуска вредоносной программой собственного гипервизора, функционирующего по уровню логического взаимодействия ниже компрометируемого гипервизора, последний, как и запущенные в нем средства защиты, не способен выполнять функции безопасности в отношении программ, функционирующих в собственном гипервизоре [из 5.8 Угрозы выхода процесса за пределы виртуальной машины ГОСТ Р 56938–2016]
5.9 Угрозы несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение ГОСТ Р 56938-2016
Данные угрозы связаны с наличием слабостей ПО гипервизора, обеспечивающего изолированность адресного пространства, используемого для хранения программного кода не только защищаемой информации и обрабатывающих ее программ, но и программного кода, реализующего виртуальное аппаратное обеспечение (виртуальные устройства обработки, хранения и передачи данных), от НСД со стороны вредоносной программы, функционирующей внутри ВМ. В случае осуществления НСД со стороны вредоносной программы, функционирующей внутри ВМ, к данным, хранящимся за пределами зарезервированного под пользовательские данные адресного пространства данной ВМ, вредоносная программа может не только нарушать целостность программного кода своей и (или) других ВМ, функционирующих под управлением того же гипервизора, но и изменять параметры его (их) настройки [из 5.9 Угрозы несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение ГОСТ Р 56938–2016]
5.10 Угрозы нарушения изоляции пользовательских данных внутри виртуальной машины ГОСТ Р 56938-2016
Данные угрозы связаны с наличием слабостей ПО гипервизора, обеспечивающего изолированность адресного пространства, используемого для хранения пользовательских данных программ, функционирующих внутри ВМ, от НСД со стороны вредоносного ПО, функционирующего вне ВМ. В результате реализации данной угрозы может быть нарушена безопасность пользовательских данных программ, функционирующих внутри ВМ [из 5.10 Угрозы нарушения изоляции пользовательских данных внутри виртуальной машины ГОСТ Р 56938–2016]
5.11 Угрозы нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия ГОСТ Р 56938-2016
Данная угроза связана с наличием множества различных протоколов взаимной идентификации и аутентификации виртуальных, виртуализованных и физических субъектов доступа, взаимодействующих между собой в ходе передачи данных как внутри одного уровня виртуальной инфраструктуры, так и между ее уровнями. Реализуемость данной угрозы напрямую зависит от качества реализации как самих протоколов, так и механизмов их взаимодействия [из 5.11 Угрозы нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия ГОСТ Р 56938–2016]
5.12 Угрозы перехвата управления гипервизором ГОСТ Р 56938-2016
Угрозы перехвата управления гипервизором связаны с наличием у консоли управления гипервизором программных интерфейсов взаимодействия с другими субъектами доступа (процессами, программами) и, как следствие, с возможностью НСД к данной консоли. Возможный ущерб может быть связан с нарушением безопасности информационных, программных и вычислительных ресурсов, зарезервированных и управляемых гипервизором [из 5.12 Угрозы перехвата управления гипервизором ГОСТ Р 56938–2016]
5.13 Угрозы перехвата управления средой виртуализации ГОСТ Р 56938-2016
Угрозы перехвата управления средой виртуализации связаны с наличием у консоли управления виртуальной инфраструктурой, реализуемой в рамках одной из ВМ, а также у управляемых с ее помощью гипервизоров программных интерфейсов взаимодействия с другими программами и, как следствие, с возможностью НСД к указанному ПО уровня управления. Возможный ущерб может быть связан с нарушением безопасности информационных, программных и вычислительных ресурсов виртуальной инфраструктуры [из 5.13 Угрозы перехвата управления средой виртуализации ГОСТ Р 56938–2016]
5.14 Угрозы неконтролируемого роста числа виртуальных машин ГОСТ Р 56938-2016
Данные угрозы связаны с наличием ограниченности объема дискового пространства, выделенного под виртуальную инфраструктуру и слабостями технологий контроля процесса создания ВМ, в связи с чем возможно случайное или несанкционированное преднамеренное создание множества ВМ. В результате реализации данной угрозы может быть ограничена или нарушена доступность виртуальных ресурсов для конечных пользователей облачных услуг [из 5.14 Угрозы неконтролируемого роста числа виртуальных машин ГОСТ Р 56938–2016]
5.15 Угрозы неконтролируемого роста числа зарезервированных вычислительных ресурсов ГОСТ Р 56938-2016
Данные угрозы связаны со слабостями ПО уровня управления виртуальной инфраструктурой, обеспечивающего выделение компьютерных ресурсов (вычислительных ресурсов и ресурсов памяти). Реализация данной угрозы возможна за счет НСД к указанному ПО и из–за ошибок в его коде [из 5.15 Угрозы неконтролируемого роста числа зарезервированных вычислительных ресурсов ГОСТ Р 56938–2016]
5.16 Угрозы нарушения технологии обработки информации путем несанкционированного внесения изменений в образы виртуальных машин ГОСТ Р 56938-2016
Данные угрозы связаны с отсутствием в ПО виртуализации защитных механизмов, предотвращающих НСД к образам ВМ. В результате реализации данной угрозы может быть нарушена конфиденциальность обрабатываемой с помощью данных ВМ защищаемой информации, целостность программ, установленных на ВМ, а также доступность ресурсов данных ВМ.
Кроме того, внедрение вредоносного ПО в образы ВМ, используемые в качестве шаблонов (эталонные образы), может быть использовано при создании ботнета в ходе подготовки к проведению атаки типа «отказ в облуживании». В этом случае может быть нарушена безопасность информации, обрабатываемой в других ВМ, сегментов виртуальной инфраструктуры или сторонних информационных систем.
Примечание — Под ботнетом понимают распределенную компьютерную сеть, создаваемую нарушителем путем внедрения специального вредоносного ПО в доступные, но не принадлежащие ему компьютеры и вычислительные системы (в основном — компьютеры, подключенные к сети Интернет), предназначенную для согласованного одновременного проведения распределенной компьютерной атаки на целевую компьютерную систему (компьютер–жертву).
[из 5.16 Угрозы нарушения технологии обработки информации путем несанкционированного внесения изменений в образы виртуальных машин ГОСТ Р 56938–2016]
5.17 Угрозы несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации ГОСТ Р 56938-2016
В связи с применением множества технологий виртуализации, предназначенных для работы сданными (распределение данных внутри виртуальных и логических дисков, распределение данных между такими дисками, распределение данных между физическими и виртуальными накопителями единого дискового пространства, выделение областей дискового пространства в виде отдельных дисков и др.), практически все файлы хранятся в виде множества отдельных сегментов. Следовательно, в подавляющем большинстве случаев последовательное чтение данных с отдельно взятого носителя не позволяет нарушать конфиденциальность защищаемой информации, хранимой в системах хранения данных. В связи с этим, меры по обеспечению конфиденциальности информации, хранящейся на отдельных накопителях, практически не применяют.
Тем не менее, применение ПО и информационных технологий по обработке распределенной информации позволяет восстанавливать целостность распределенных файлов, содержащих защищаемую информацию, и, тем самым, нарушать ее конфиденциальность [из 5.17 Угрозы несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации ГОСТ Р 56938–2016]
5.18 Угрозы ошибок обновления гипервизора ГОСТ Р 56938-2016
Данные угрозы связаны с зависимостью функционирования каждого виртуального устройства и каждого виртуализированного субъекта доступа, а также всей виртуальной инфраструктуры (или ее части, если используют более одного гипервизора) от работоспособности гипервизора. Некорректно обновленный гипервизор может привести к дискредитации функционирующих на его основе защитных механизмов, предотвращающих НСД к образам ВМ. Возможный ущерб может быть связан с нарушением конфиденциальности обрабатываемой с помощью данных ВМ защищаемой информации, целостности программ и доступности ресурсов данных ВМ.
Примечание — Ошибками обновления гипервизора являются:
- сбои в процессе его обновления;
- обновления, в ходе которых внедряются новые ошибки в код гипервизора;
- обновления, в ходе которых в гипервизор внедряется программный код, вызывающий несовместимость гипервизора со средой его функционирования;
- другие инциденты безопасности информации, происходящие в процессе обновления гипервизора.
[из 5.18 Угрозы ошибок обновления гипервизора ГОСТ Р 56938–2016]