Использование технологий виртуализации для принципиального усиления традиционных средств защиты информации

Аннотация доклада на Национальном форуме по информационной безопасности Инфофорум-2017

© Сергей Панасенко, АНКАД, 2017.

Даже наиболее стойкие и качественные из существующих средств обеспечения информационной безопасности в том или ином виде подвержены обходу. При проектировании и разработке систем защиты информации обычно не ставится задача сделать обход средств защиты принципиально невозможным, поскольку такую задачу крайне сложно решить и доказать корректность решения. Вместо этого решается задача сделать успешную атаку на средство защиты крайне маловероятной и требующей значительных финансовых вложений и ресурсов.

Рассмотрим в качестве примера системы контроля и разграничения доступа к объектам файловой системы, работающие на уровне ядра операционной системы. Работа подобных систем обычно основана на перехвате обращений на доступ к контролируемым ресурсам от каких-либо программных модулей, преимущественно работающих на уровне прикладного программного обеспечения. Данный принцип позволяет качественно решить задачи контроля доступа к ресурсам операционной системы, но его корректность зависит от целостности контролирующего программного обеспечения.

Возможное нарушение целостности программных модулей систем разграничения доступа (и следующее из него нарушение правил разграничения доступа) может возникнуть в случае внедрения в ядро операционной системы вредоносного программного кода – например, в виде драйвера какого-либо устройства. Поскольку работая на уровне ядра операционной системы невозможно противодействовать вредоносному коду, исполняющемуся на том же уровне, данный вредоносный код может оказать влияние на исполняющиеся программные модули системы разграничения доступа, в результате которого может быть получен несанкционированный доступ к защищаемым объектам. В наиболее благоприятном для злоумышленника случае вредоносный модуль может даже полностью выключить модули защиты, что даст злоумышленнику полный доступ к объектам файловой системы.

Заметим, что любой контроль модулей системы разграничения доступа со стороны программных средств, работающих на том же уровне, лишь незначительно усложняет задачу злоумышленника, поскольку контролирующие модули могут быть аналогичным образом модифицированы или выключены вредоносным программным кодом. А возможности контроля корректности работы программных модулей систем разграничения доступа со стороны аппаратных средств не всегда осуществимы и не решают описанных проблем гарантированно.

Таким образом, задачи контроля целостности и корректности функционирования модулей системы защиты, работающей на уровне ядра операционной системы, необходимо решать на более низком уровне, исключающем возможности воздействия на контролирующие модули со стороны вредоносного кода, внедренного в ядро операционной системы.

В таком случае уместным кажется применение многоуровневой схемы, в которой модули системы разграничения доступа работают на уровне ядра виртуальной (гостевой) операционной системы, а контролирующие модули располагаются на уровне гипервизора. Причем сам гипервизор может представлять собой доверенное микроядро операционной системы, загружаемое из аппаратного средства защиты – например, из аппаратно-программного модуля доверенной загрузки.

В этом случае загрузка гипервизора выполняется под контролем аппаратного средства защиты, а работа модулей уровня ядра операционной системы контролируется со стороны модулей гипервизора. Результатом является невозможность незамеченного модулями системы защиты воздействия на их работу со стороны любых других модулей ядра операционной системы. Качество защиты значительно повышается.