1 2 3 Previous Next 34 Replies Latest reply on Jun 7, 2011 11:49 PM by DarkDeny Go to original post
      • 15. Re: Шифрование данных ВМ
        Umlyaut Expert

        Тимофеев Сергей wrote:

         

        А имеет ли вобще смысл "изъятие сервера" в виртуальной инфраструктуре? Ведь чтобы добраться до информации в ВМ надо изымать тогда уж и СХД, и свичи.

         

        Великолепный вопрос! Приз в студию!!!

        И, коллега, я даже не ёрничаю - Вы действительно выстрелили. Сам уже неоднократно катал данную мысль по извилинкам (с учётом личного опыта, кстати).

         

        "Серые братья", на самом-то деле, бывают разные (правда "в сухом остатке", как правило, одно и то же ).

        В подавляющем большинстве случаев на изъятие не приезжают их "експерты" (дабы разбираться, что брать, что оставить), поэтому метут из серверной все корпуса (не похвальбы ради, но иллюстрации для позволю себе ссылку на один трёп по данному поводу - http://sysadmin.mail.ru/story/one/id/10933?comments=all#comment ... я там тоже "высказался" - см. мой коммент от 20:05, 20 августа 2008).

         

        Так что в случае SAN по-крайней мере хранилку точно вывезут... а вот свитчи не брать у них ума хватает, что характерно - поэтому какую-нибудь Брокаду легко оставят на месте.   Впрочем, даже если на изъятие приедут какие-либо "К"шники, то ничего не изменится - всё равно укажуть брать "всё, что шевелится".

         

        Ладно, вывезли они хосты Сферы и хранилку(ки).

        Теперь перед ними стоит задача распотрошить трофеи на предмет интересующей их инфы.

        Если они грамотные и будут придерживаться канонов, то вначале постараются так или иначе снять образы "дисков серверов", дабы работать с ними. С дисклесс-хостами Сферы им не повезёт - максимум смогут поковыряться в стартовой флешке (а то и этого им не свезёт - если хост грузится с SAN). Ну а "снятие образа с хранилки" (имеется ввиду что-то взрослое - типа Netapp/EMC/HP/etc.) развлечёт их о-о-очень надолго.

         

        Впрочем, захоти они просто включить хосты и хранилки, чтобы исследовать "наживую", яснее картина для них не станет (говорю это на полном серьёзе, т.к., зная их уровень, абсолютно не склонен их "демонизировать" как нив@#енных спецов...).

         

        Собственно уже где-то на этой стадии возникает точка бифуркации - либо они "спустят флаг" (и тогда оперы, "колющие" клиента на признанку, с мордой валенком начнут рассказывать ему военные песни про то, что их експерты всё раскрыли и ему нужно только подтвердить... поподробнее ), либо запросят "помощь зала".

        Второй вариант тоже потенциально дихотомичен - либо они начнут напрягать админа терроризируемой лавки (пугая его статьёй за препятствование следствию... что не есть тру), либо обратятся "на сторону", к гуру-виртуализаторам (возможно даже к кому-то из присутствующих).

         

        Вот в последнем случае и возникает острая нужда в зашифрованных VM`ках, т.к. половина из тутошнего народа по меньшей мере имеет представление об устройстве VI и способах извлечения из неё инфы. Кстати, для этого  даже не нужны свитчи - хватит и любого компа с интерфейсом, подходящим для цепляния к хранилке.

        И когда гуру крепко пособит "серым", извлекши из хранилки все VM`ки на свет божий, тут-то и похвалит (мысленно) себя админ за решение применить FDE внутри VM`ки...

         

        Дисклаймер: всё вышесказанное суть есть моё имхо, основанное на реальных событиях (в т.ч. происходивших со мною лично).

        • 16. Re: Шифрование данных ВМ
          DarkDeny Novice

          Имеет, имеет. Мне как раз больше нравится рассматривать вопрос - пришли и унесли все, что нашли. Весь шкаф-стойку. Так вот хочется. чтобы пользы им это дало ноль.

           

          Можно разжевать про iSCSI с шифрованием? А то я пока что новичок в теме.

           

          P.S. За мелкой "перепалкой" (а на самом деле дискуссией) наблюдать было интересно, т.к. это не холивар был, а вполне себе технический разговор двух умных людей, а это всегда интересно почитать (по крайней мере мне).

          • 17. Re: Шифрование данных ВМ
            DarkDeny Novice

            Про масштабируемость - не хочется повторять однотипных действий (а ля ТруКрипт) на каждой новой создаваемой виртуалке. Однозначно впереди внедрение ERP, и тут уже вполне глобально встает вопрос, как это можно внедрить не потеряв в безопасности данных и не сильно бить по производительности ИС.

            • 18. Re: Шифрование данных ВМ
              Skyrod7 Expert

              DarkDeny wrote:

               

              Можно сформулировать задачу просто - в случае, если сервер (или отдельный жесткий диск) попадет в руки злоумышленников, они не должны суметь извлечь данные.

              Изначально говорилось о "сервере или отдельном жестком диске", что меня и удивило. Если врагу достается ВСЁ, то это уже немного другой случай.

              • 19. Re: Шифрование данных ВМ
                Skyrod7 Expert

                vRumata wrote:

                 

                Пока не совсем понял связь между потребностью в шифровании данных и виртуализацией. Вы чего от ESXi ожидаете сверх того, что может Windows + TrueCrypt?

                 

                По существу вопроса: читал, что StarWind может шифровать образ диска: Диски StarWind iSCSI Enterprise - шифрование данных образа диска и расширение хранилищ

                Пробовал и на Free и с NFR-лицензией - выдает ошибку 29 при попытке создать Encrypted таргет. Обычные создаются без проблем.

                Не пробовали?

                • 20. Re: Шифрование данных ВМ
                  RumataRus Master

                  Нет, коллега, не пробовал.

                  На текущий момент для нас не слишком актуальны iSCSI-таргеты, а свободного времени на "научные" опыты пока нет.

                  • 21. Re: Шифрование данных ВМ
                    AntonVZhbankov Guru
                    User Moderators

                    У меня появился один маленький вопрос. А зачем их шифровать? От кого Вы хотите таким способом защититься?

                    • 22. Re: Шифрование данных ВМ
                      DarkDeny Novice

                      В самом первом посте на второй страничке дискуссии уважаемый Umlyaut весьма красиво расписал один из примеров. Ну а учитывая реалии нашей страны, изъятие может происходить и по заказу конкурентов. Так, что цель бизнеса в данном случае максимально защититься от такого рода случаев, в честь чего и создана тема с этим вопросом.

                      • 23. Re: Шифрование данных ВМ
                        AntonVZhbankov Guru
                        User Moderators

                        В этом случае нужно не забывать о таком действенном средстве, как терморектальный криптоанализ. Зачем шифрованные данные взламывать грубой силой, если можно просто попросить пароль?

                        • 24. Re: Шифрование данных ВМ - очень много букв...
                          Umlyaut Expert

                          Anton Zhbankov wrote:

                           

                          В этом случае нужно не забывать о таком действенном средстве, как терморектальный криптоанализ. Зачем шифрованные данные взламывать грубой силой, если можно просто попросить пароль?

                           

                          Антон, я считаю, что Ваш довод непригоден для серьёзной дискусии по обсуждаемой теме. Заметьте, я даже не говорю, что Вы не правы...

                           

                          Не буду касаться аналогий по типу "замки только от честных людей, а кому надо, тот вскроет" (что характерно, сей аргУмент не заставляет отказаться от усиленных замков/дверей даже высказывающих его); "честному человеку не нужна анонимность, т.к. ему нечего скрывать" (собственная жизнь при этом нисколько не выставляется напоказ) и пр. Зайду с более практического азимута...

                           

                           

                          * * *

                          Для начала (как админ, у которого был подобный опыт - вывоз серверов с последующим  "допросом"  на предмет "а поговорить?") хотел бы отметить, что любой "наезд" имеет свою экономическую составляющую и развивается по определённым правилам.

                           

                          Т.е. никто к Вам сразу с паяльником не полезет - вначале идут прощупывания, пугалки entry-level (например, в моём случае это выглядело как искусственная "криминализация" обычной хозяйственной деятельности на уровне терминов и определений - "вы, гражданин Umlyaut, подозреваетесь в активном участии в деятельности организованной преступной группы, которая систематически и в крупных размерах совершала деяния, предусмотренные ст.--- УК РФ") - и отслеживается реакция клиента.

                           

                          Поскольку нужная им реакция (немедленное и тотальное раскаяние во всём, что было и чего не было) отсутствовала, "сотрудники" предприняли эскалацию давления: было заявлено, что их специалисты уже всю "изобличающую" инфу нашли и извлекли, а мне надо выбирать - подтвердить (читай - самому добровольно "рассказать, показать и дать потрогать", то бишь извлечь инфу и дать им на сравнение с их "уловом"), либо упереться/отказаться и тем самым оказать активное противодействие следствию, за что, между прочим, мне светит соответствующая статья. Не найдя понимания с моей стороны, они поднажали - выдвинули конкретное требование: вот прямо сейчас пойти к их експертам и под их присмотром вытащить всю инфу, а иначе я их огорчу до невозможности и они начнут делиться своим огорчением со мною.

                           

                          В этом месте "производственный конфликт" сделал замысловатый пируэт - я вежливо поинтересовался своим статусом и основаниями для  участия в каких-либо процессуальных действиях (дело в том, что всё мероприятие проходило в формате "беседы для получения объяснений"). Моя любознательность то ли обескуражила их, то ли расстроила, вызвав очередной приступ эскалации давления - мне был обещан статус подозреваемого и задержание на N часов в стенах их богоугодного заведения. Ну, в эту игру можно играть и в обе стороны - я выразил уверенность, что в таком случае мне нет никакого интереса вообще о чём-то с ними разговаривать до появления адвоката.

                           

                          Поскольку заминка в интервью, видимо, изначально не входила в их планы, то они сделали попытку растолковать подоходчивее, чем для меня может быть чревато пребывание у них в гостях (на словах это звучало как "ну вы же понимаете, что условия содержания в ИВС сильно отличаются от санаторных" - одновременно опер нависал надо мною, выразительно разминая кулаки). Пришлось громко и внятно (под аудиозапись) сказать, что я, конечно, не могу воспрепятствовать нарушению ими процессуальных норм или даже совершению ими прямых беззаконных действий, однако им не стоит рассчитывать на безнаказанность впоследствии (многозначительный взгляд на опера) - за свои действия им так или иначе придётся ответить.

                           

                          В качестве "лирического отступления" был момент, когда они буквально просили "сознаваться во всём", мотивируя это тем, что мой коллега в соседнем кабинете "уже всё рассказал". Наверно, они забыли о том, что мы с этим "коллегой" (который был моим шефом, на минуточку!)прибыли на беседу вместе и уж мне всяко лучше знать, что он им "рассказал".

                           

                          Теперь немного подоплёки...

                           

                          В нашей стране ни для кого не секрет, что любой бизнес крупнее продажи пучка петрушки у метро имеет свою кры... своих благодетелей, защищающих от различных непредвиденных обстоятельств, не регулируемых обычными методами. Этакий неофициальный GR.

                           

                          Так вот и "защитники", и "нападающие" придерживаются определённых правил, одним из которых является недопущение беспредела по отношению к сотрудникам защищаемой лавки (это не мои домыслы, а прямая речь нашего тогдашнего куратора от благодетелей). Иначе говоря, "нападающим" приходится дозировать меры воздействия на сотрудников атакованной компании, не допуская совсем уж кромешного изуверства/душегубства, чтобы впоследствии не отвечать "по понятиям" уже перед благодетелями.

                          Этому, кстати, способствует и тот факт, что "цена вопроса" для нападающих на обычный бизнес окупает "злоупотребление служебным положением" и нарушение УПК в процессе использования "формы, пистолета и камер ИВС", но не покрывает риски в случае грубого нарушения УК в части причинения вреда сотрудникам атакованной компании. Соответственно как сразу, так и потом с паяльником выпытывать пароли не будут.

                           

                          "Игра" в таком случае идёт по старой поговорке урок: "мало скажешь - мало дадут, много скажешь - много дадут, ничего не скажешь - ничего не дадут".

                          Чем меньше информации о компании попадёт в руки нападающих, тем легче благодетелям отбивать своих подопечных (мало что есть предъявить). Благодетели не могут (да и не хотят, наверное) помешать нападающим совершать квазизаконные действия по отношению к опекаемым, но если последние не допустили захвата информационных массивов компании, то задача благодетелей резко упрощается.

                          И, кстати, "торговля" между "защитниками" и "нападающими" идёт жёсткая и карты на стол кладутся с обеих сторон - на слово, как в анекдоте про джентльменов, никто не верит - предъявите, что нарыли, а на понт брать бесполезно и протоколами "бесед" трясти нет смысла. Кстати, в нашем случае я отказался подписывать протокол беседы, заявив, что это мне не нужно - это стоило мне ещё сорока минут уговоров и угроз, но ушёл я без подписи... а благодетели наши потом прослушивали аудиозапись беседы (нападающие были вынуждены предоставить её, как я уже сказал) и ухохатывались - но, кстати, высоко оценили мою линию поведения.

                           

                           

                          Тем не менее вероятность нарваться на нештатное развитие сюжета существует (ну мало ли, покажется нападающим, что овчинка стОит выделки).

                          Собственно, после описанных событий (хотя я и не рисковал особо ничем, т.к. сервер с главной БД под вывоз не попал, будучи ненайденным/неопознанным и у моих собеседников были два DC и терминальный сервер) я стал предусматривать в своей (да и чужой, если заказывали) инфраструктуре отсутствие возможности вытряхнуть из меня доступ к инфе. Это и ввод парольной фразы на криптодиск/контейнер силами иного должностного лица (в западной парадигме ИБ это может быть "офицер безопасности"), и отсутствие прямого доступа и/или возможности захвата кей-файлов, необходимых для загрузки/монтирования крипторесурсов (хорошо показано в хабрахабровской статье, на которую можно выйти по ссылкам из этого треда).

                           

                          Словом, на данный момент при применении ко мне неконвенциональных методов воздействия я охотно сдам устройство информационной инфраструктуры нападающим (включая даже и пароли от стандартных элементов инфры) - это всё равно не поможет им завладеть желаемым.

                          Дело в том, Антон, что нормальная защита информационной инфраструктуры должна рассредоточенно опираться в том числе на ресурсы (хосты, люди), недоступные для обычных нападающих (пусть и в погонах). И если контору накрыли и вывезли серверы/хранилки, то у конторы есть зазор по времени (до начала экспертных действий и далее), в котором некое воздействие (от оставшихся на свободе даже и неспециалистов) положит удалённый ресурс с кей-файлами. А поднять этот ресурс может только отдельный человек, не присутствующий в радиусе досягаемости нападающих.

                          Т.е. обезопасить админа, исключив его из участия в данной цепи событий, небог весть как  сложно.

                          И админ, изложивший (насколько это вообще ему известно) устройство подобной системы безопасности спецам противника, перестаёт быть интересен любителям паяльников, т.к. они понимают (сами или по подсказке своих експертов), что он не в теме.

                           

                          Вот как-то так. Извините за пространное изложение, но иначе никак...

                          • 25. Re: Шифрование данных ВМ - очень много букв...
                            FondRGS Hot Shot

                            Как в той рекламе "Как я Вас понимаю"...

                             

                            Я тоже оттирал-отдирал скотч с вернувшихся ко мне обратно серверов.

                             

                            Очень интересен вопрос про "облачных хостеров".

                             

                            1. Есть "VmWare ОБЛАКО"  (далее "Обл")

                            2. В этом Обл живет некая Виртуальная машина VmFCK, принадлежащая компании FCK Ltd

                            3. Приезжают товарищи из, например, СВАО, у которых на FCK Ltd заведено уголовное дело или "оперативные данные".

                             

                            Хорошо, если у меня на одном из серверов случайно прилипла бумажка "Собственость FCK", и заберут только его...

                             

                            А теперь вопрос, если "просят отдать" систему хранения, на которой еще ХХ машин арендаторов. Как кто поступал в таких случаях?

                             

                            Понятно, что нужно подключать коллег из полезных ведомств, но на этапе упаковки в скотч, кто как решал проблемы?

                             

                            WBR, N-ff

                            • 26. Re: Шифрование данных ВМ - очень много букв...
                              Umlyaut Expert

                              Alexey (N-ff) wrote:

                               

                              Очень интересен вопрос про "облачных хостеров".

                               

                              1. Есть "VmWare ОБЛАКО"  (далее "Обл")

                              2. В этом Обл живет некая Виртуальная машина VmFCK, принадлежащая компании FCK Ltd

                              3. Приезжают товарищи из, например, СВАО, у которых на FCK Ltd заведено уголовное дело или "оперативные данные".

                               

                              Хорошо, если у меня на одном из серверов случайно прилипла бумажка "Собственость FCK", и заберут только его...

                               

                              А теперь вопрос, если "просят отдать" систему хранения, на которой еще ХХ машин арендаторов. Как кто поступал в таких случаях?

                               

                              Понятно, что нужно подключать коллег из полезных ведомств, но на этапе упаковки в скотч, кто как решал проблемы?

                               

                              Коллега, как я в таких случаях говорю, "это вопрос не технический, а организационный"(с).

                              И для облачного админа это "вопрос не по окладу" - его (вопрос) нужно задавать корпоративным юристам клауд-хостера (имхо, вряд ли тут таковые присутствуют) - причём на этапе заключения договора.

                               

                              Впрочем, в нашей стране любой самый-пресамый положительный ответ клауд-юриста не будет гарантией от вывоза всей  SAN хостера (если, конечно, хостер не  крайняяплоть от плоти контoры глубинного бурения). Что заставляет корпоративных клиентов не торопиться "витать в облаках"... ну или искать облачность в иных районах глобуса (пламенный привет Амазону  с его недавним "затмением облака").

                               

                              С недавнего времени данную облачно-юридическую тему стараюсь отслеживать на http://www.ibusiness.ru/ (спасибо автору Книги за наводку - на его блоге недавно была ссылка на тамошнюю статью по облачной тематике, в т.ч. и в этом разрезе). Другое дело, что именно клауд-юризм там клубится пока только в форме вопрошаний (по типу Вашего) - "а что будет, если/когда...?" Т.е. внятных ответов никто не имеет (ну или не рискует их давать, бо без мазы всё одно)...

                               

                              Короче, грустный аспект Вы затронули... будем пока сидеть по своим приватным облакам (и шЫфровать, шЫфровать...)...

                              • 27. Re: Шифрование данных ВМ
                                DarkDeny Novice

                                Дискуссия идет, а каких-то практических решений пока не видно. Или я "не там читал" (с).

                                Итак имеем варианты:

                                1. Шифрование внутри ВМ. Недостаток - надо настраивать на каждой ВМ отдельно.

                                2. Диски StarWind iSCSI Enterprise - но никто на практике этого пока не применял, только видели сообщения об ошибках.

                                 

                                Подскажите еще такой вопрос - ESXi может хранить образ диска ВМки, где-нибудь в локалке? Например на файл-сервере Windows? Это бы значительно облегчило мою задачу, т.к. раздел на Windows я легко смогу зашифровать TrueCrypt'ом.

                                 

                                P.S. Мне кажется, что решение где-то рядом, но я пока никак не могу его нащупать, а задачу решать надо, т.к. текущие сервера (не самой мощной конфигурации с точки зрения жестких дисков) уже не очень справляются в моменты пиковых нагрузок...

                                • 28. Re: Шифрование данных ВМ
                                  EGarbuzov Virtuoso
                                  VMware Employees

                                  DarkDeny wrote:

                                   

                                  Подскажите еще такой вопрос - ESXi может хранить образ диска ВМки, где-нибудь в локалке? Например на файл-сервере Windows? Это бы значительно облегчило мою задачу, т.к. раздел на Windows я легко смогу зашифровать TrueCrypt'ом.

                                  1. Создание хранилища NFS на Windows Server 2008 R2 для VMware vSphere / ESX

                                  2. Windows 2008 as Storage for vSphere (iSCSI)

                                  1 person found this helpful
                                  • 29. Re: Шифрование данных ВМ
                                    Umlyaut Expert

                                    DarkDeny wrote:

                                     

                                    Дискуссия идет, а каких-то практических решений пока не видно. Или я "не там читал" (с).

                                     

                                    Возможно... Собственно, практические советы в треде были, просто Вы их не заметили (см.пост №6).

                                     

                                    Итак имеем варианты:

                                    1. Шифрование внутри ВМ. Недостаток - надо настраивать на каждой ВМ отдельно.

                                     

                                    М-ммм... Коллега, попробуйте абстрагироваться от VM и посмотреть на задачу "as is".

                                     

                                    В настоящее время в компьютерной/информационной инфраструктуре практически любой организации преобладают централизованные сервисы и клиент-серверные модели обработки информации (Вы тут, кстати, недавно про ERP вспоминали).

                                    Соответственно, в общем случае нам не нужно защищать полным шифрованием каждую клиентскую машину (неважно, виртуальную или физическую) - достаточно защищить централизованное хранилище данных, с которым она работает (файл-сервер, SQL-сервер, Exchange и т.д, и т.п.).

                                     

                                    Отсюда вытекает, что создавая новое рабочее место (опять же неважно - виртуальное или физическое), Вам нет нужды каждый раз

                                    "...повторять однотипных действий (а ля ТруКрипт) на каждой новой создаваемой виртуалке..."

                                    Ну а серверы Вы не будете создавать пачками каждый раб.день - с ними-то как раз и имеет смысл индивидуально проводить процедуру зашифровывания (т.к. тот же ТруКрипт не рекомендует клонировать криптоконтейнеры/криптодиски - это уменьшает безопасность).

                                    Т.ч. "проблем с масштабируемостью" я не вижу - их просто не будет.

                                     

                                    2. Диски StarWind iSCSI Enterprise - но никто на практике этого пока не применял, только видели сообщения об ошибках.

                                    Просто здесь СтарВинд не самое популярное решение, мало к то тратит на него свои ресурсы.

                                    Но если Вам это интересно, то пуркуа бы и не па?

                                     

                                    iSCSI-таргет СтарВинда отдаёт инициатору не физический раздел или диск, а некий "виртуализированный" (или уместнее сказать - "эмулируемый"), являющийся файлом-контейнером, располагающимся на файловой системе хоста с Windows-сервером, на котором и установлен СтарВинд. Зашифруйте с помощью чего хотите (Трукрипт, Бесткрипт, Драйвкрипт, ПГП, etc.) тот раздел хоста СтарВинда, на котором лежат файлы-контейнеры, транслируемые "наружу" по iSCSI - и в случае захвата СтарВинд-хоста врагами они не получат доступа к файлам-контейнерам iSCSI-дисков с VM`ками внутри них.

                                     

                                    Подскажите еще такой вопрос - ESXi может хранить образ диска ВМки, где-нибудь в локалке? Например на файл-сервере Windows? Это бы значительно облегчило мою задачу, т.к. раздел на Windows я легко смогу зашифровать TrueCrypt'ом.

                                     

                                    Ну, во-первых, ESXi не хранит образы дисков в локалке - только на своём локальном сторадже. В Вашем "например" образы хранит файл-сервер Windows.

                                    Как тут уже отметил только что Евгений, Вы можете раздать раздел с Windows-сервера как по NFS (лично меня NFS под виндой не впечатлил - кривовато и глючновато), так и по iSCSI - во втором варианте это будет практически аналогично СтарВинду (по части устройства таргета), т.к. 2008-й раздаёт по iSCSI так же "эмулируемые" LUNы, являющиеся файлами-контейнерами (VHD) на файловой системе 2008-го, которую Вы можете так же закриптовать.

                                     

                                    Только в случае криптохранилища VM`ок не забудьте перемещать и быкапить их так же на защищённые (зашифрованные) носители, иначе VM`ки лягут на них "голенькими"...