Зачастую, специалисты полагают, что разделив подсети с помощью межсетевого экрана (в т.ч. сертифицированного), можно больше особо не заботится о дополнительных угрозах безопасности, которые неизбежно появляются при использовании виртуализации в каком-то из выделенных сетевых сегментов. Это не так, дополнительные угрозы безопасности при внедрении систем вирутализации существуют, их необходимо учитывать.
Вот перечень некоторых "новых" угроз, от которых применение внешнего межсетевого экрана (МЭ) либо защищает не полностью, либо не защищает вообще.
- Атака на гипервизор с виртуальной машины - МЭ не применим
- Атака на гипервизор из физической сети – МЭ может быть ограничено применим.
- Атака на диск виртуальной машины – МЭ не применим.
- Атака на средства администрирования виртуальной инфраструктуры - МЭ может быть ограничено применим.
- Атака на виртуальную машину с другой виртуальной машины – МЭ не применим
- Атака на сеть репликации виртуальных машин - МЭ может быть ограничено применим.
- Неконтролируемый рост числа виртуальных машин – МЭ не применим.
...поэтому и существуют специализированные для защиты виртуальных сред решения, позволяющие обеспечить их безопасность.
Специалисты КРОК рекомендуют использовать специализированные решения для обеспечения защиты виртуальных сред (решения на базе продукта vGate компании "Код безопасности" либо решения компаний HyTrust, CatBird, Altor Networks; Apani; Catbird; Reflex Systems; Stonesoft и ряда других).
