ВЕРНУТЬСЯ НА ГЛАВНУЮ

Как zVirt уходит от oVirt: безопасность как приоритет при разработке

Платформа zVirt разработана на базе oVirt — виртуализации с открытым исходным кодом. В 2024 года она осталась без поддержки разработчика Red Hat. Он перестал развивать Open Source-проект и выпускать для него обновления по информационной безопасности. Тем не менее ИТ-сообщество продолжает пользоваться oVirt и находить в ней уязвимости.

Регулярное обнаружение уязвимостей — признак того, что продукт популярен, им продолжают пользоваться и тестировать его. Однако многие компании на фоне произошедшего начали сомневаться в безопасности вендорских продуктов, разработанных на базе oVirt.

Использовать «чистую» oVirt действительно рискованно. Любой продукт, который остается без техподдержки и не развивается, опасен для бизнеса. Это подтверждают в том числе и недавние примеры компаний, которые использовали Windows, Cisco и другие решения, оставшиеся без обновлений, и подверглись кибератакам. Но современные вендорские разработки — это не всегда просто локализованные версии oVirt.

Orion soft разрабатывает систему виртуализации, реализуя доработки, которых нет в oVirt. Максим Березин, директор по развитию бизнеса Orion soft, рассказывает о технологиях, процессах и подходах, которые обеспечивают независимость и безопасность zVirt.

Безопасность, гарантированная ФСТЭК

Существует редакция zVirt Max, сертифицированная ФСТЭК (сертификат № 4780 от 19 февраля 2024 года), которая подходит для КИИ и других проектов, требующих соблюдения требований регуляторов. В ней используется сертифицированная ФСТЭК операционная системаРЕД ОС.

Четвертый уровень доверия ФСТЭК подтверждает, что zVirt Max может применяться для защиты информации в государственных информационных системах до 1 класса защищенности включительно, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно, в информационных системах персональных данных до 1 уровня защищенности включительно, в значимых объектах критической информационной инфраструктуры до 1 категории включительно.

Наличие сертификата ФСТЭК гарантирует применение в продукте следующих принципов безопасной разработки:

  • Весь исходный код хранится и поддерживается Orion soft: обеспечена локальная сборка всех компонентов, а также локальное развертывание продуктов;
  • Компоненты, реализующие функции безопасности, проходят статический анализ при каждом обновлении и изменении;
  • В продукте реализованы все функциональные меры по обеспечению безопасности в соответствии с требованиями ФСТЭК;
  • Компоненты поверхности атаки проходят динамический анализ и фаззинг-тестирование при каждом обновлении;
  • Проводится регулярный поиск уязвимостей и мероприятия по их устранению;
  • Компонентный состав продукта жестко задекларирован, что повышает стабильность продукта и минимизирует поверхность атаки.

Переход на безопасное ядро Linux от НИИ ИСП РАН

В несертифицированных версиях zVirt используется ядро Linux от НИИ ИСП РАН. Это ведущий российский научно-исследовательский центр, который занимается разработкой и исследованием операционных систем, компиляторов, программных архитектур и решений в области кибербезопасности. Ядро ИСП РАН базируется на проверенной основе стандартного ядра Linux и проходит тщательное тестирование.

В zVirt используется актуальное ядро версии 6.1, в котором закрыты многие уязвимости, в том числе и одна из самых известных — Dirty Pipe (CVE-2022-0847). Она была исправлена еще в версиях ядра 5.16.11, 5.15.25 и 5.10.102. Наша версия «свежее» и безопаснее.

Самостоятельное обновление значимых компонентов виртуализации

Ключевые системные компоненты виртуализации — libvirt, qemu, openssh, libvirt, python, java, glibc, kernel и многие другие — устаревают. Разработчики zVirt обновляют их, обеспечивают совместимость и вносят патчи.

То же происходит и с Менеджером управления. Orion soft разбивает его на подкомпоненты и независимо от oVirt обеспечивает их обновление. Например, команда самостоятельно обновляет postgresql, java, keycloak, чтобы закрыть обнаруженные уязвимости и пользоваться новой функциональностью при разработке.

Изолированная сборка продукта

Весь пайплайн сборки zVirt происходит в изолированном контуре без доступа в сеть. Это гарантирует, что в исходный код не попадают бэкдоры и недекларированные возможности, нарушающие безопасность конечного продукта.

Использование передовых практик DevSecOps

Чтобы избежать возникновения уязвимостей, процесс работы с безопасностью выстроен на основе best practices DevSecOps:

  • На этапе разработки каждый коммит проверяется статическими анализаторами SVACE и SonarQube, что исключает ошибки в коде. Не только новые коммиты, но и весь исходный код проходят проверку статическими анализаторами, дальнейшую валидацию найденных ошибок, планирование исправлений;
  • SCA-анализ (Software Composition Analysis) обеспечивает полную прозрачность и позволяет мгновенно реагировать на уязвимости в сторонних библиотеках и компонентах продукта;
  • Защита усиливается автоматическими security-скриптами, которые настраивают все компоненты в соответствии с лучшими практиками CIS Benchmarks, исключая человеческий фактор и ошибки конфигурации.

Регулярные обновления и патчи по информационной безопасности

Все перечисленное выше не отменяет важность регулярных обновлений. Orion soft обеспечивает полный цикл поддержки с гарантией своевременного устранения угроз. Регулярно проводится мониторинг критических компонентов системы и закрываются уязвимости в каждом релизе. За последние три года по информационной безопасности для zVirt вышло 4 патча.

Шифрование данных

Начиная с релиза 4.0, в zVirt реализовано шифрование данных. Все пароли хранятся в конфигурационных файлах в зашифрованном виде.

Ночные сборки

Каждую ночь весь код, созданный за день разработчиками, превращается в b-версию zVirt со всем новыми фичами и исправлениями. Эта сборка проходит все этапы тестирования. Утром разработчики и тестировщики видят все обнаруженные проблемы и сразу исправляют их. Этот процесс повторяется каждую ночь и позволяет предотвращать возникновение уязвимостей.

Профили информационной безопасности

Это автоматические security-скрипты, которые настраивают все компоненты системы в соответствии с лучшими практиками CIS Benchmarks, исключая человеческий фактор и ошибки конфигурации. Они позволяют обеспечить дополнительную защиту гипервизоров.

Безопасность на уровне цепочки поставок

zVirt обеспечивает безопасность на уровне цепочки поставок (Software Supply Chain). Все дистрибутивные пакеты (RPM) подписываются собственной подписью Orion soft. Также используются свои доверенные репозитоирии. Это дает заказчикам гарантию подлинности, защиту от несанкционированного обновления, а также является признаком зрелости продукта.

Bug Bounty при экспертной поддержке Positive Technologies

Платформа zVirt размещена на программе Standoff Bug Bounty. Тестирование проводилось в закрытом контуре с ноября 2024 года. Белые хакеры обнаружили 10 уязвимостей, среди которых не было ни одной критической.

На сегодняшний день уже исправлены такие уязвимости, как Self-XSS, Open Redirect в параметре redirect_uri, Blind XSS, доступ к чтению информации о внутреннем устройстве хостов для обычного пользователя без привилегий, blind-SSRF + подмена хоста бэкапов через IDOR, а также закрываются оставшиеся.

Руководство по харденингу zVirt

В партнерстве с экспертами Positive Technologies Orion soft разработал руководство по усилению киберзащищенности zVirt по методологии ХардкорИТ. Она помогает максимально усложнить путь хакера и дать ИТ-команде больше возможностей для предотвращения недопустимых событий, например, утечки конфиденциальной информации или вынужденного простоя в работе систем. Цель подхода — добиться того, чтобы показатель TTR (time to response, время на реагирование и локализацию) как минимум вдвое превышал TTA (время атаки).

Эксперты Positive Technologies выявили более 140 техник, которые хакеры могут применить в атаках на типовую инсталляцию zVirt 4.2, и разработали 17 защитных мер. Среди них — установка последних обновлений zVirt, создание персональных учетных записей для администраторов системы, усиление парольной политики для учетных записей, изменение конфигурации протоколов SSL и TLS и другие.

Подробный разбор мер по усилению киберзащищенности zVirt можно изучить в документе руководства. Оно доступно к скачиванию по ссылке.

Почему Orion soft не пошли по пути собственной разработки

По словам Максима Березина, есть несколько причин, по которым вендор выбрал разработку на базе Open Source:

  • Open Source-проекты объединяют лучшие наработки специалистов со всего мира, в том числе и в части обнаружения уязвимостей. Мы не копируем эти наработки, а развиваем их.
  • Собственная разработка виртуализации на самом деле никогда не собственная на все 100%. Например, написать «с нуля» гипервизор практически невозможно. С этим справилась VMware как компания-первопроходец, но сегодня на полностью самостоятельное повторение этой задачи ушло бы время и объем трудозатрат, несопоставимый с требованиями рынка к развитию российских решений.

Написать решение без единого Open Source-компонента — практически нереальная задача. Они есть и в составе продуктов VMware. Даже те компании, которые заявляют о собственной разработке виртуализации, зачастую используют, например, libvirt и другие Open Source-компоненты.

  • Важное преимущество разработки на базе Open Source — контролируемость кода. Огромное количество разработчиков обладает компетенциями в oVirt. Это значит, что партнеры и заказчики могут самостоятельно проверить исходный код и убедиться в корректной работе нашей системы. Кроме того, благодаря большому количеству специалистов, знакомых с oVirt, упрощается администрирование нашей платформы.

В результате такого количества доработок архитектура zVirt развивается в сторону специализированной защищенной системы, заточенной исключительно под задачи виртуализации.

Рекламаerid:2W5zFJHiSoAРекламодатель: ООО "Орион"ИНН/ОГРН: 9704113582/1227700018996Сайт: https://www.orionsoft.ru/