Безопасность в основе: путь zVirt к независимости от oVirt

Платформа zVirt создана на основе открытого решения для виртуализации oVirt. Однако в 2024 году Red Hat прекратил поддержку этого проекта, перестав выпускать обновления, в том числе и для устранения уязвимостей. Несмотря на это, сообщество специалистов продолжает активно использовать oVirt, регулярно обнаруживая в нём новые проблемы безопасности.

Частое выявление уязвимостей говорит о востребованности продукта, который по-прежнему применяется и исследуется. Тем не менее, многие организации начали задаваться вопросом о надёжности коммерческих решений, построенных на базе oVirt, после прекращения его основной поддержки.

Эксплуатация неподдерживаемой «чистой» oVirt сопряжена с рисками. Любой продукт, лишённый технического сопровождения и развития, представляет потенциальную угрозу для бизнеса. Это подтверждается, например, случаями кибератак на компании, использовавшие устаревшие версии Windows, Cisco и других систем без актуальных обновлений. Однако современные предложения вендоров — не всегда просто адаптированные версии oVirt.

Компания Orion soft развивает собственную систему виртуализации, внедряя усовершенствования, отсутствующие в исходном проекте. Максим Березин, директор по развитию бизнеса Orion soft, объясняет, какие технологии, процессы и подходы обеспечивают автономность и защищённость zVirt.

Безопасность, подтверждённая ФСТЭК

Существует редакция zVirt Max, имеющая сертификат ФСТЭК (№ 4780 от 19 февраля 2024 года). Она предназначена для использования в КИИ и других проектах, где необходимо соответствие регуляторным требованиям. В её основе лежит также сертифицированная ФСТЭК операционная система — РЕД ОС.

Четвёртый уровень доверия по классификации ФСТЭК означает, что zVirt Max может применяться для защиты информации в государственных информационных системах до 1 класса защищённости включительно, в автоматизированных системах управления производственными процессами до 1 класса защищённости включительно, в информационных системах персональных данных до 1 уровня защищённости включительно, а также на значимых объектах КИИ до 1 категории включительно.

Наличие сертификата ФСТЭК гарантирует, что при создании продукта соблюдались следующие принципы безопасной разработки:

• Исходный код полностью хранится и сопровождается компанией Orion soft: гарантирована локальная сборка всех модулей, а также локальное внедрение продуктов;
• Компоненты, отвечающие за функции защиты, подвергаются статическому анализу при каждом обновлении и модификации;
• В продукте внедрены все необходимые меры безопасности в соответствии с нормативами ФСТЭК;
• Элементы, образующие поверхность атаки, проходят динамический анализ и фаззинг-тестирование при каждом обновлении;
• Осуществляется планомерный поиск уязвимостей и работы по их исправлению;
• Состав компонентов продукта строго фиксирован, что повышает его надежность и сокращает возможные векторы атак.

Переход на защищенное ядро Linux от НИИ ИСП РАН

В несертифицированных редакциях zVirt применяется ядро Linux, разработанное НИИ ИСП РАН. Этот институт является ведущим российским научным центром, специализирующимся на создании и изучении операционных систем, компиляторов, программных архитектур и решений в сфере кибербезопасности. Ядро от ИСП РАН построено на надежной основе стандартного ядра Linux и проходит всестороннее тестирование.

В zVirt используется современное ядро версии 6.1, в котором устранены многие уязвимости, включая широко известную — Dirty Pipe (CVE-2022-0847). Она была исправлена еще в версиях ядра 5.16.11, 5.15.25 и 5.10.102. Наша версия более новая и обеспечивает повышенную защищенность.

Самостоятельное обновление ключевых компонентов виртуализации

Важные системные элементы виртуализации — libvirt, qemu, openssh, python, java, glibc, kernel и другие — со временем устаревают. Разработчики zVirt своевременно обновляют их, обеспечивают совместимость и применяют необходимые патчи.

Аналогичный подход используется и для Менеджера управления. Orion soft разделяет его на отдельные подкомпоненты и независимо от oVirt организует их обновление. Например, команда самостоятельно обновляет postgresql, java, keycloak, чтобы устранять обнаруженные уязвимости и использовать новые возможности в процессе разработки.

Изолированная сборка продукта

Весь процесс сборки zVirt выполняется в изолированной среде без доступа к сети. Это исключает попадание в исходный код скрытых угроз и необъявленных функций, которые могли бы нарушить безопасность конечного продукта.

Применение передовых принципов DevSecOps

Для предотвращения появления уязвимостей, работа с вопросами безопасности выстроена на основе лучших практик DevSecOps:

• В процессе разработки каждый коммит проходит проверку с помощью статических анализаторов SVACE и SonarQube, что предотвращает появление дефектов в коде. Анализу подвергаются не только новые изменения, но и вся кодовая база, с последующей верификацией обнаруженных проблем и планированием их устранения;
• SCA-анализ (анализ состава программного обеспечения) гарантирует полную открытость и позволяет оперативно реагировать на угрозы в используемых сторонних библиотеках и компонентах продукта;
• Безопасность укрепляется за счёт автоматических security-скриптов, которые настраивают все элементы системы в соответствии с рекомендациями CIS Benchmarks, исключая влияние человеческого фактора и ошибки в конфигурациях.

Систематические обновления и патчи для информационной безопасности

Все перечисленные меры дополняются необходимостью регулярного обновления. Orion soft предоставляет полный цикл сопровождения, гарантируя своевременное устранение угроз. Осуществляется постоянный мониторинг ключевых компонентов системы, а в каждом выпуске закрываются обнаруженные уязвимости. За последние три года для zVirt было выпущено 4 патча по информационной безопасности.

Шифрование данных

Начиная с версии 4.0, в zVirt реализована функция шифрования данных. Все пароли сохраняются в конфигурационных файлах в зашифрованном формате.

Ночные сборки

Каждую ночь весь код, написанный разработчиками в течение дня, преобразуется в b-версию zVirt, включающую все новые функции и исправления. Данная сборка проходит полный цикл тестирования. Утром разработчики и тестировщики получают отчёт о выявленных проблемах и сразу приступают к их исправлению. Этот процесс повторяется ежедневно и помогает предотвращать возникновение потенциальных уязвимостей.

Профили информационной безопасности

Это автоматизированные security-скрипты, которые конфигурируют все компоненты системы согласно лучшим практикам CIS Benchmarks, устраняя человеческий фактор и ошибки настройки. Они обеспечивают дополнительный уровень защиты для гипервизоров.

Безопасность на уровне цепочки поставок

zVirt обеспечивает безопасность на уровне цепочки поставок программного обеспечения (Software Supply Chain). Все дистрибутивные пакеты (RPM) подписываются собственной цифровой подписью Orion soft. Также используются собственные доверенные репозитории. Это гарантирует клиентам подлинность продукта, защиту от несанкционированных обновлений и свидетельствует о зрелости решения.

Bug Bounty при поддержке экспертов Positive Technologies

Платформа zVirt участвует в программе Standoff Bug Bounty. Тестирование проводилось в закрытом режиме с ноября 2024 года. Специалисты по этичному хакингу обнаружили 10 уязвимостей, ни одна из которых не была критической.

На текущий момент уже устранены такие уязвимости, как Self-XSS, Open Redirect в параметре redirect_uri, Blind XSS, возможность чтения информации о внутренней структуре хостов для обычного пользователя без привилегий, blind-SSRF с подменой хоста резервных копий через IDOR, а также ведётся работа по закрытию оставшихся.

Руководство по усилению защиты zVirt

Совместно со специалистами Positive Technologies компания Orion soft подготовила методическое пособие по повышению уровня кибербезопасности платформы zVirt в соответствии с принципами ХардкорИТ. Данная методология направлена на значительное усложнение задач для злоумышленников и расширение инструментария ИТ-отделов для предотвращения критических инцидентов, таких как утечка секретных данных или незапланированные простои инфраструктуры. Ключевая цель — обеспечить, чтобы время на реагирование и нейтрализацию угрозы (TTR) как минимум в два раза превосходило продолжительность самой атаки (TTA).

Аналитики Positive Technologies определили свыше 140 потенциальных методов, которые могут быть использованы для атак на стандартную установку zVirt 4.2, и предложили 17 соответствующих контрмер. К ним относятся, в частности, установка актуальных обновлений zVirt, создание индивидуальных учетных записей для администраторов, ужесточение политики паролей, корректировка настроек протоколов SSL и TLS и ряд других.

Детальный обзор всех рекомендуемых мер защиты для zVirt представлен в полной версии руководства. Скачать документ можно по этой ссылке.

Почему Orion soft не пошли по пути собственной разработки

Как пояснил Максим Березин, выбор в пользу разработки на основе Open Source был обусловлен несколькими факторами:

• Проекты с открытым исходным кодом аккумулируют передовые идеи экспертов по всему миру, включая методы выявления уязвимостей. Мы не просто заимствуем эти решения, а активно дорабатываем и совершенствуем их.
• Полностью самостоятельная разработка платформы виртуализации — это, по сути, недостижимая цель. Например, создание гипервизора «с чистого листа» сегодня является чрезвычайно сложной задачей. С этим когда-то справилась VMware как пионер отрасли, но сейчас попытка полностью повторить этот путь потребовала бы времени и ресурсов, несоизмеримых с рыночными требованиями к скорости развития отечественных решений.

Создать продукт без единого компонента с открытым кодом практически невозможно. Такие компоненты присутствуют даже в решениях VMware. Многие компании, декларирующие собственную разработку виртуализации, на деле часто используют, к примеру, libvirt и другие открытые технологии.

• Существенное преимущество Open Source — это прозрачность и контролируемость кода. Множество разработчиков обладают опытом работы с oVirt. Это позволяет партнерам и клиентам при необходимости самостоятельно анализировать исходный код и проверять корректность работы системы. Кроме того, широкое распространение знаний об oVirt облегчает процесс администрирования нашей платформы.

В результате проведенных модификаций архитектура zVirt эволюционирует в сторону специализированной защищенной системы, оптимизированной исключительно для задач виртуализации.