Платформа zVirt разработана на базе oVirt — виртуализации с открытым исходным кодом. В 2024 года она осталась без поддержки разработчика Red Hat. Он перестал развивать Open Source-проект и выпускать для него обновления по информационной безопасности. Тем не менее ИТ-сообщество продолжает пользоваться oVirt и находить в ней уязвимости. 

Регулярное обнаружение уязвимостей — признак того, что продукт популярен, им продолжают пользоваться и тестировать его. Однако многие компании на фоне произошедшего начали сомневаться в безопасности вендорских продуктов, разработанных на базе oVirt. 

Использовать «чистую» oVirt действительно рискованно. Любой продукт, который остается без техподдержки и не развивается, опасен для бизнеса. Это подтверждают в том числе и недавние примеры компаний, которые использовали Windows, Cisco и другие решения, оставшиеся без обновлений, и подверглись кибератакам. Но современные вендорские разработки — это не всегда просто локализованные версии oVirt. 

В этой статье мы расскажем о технологиях, процессах и подходах, которые обеспечивают независимость и безопасность нашей системы zVirt.

Безопасность, гарантированная ФСТЭК

Существует редакция zVirt Max, сертифицированная ФСТЭК (сертификат № 4780 от 19 февраля 2024 года), которая подходит для КИИ и других проектов, требующих соблюдения требований регуляторов. В ней используется сертифицированная ФСТЭК операционная система — РЕД ОС.

Четвертый уровень доверия ФСТЭК подтверждает, что zVirt Max может применяться для защиты информации в государственных информационных системах до 1 класса защищенности включительно, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно, в информационных системах персональных данных до 1 уровня защищенности включительно, в значимых объектах критической информационной инфраструктуры до 1 категории включительно.

Наличие сертификата ФСТЭК гарантирует применение в продукте следующих принципов безопасной разработки:

• Весь исходный код хранится и поддерживается Orion soft: обеспечена локальная сборка всех компонентов, а также локальное развертывание продуктов;

• Компоненты, реализующие функции безопасности, проходят статический анализ при каждом обновлении и изменении;

• В продукте реализованы все функциональные меры по обеспечению безопасности в соответствии с требованиями ФСТЭК;

• Компоненты поверхности атаки проходят динамический анализ и фаззинг-тестирование при каждом обновлении;

• Проводится регулярный поиск уязвимостей и мероприятия по их устранению;

• Компонентный состав продукта жестко задекларирован, что повышает стабильность продукта и минимизирует поверхность атаки.

Переход на безопасное ядро Linux от НИИ ИСП РАН

В несертифицированных версиях zVirt используется ядро Linux от НИИ ИСП РАН. Это ведущий российский научно-исследовательский центр, который занимается разработкой и исследованием операционных систем, компиляторов, программных архитектур и решений в области кибербезопасности. Ядро ИСП РАН базируется на проверенной основе стандартного ядра Linux и проходит тщательное тестирование. 

Мы используем актуальное ядро версии 6.1, в котором закрыты многие уязвимости, в том числе и одна из самых известных — Dirty Pipe (CVE-2022-0847). Она была исправлена еще в версиях ядра 5.16.11, 5.15.25 и 5.10.102. Наша версия «свежее» и безопаснее.  

Самостоятельное обновление значимых компонентов виртуализации

Ключевые системные компоненты виртуализации — libvirt, qemu, openssh, libvirt, python, java, glibc, kernel и многие другие — устаревают. В нашем продукте мы обновляем их, обеспечиваем совместимость и вносим патчи.

То же происходит и с Менеджером управления. Мы разбиваем его на подкомпоненты и независимо от oVirt обеспечиваем их обновление. Например, мы самостоятельно обновляем postgresql, java, keycloak, чтобы закрыть обнаруженные уязвимости и пользоваться новой функциональностью при разработке.

Изолированная сборка продукта

Весь пайплайн сборки zVirt происходит в изолированном контуре без доступа в сеть. Это гарантирует, что в исходный код не попадают бэкдоры и недекларированные возможности, нарушающие безопасность конечного продукта.

Использование практик DevSecOps

Чтобы избежать возникновения уязвимостей, мы выстроили процесс работы с безопасностью на основе лучших практик DevSecOps:

• На этапе разработки каждый коммит проверяется статическими анализаторами SVACE и SonarQube, что исключает ошибки в коде. Не только новые коммиты, но и весь исходный код проходят проверку статическими анализаторами, дальнейшую валидацию найденных ошибок, планирование исправлений;

• Постоянный аудит: мы знаем состояние каждого компонента в нашем продукте. SCA-анализ (Software Composition Analysis) обеспечивает полную прозрачность и позволяет мгновенно реагировать на уязвимости в сторонних библиотеках и компонентах продукта;

• Защита усиливается автоматическими security-скриптами, которые настраивают все компоненты в соответствии с лучшими практиками CIS Benchmarks, исключая человеческий фактор и ошибки конфигурации.

Регулярное обновление и патчи по информационной безопасности

Все перечисленное выше не отменяет важность регулярных обновлений. Ключевое преимущество нашей платформы — это полный цикл поддержки с гарантией своевременного устранения угроз. Мы регулярно мониторим критические компоненты системы и закрываем уязвимости в каждом релизе. За последние три года мы выпустили 4 патча по информационной безопасности для zVirt.

Шифрование данных

Начиная с релиза 4.0, в zVirt реализовано шифрование данных. Все пароли хранятся в конфигурационных файлах в зашифрованном виде.

Ночные сборки

В отличие от моделей, где обновления безопасности выходят раз в квартал, мы находим и устраняем проблемы ежедневно. Каждую ночь весь код, созданный за день разработчиками, превращается в b-версию zVirt со всем новыми фичами и исправлениями. Эта сборка проходит все этапы тестирования. Утром разработчики и тестировщики видят все обнаруженные проблемы и сразу исправляют их. Этот процесс повторяется каждую ночь и позволяет предотвращать возникновение уязвимостей.

Профили информационной безопасности

По запросу наших клиентов мы разрабатываем и дополняем так называемые профили безопасности. Это автоматические security-скрипты, которые настраивают все компоненты системы в соответствии с лучшими практиками CIS Benchmarks, исключая человеческий фактор и ошибки конфигурации. Они позволяют обеспечить дополнительную защиту гипервизоров.

Безопасность на уровне цепочки поставок

zVirt обеспечивает безопасность на уровне цепочки поставок (Software Supply Chain). Все дистрибутивные пакеты (RPM) подписываются нашей собственной подписью. Также используются свои доверенные репозитоирии. Это дает заказчикам гарантию подлинности, защиту от несанкционированного обновления, а также является признаком зрелости продукта.

Bug Bounty при экспертной поддержке Positive Technologies

Наша платформа размещена на программе Standoff Bug Bounty. Тестирование проводилось в закрытом контуре с ноября 2024 года, и недавно мы рассказали о его первых результатах. Белые хакеры обнаружили 10 уязвимостей, среди которых не было ни одной критической. 

На сегодняшний день мы уже исправили такие уязвимости, как Self-XSS, Open Redirect в параметре redirect_uri, Blind XSS, доступ к чтению информации о внутреннем устройстве хостов для обычного пользователя без привилегий, blind-SSRF + подмена хоста бэкапов через IDOR, а также закрываем оставшиеся.

Руководство по харденингу zVirt

В партнерстве с экспертами Positive Technologies мы также разработали руководство по усилению киберзащищенности zVirt по методологии ХардкорИТ. Она помогает максимально усложнить путь хакера и дать ИТ-команде больше возможностей для предотвращения недопустимых событий, например, утечки конфиденциальной информации или вынужденного простоя в работе систем. Цель подхода — добиться того, чтобы показатель TTR (time to response, время на реагирование и локализацию) как минимум вдвое превышал TTA (время атаки).

Эксперты Positive Technologies выявили более 140 техник, которые хакеры могут применить в атаках на типовую инсталляцию zVirt 4.2, и разработали 17 защитных мер. Среди них — установка последних обновлений zVirt, создание персональных учетных записей для администраторов системы, усиление парольной политики для учетных записей, изменение конфигурации протоколов SSL и TLS и другие.

Подробный разбор мер по усилению киберзащищенности zVirt можно изучить в статье наших коллег из Positive Technologies на Хабре, а также в документе руководства. Оно доступно к скачиванию по ссылке. Мы также разрабатываем рекомендации по усилению защищенности zVirt и по индивидуальному запросу заказчиков.

Почему мы не пошли по пути собственной разработки

Есть несколько причин, по которым мы выбрали разработку на базе Open Source:

• Open Source-проекты объединяют лучшие наработки специалистов со всего мира, в том числе и в части обнаружения уязвимостей. Мы не копируем эти наработки, а развиваем их.

• Собственная разработка виртуализации на самом деле никогда не собственная на все 100%. Например, написать «с нуля» гипервизор практически невозможно. С этим справилась VMware как компания-первопроходец, но сегодня на полностью самостоятельное повторение этой задачи ушло бы время и объем трудозатрат, несопоставимый с требованиями рынка к развитию российских решений. 

  Написать решение без единого Open Source-компонента — практически нереальная задача. Они есть и в составе продуктов VMware. Даже те компании, которые заявляют о собственной разработке виртуализации, зачастую используют, например, libvirt и другие Open Source-компоненты. 

• Важное преимущество разработки на базе Open Source — контролируемость кода. Огромное количество разработчиков обладает компетенциями в oVirt. Это значит, что партнеры и заказчики могут самостоятельно проверить исходный код и убедиться в корректной работе нашей системы. Кроме того, благодаря большому количеству специалистов, знакомых с oVirt, упрощается администрирование нашей платформы.

Заключение

В результате такого количества доработок архитектура zVirt развивается в сторону специализированной системы, заточенной исключительно под задачи виртуализации. Мы работаем над усилением безопасности и функциональности всей системы.

На самом деле спектр доработок, отличающих zVirt от oVirt в части архитектуры, стабильности, безопасности и функциональности гораздо шире. В ближайшие недели мы выпустим на Хабре серию статей с подробной историей создания zVirt и разбором ее отличий от Open Source. В первой части расскажем, как выбирали подход к разработке и почему сделали ставку на oVirt, а в следующих перечислим и прокомментируем техническую составляющую более 25 уникальных фич, технологий и подходов, которые внедрили и реализовали с 2018 года. О выходе публикаций можно будет узнать в нашем Tg-канале.