"Средства виртуализации"

В зависимости от цели защиты информации ГОСТ Р 56938-2016 предлагает шесть групп мер защиты информации:Защита средств создания и управления виртуальной инфраструктурой;Защита виртуальных вычислительных системЗащита виртуальных систем хранения данныхЗащита виртуальных каналов передачи данныхЗащита отдельных виртуальных устройств обработки, передачи и хранения информации;Защита виртуальных устройств безопасности и защиты информации, предназначенных для использования в виртуализированных средах.6 Сравнение производительности гипервизоровДля сравнения рассмотрим самые высокопроизводительные неавтономные гипервизоры под управлением операционных систем Linuõ (KVM и Xen 4.10.0) и Windоws (VMware P;ayer 14 и Oracle VirtualBox 5.2.8).ЦП(центральный процессор)Гипервизоры Хеп и KVM предлагают широкий спектр возможностей для задания характеристик виртуального процессора, от набора инструкций и модели процессора до топологии. Для оптимальной производительности необходимо указывать модель как 'основной процессорный зонд', что дает практически полную информацию о физическом устройстве; при использовании KVM свойство 'thread count' топологии процессора определяет количество потоков на ядро, но не CPU, а общее количество потоков.Включение больших страниц памяти, недоступных в операционной системе Windws, несколько повысит производительность, но включенные страницы не будут доступны хост-системе на базе Linux. Результаты этого теста показаны на рисунке 1-4.Рисунок 1. Тестирование ЦП в СPU-Z версии 1.83, применяется одно ядроРисунок 2. Тестирование ЦП в СPU-Z версии 1.83, применяются все ядраРисунок 3. Тестирование ЦП в тесте производительности 7-Ziр версии 18.01Рисунок 4. Тестирование ЦП в Cinеbеnch R15Самая большая производительность была достигнута с применением Хеn, отличие в производительности среди рассмотренных гипервизоров является незначительной. Видеоподсистема.Рисунок 5. Результаты тестирования видеоподсистемы в Cinеbеnch R15Производительность физического видеоадаптера в приложениях, которые требуют большого объёма видеопамяти, в гипервизоре Хеn существенно больше, чем в КVM. Данное обстоятельство может быть вызвано причиной неоптимального управления гипервизором IОММU.Оперативная память и сетевые подсистемы.Для обеспечения связи между виртуальной операционной системой и операционной системой хоста используется механизм трансляции сетевых адресов для обмена информацией через мост типа Virtual Adapter, Virtual Network Adapter - Red Hat VitIO Nestwork Adapter Различия в скорости передачи данных, оцененной по протоколам TCP, ICMP и UDP, находятся в пределах ± 1%, что можно отнести к ошибкам в тестовом программном обеспечении. Различия в производительности оперативной памяти (задержка, запись, копирование и чтение) также несущественны на уровне 1%. Различия в производительности оперативной памяти (задержка, запись, копирование и чтение) также несущественны на уровне 1%. Различия в производительности оперативной памяти (латентность, запись, копирование и чтение) незначимы на уровне 1%.Дисковые подсистемы.Каждый гипервизор может использовать в качестве хранилища физические носители и файловые контейнеры фиксированного размера или динамические. Виртуальные машины используют файловые контейнеры и виртуальные дисковые шины IDE для обеспечения лучшей переносимости.Помимо гипервизора Xen, другие гипервизоры поддерживают создание моментальных снимков виртуальных машин для быстрого восстановления предыдущего состояния; в случае Hep за создание моментальных снимков отвечает операционная система.Кроме того, дисковая подсистема Xen является производительной и гибкой, а VirtuallBox оказался наиболее приближенным к реальной дисковой скорости.Таким образом, можно сделать вывод, что при использовании хостовой операционной системы, основанной на ядре Windows, VMware Player имеет наилучшую производительность и превосходит вариант VirtualBox по нескольким параметрам.При использовании Linux в качестве хостовой операционной системы следует использовать Hep, чтобы максимально увеличить производительность процессора и устройств PCI-Express (например, для ресурсоемких вычислений и тестирования). Если виртуальной машине необходимо обеспечить более быструю дисковую подсистему и гибкость управления, следует использовать KVM, если можно смириться с некоторым снижением производительности устройств PCI-Express.ЗаключениеТехнология виртуализации стала неотъемлемой частью современных ИТ-инфраструктур, поскольку она позволяет значительно ускорить внедрение новых услуг и оптимизировать расходы на поддержку существующих информационных сервисов и систем.Ожидается, что широкомасштабное внедрение технологии виртуализации в деятельность различных служб позволит значительно перераспределить и снизить затраты на ИТ-технологии. Современные микропроцессорные технологии и повышение эффективности локальных и глобальных сетей (в том числе беспроводных) позволяют виртуализировать практически все элементы ИТ-индустрии и реализовать их в виде облачных сервисов, которые можно расширять по мере необходимости.Из-за разнообразия векторов атак, направленных на различные компоненты и сервисы в виртуальных средах, недостаточно использовать только специализированные продукты для обеспечения безопасности обработки данных в виртуализированных центрах обработки данных. Для обеспечения безопасности виртуализированных центров обработки данных требуется комплексная система защиты, которая учитывает основные векторы атак и новые возможности для преступников и основана на наборе процессов ИБ, таких как контроль доступа, управление событиями, управление инцидентами, обновление и настройка безопасности, обновление угроз и анализ уязвимостей.Список литературыГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». –URL: https://docs.cntd.ru/document/1200135524ГОСТ Р ИСО/МЭК 27001-2006. «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования». –URL: https://docs.cntd.ru/document/1200058325Алексеев А.Л., Красноперова Е.А., Вахрушева Е.А. Гипервизоры и виртуальные машины // Сборник трудов Всероссийской научно-технической конференции. отв. ред. К. Ю. Петухов. 2019. Издательство: Издательство ИжГТУ им. М.Т. Калашникова. – 2019. – С. 121-128. –URL: https://search.rsl.ru/ru/record/01006591161Гилязев И.Н. Концепция и методы обеспечения безопасности среды виртуализации // Материалы конференций ГНИИ «Нацразвитие». Апрель 2018 Сборник избранных статей Международных научных конференций. – 2018. – С. 121-124.-URL: https://www.elibrary.ru/item.asp?id=35202308