Как zVirt уходит от oVirt: безопасность в приоритете

Платформа zVirt разработана на базе oVirt — виртуализации с открытым исходным кодом. В 2024 года она осталась без поддержки разработчика Red Hat. Он перестал развивать Open Source-проект и выпускать для него обновления по информационной безопасности. Тем не менее ИТ-сообщество продолжает пользоваться oVirt и находить в ней уязвимости.

Существует редакция zVirt Max, сертифицированная ФСТЭК (сертификат № 4780 от 19 февраля 2024 года), которая подходит для КИИ и других проектов, требующих соблюдения требований регуляторов. В ней используется сертифицированная ФСТЭК операционная система — РЕД ОС.

Четвертый уровень доверия ФСТЭК подтверждает, что zVirt Max может применяться для защиты информации в государственных информационных системах до 1 класса защищенности включительно, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно, в информационных системах персональных данных до 1 уровня защищенности включительно, в значимых объектах критической информационной инфраструктуры до 1 категории включительно.

Наличие сертификата ФСТЭК гарантирует применение в продукте следующих принципов безопасной разработки:

• Весь исходный код хранится и поддерживается Orion soft: обеспечена локальная сборка всех компонентов, а также локальное развертывание продуктов;
• Компоненты, реализующие функции безопасности, проходят статический анализ при каждом обновлении и изменении
• В продукте реализованы все функциональные меры по обеспечению безопасности в соответствии с требованиями ФСТЭК;
• Компоненты поверхности атаки проходят динамический анализ и фаззинг-тестирование при каждом обновлении;
• Проводится регулярный поиск уязвимостей и мероприятия по их устранению;
• Компонентный состав продукта жестко задекларирован, что повышает стабильность продукта и минимизирует поверхность атаки.

В несертифицированных версиях zVirt используется ядро Linux от НИИ ИСП РАН. Это ведущий российский научно-исследовательский центр, который занимается разработкой и исследованием операционных систем, компиляторов, программных архитектур и решений в области кибербезопасности. Ядро ИСП РАН базируется на проверенной основе стандартного ядра Linux и проходит тщательное тестирование.

Ключевые системные компоненты виртуализации — libvirt, qemu, openssh, libvirt, python, java, glibc, kernel и многие другие — устаревают. В нашем продукте мы обновляем их, обеспечиваем совместимость и вносим патчи.

Чтобы избежать возникновения уязвимостей, мы выстроили процесс работы с безопасностью на основе лучших практик DevSecOps:

• На этапе разработки каждый коммит проверяется статическими анализаторами SVACE и SonarQube, что исключает ошибки в коде. Не только новые коммиты, но и весь исходный код проходят проверку статическими анализаторами, дальнейшую валидацию найденных ошибок, планирование исправлений;
• Постоянный аудит: мы знаем состояние каждого компонента в нашем продукте. SCA-анализ (Software Composition Analysis) обеспечивает полную прозрачность и позволяет мгновенно реагировать на уязвимости в сторонних библиотеках и компонентах продукта;
• Защита усиливается автоматическими security-скриптами, которые настраивают все компоненты в соответствии с лучшими практиками CIS Benchmarks, исключая человеческий фактор и ошибки конфигурации.

Наша платформа размещена на программе Standoff Bug Bounty. Тестирование проводилось в закрытом контуре с ноября 2024 года, и недавно мы рассказали о его первых результатах. Белые хакеры обнаружили 10 уязвимостей, среди которых не было ни одной критической.

В партнерстве с экспертами Positive Technologies мы также разработали руководство по усилению киберзащищенности zVirt по методологии ХардкорИТ. Она помогает максимально усложнить путь хакера и дать ИТ-команде больше возможностей для предотвращения недопустимых событий, например, утечки конфиденциальной информации или вынужденного простоя в работе систем. Цель подхода — добиться того, чтобы показатель TTR (time to response, время на реагирование и локализацию) как минимум вдвое превышал TTA (время атаки).

• Open Source-проекты объединяют лучшие наработки специалистов со всего мира, в том числе и в части обнаружения уязвимостей. Мы не копируем эти наработки, а развиваем их;
• Собственная разработка виртуализации на самом деле никогда не собственная на все 100%. Например, написать «с нуля» гипервизор практически невозможно. С этим справилась VMware как компания-первопроходец, но сегодня на полностью самостоятельное повторение этой задачи ушло бы время и объем трудозатрат, несопоставимый с требованиями рынка к развитию российских решений. Написать решение без единого Open Source-компонента — практически нереальная задача. Они есть и в составе продуктов VMware. Даже те компании, которые заявляют о собственной разработке виртуализации, зачастую используют, например, libvirt и другие Open Source-компоненты.
• Важное преимущество разработки на базе Open Source — контролируемость кода. Огромное количество разработчиков обладает компетенциями в oVirt. Это значит, что партнеры и заказчики могут самостоятельно проверить исходный код и убедиться в корректной работе нашей системы. Кроме того, благодаря большому количеству специалистов, знакомых с oVirt, упрощается администрирование нашей платформы.

В результате такого количества доработок архитектура zVirt развивается в сторону специализированной системы, заточенной исключительно под задачи виртуализации. Мы работаем над усилением безопасности и функциональности всей системы.