ГОСТ Р 59163-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Руководство по обеспечению безопасности при внедрении серверов виртуализации

     6.2 Общие угрозы

Приведенные ниже угрозы обычно встречаются в виртуальной среде инфраструктуры центров обработки данных и в среде облачных вычислений, но не относятся к технологии СВ как таковой:

- ошибка администратора: администратор может непреднамеренно неправильно установить или настроить СВ, что приведет к снижению эффективности механизмов обеспечения безопасности;

- утечка данных: если существует возможность обмена данными между доменами несмотря на запрет политики безопасности, злоумышленник в одном домене или сети может получить данные из другого домена. Такая междоменная утечка данных может, например, привести к получению посторонними лицами информации ограниченного доступа, корпоративных конфиденциальных или личных данных;

- небезопасная конфигурация сети: СВ сам является узлом крупной корпоративной сети, следовательно, сетевая конфигурация СВ и недостаточный уровень защиты на уровне сервера могут оказать влияние на все программные продукты и приложения, работающие на нем;

- компроментация платформы: размещение на СВ ненадежных или вредоносных доменов может поставить под угрозу безопасность и целостность платформы, на которой работает СВ;

- неудовлетворительное управление криптографическими ключами: если ключи криптографических приложений хранятся в небезопасных местах, безопасность зашифрованных данных может быть легко скомпрометирована;

- сторонний программный продукт: уязвимости стороннего программного продукта, используемого в качестве компонента СВ (например, драйверов устройств), могут поставить под угрозу безопасность всего СВ;

- несанкционированный доступ: пользователь может получить несанкционированный доступ к данным и исполняемому на СВ коду. Злоумышленник, процесс или внешний ИТ-объект могут сымитировать разрешенный объект для получения несанкционированного доступа к данным или ресурсам СВ;