Czarna strona chmury

Menedżerowie IT zaczynają się martwić ryzykiem związanym z wirtualizacją serwerową. Powszechnie podnosi się problem ewentualnego przełamania zabezpieczeń hypervisora, ale większość kłopotów może mieć swoje korzenie zupełnie gdzie indziej.

Obawy związane z bezpieczeństwem wirtualizacji zaczęły się pojawiać dość często po publikacji modelowego rootkita Joanny Rutkowskiej "Blue Pill" na konferencji Black Hat 2006. Odtąd dostawcy zaczęli wprowadzać technologię, która wykorzystuje opcje sprzętowe do zapewnienia integralności hypervisorów (na przykład Intel Virtualization Technology for Directed I/O, czyli VT-d). Instrukcje te zawiera większość z dziś sprzedawanych procesorów serwerowych klasy x86, rozwiązania wirtualizacji bardzo aktywnie z nich korzystają. Zatem wykorzystanie rootkita w takiej postaci, jaką prezentowała Joanna Rutkowska, jest mało prawdopodobne, z czym zgadza się także sama badaczka.

Komputerowi włamywacze nie są zainteresowani konstrukcją i wykorzystywaniem tak zaawansowanych i skomplikowanych rootkitów, szczególnie że doskonale znane rootkity rodem z lat dziewięćdziesiątych, z powodzeniem mogą posłużyć do przejmowania kontroli nad starszymi systemami operacyjnymi. Tradycyjne podejście atakujące system jest znacznie prostsze i o wiele skuteczniejsze w praktyce od łamania hypervisora. Wiele ze słabości nie dotyczy wcale samego oprogramowania hypervisora, a kryje się w szczegółach konfiguracji, niewiedzy administratorów, braku dobrych praktyk, a także niewłaściwym wdrożeniu, które nie uwzględniało od początku spraw bezpieczeństwa środowiska wirtualizowanego.

Domyślne hasła, brak aktualizacji

Dość często można spotkać źle skonfigurowane środowisko wirtualizacji. Problemy mogą dotyczyć niedostatecznie wdrożonej polityki aktualizacji hypervisora, ale także ustawienia łatwych do odgadnięcia nazw użytkownika i haseł do konsol zarządzania, które mają pełny dostęp do hypervisora. Niekiedy można spotkać nawet narzędzia do zarządzania całym środowiskiem, umieszczone po niewłaściwej stronie zapory sieciowej.

Domyślne hasła są częstym problemem, podobnie brak polityki częstej zmiany haseł. W takim przypadku napastnik może po prostu odgadnąć hasło i uzyskać dostęp do całego środowiska. Jest to jednak problem, który jest równie stary jak komputery w firmach. W przypadku konsoli wirtualizacji wpływ jest jednak kolosalny - może skutkować przełamaniem zabezpieczeń wszystkich serwerów eksploatowanych w tym środowisku.

Maszyny wirtualne to obszary na dysku

Należy pamiętać, że maszyny wirtualne od strony sprzętu są jedynie obszarem na dysku, zestawem plików lub sektorów przechowywanych na macierzy dyskowej. Jeśli firma myśli poważnie o zabezpieczeniu środowiska wirtualizacji, musi także wdrożyć politykę zabezpieczeń uwzględniającą ten fakt. Nie można dopuścić, by intruz mógł skopiować pliki (na przykład kopie migawkowe) maszyn wirtualnych na urządzenie przenośne lub przesłał je przez sieć.

Podobnie nie można dopuścić, by ktokolwiek mógł w nieautoryzowany sposób wprowadzić zmiany w obrazach maszyn wirtualnych. Niektóre firmy stosują w tym celu kombinację rozwiązań bezpieczeństwa technicznego ograniczających dostęp fizyczny do serwerów, założeń polityki kontroli dostępu do zasobów storage oraz monitoringu spójności zasobów wirtualizacji. Zadaniem tych środków jest ochrona spójności obrazów hostowanych systemów.