Bezpieczna wirtualizacja

"Nie jestem na tyle zarozumiały, aby twierdzić, że można zapobiec udanym atakom, więc postanowiłem stworzyć oprogramowanie, które pozwala na minimalizacje potencjalnych szkód" mówi Arun Sood. Swoją ideę wyjaśnia na przykładzie: "Jeśli serwer co minutę będzie odłączany od sieci, to haker ma dokładnie minutę na przeprowadzenie udanego ataku". Choć więc w ten sposób nie można całkowicie wyeliminować zagrożenia, to SCIT pozwala na jego istotne zmniejszenie. Oprogramowanie SCIT zawiera mechanizmy zarządzające czasem życia wirtualnych serwerów i synchronizujące ich działanie w taki sposób, aby usługi i aplikacje mogły być dostępne bez widocznych przerw. Z punktu widzenia komputerów klienckich wirtualne serwery są widoczne bez zakłóceń.

SCIT najlepiej nadaje się do obsługi serwerów obsługujących krótkie transakcje, co potwierdziły jego testy na serwerach DNS, WWW oraz obsługujących jednokrotne logowanie (single-sign-on). W praktyce okazało się, że oprogramowanie może w tych zastosowaniach działać efektywnie. Wydajność systemów nie ulega degradacji, nawet gdy wirtualne serwery są dostępne zaledwie przez kilka sekund. Po odłączeniu maszyny VM, wchodzący w skład pakietu moduł SCIT Controller tworzy nowy serwer wirtualny wykorzystując odpowiedni obraz i zapisany wcześniej stan maszyny. Zanim stary serwer zostanie usunięty, dodatkowe oprogramowanie może w trybie offline przeprowadzić jego analizę w celu zbadania, czy nie zawiera szkodliwego oprogramowania lub modyfikacji zagrażających bezpieczeństwu systemu. Możliwe jest oczywiście zapisanie go w archiwum i późniejsze badanie stanu.

Na tym nie kończą się możliwości technologii SCIT. Pozwala ona na znacznie większe utrudnienie życia hakerom, bo umożliwia generację wirtualnych serwerów, które użytkownikom oferują te same usługi, ale działają na różnych, zmieniających się platformach. Przykładowo serwer świadczący usługi pod kontrolą Linuxa może zostać zastąpiony przez wirtualną maszynę Windows, a wykorzystujący BIND DNS - przez Microsoft DNS. Oprogramowanie SCIT zostało opracowane i przetestowane na platformie VMware, ale Arun Sood twierdzi, że może działać w dowolnym systemie wirtualizacyjnym.

Odzyskiwanie danych z systemów wirtualnych

Kroll Ontrack stworzył narzędzia specjalnie zaprojektowane do odzyskiwania folderów i plików znajdujących się we wszystkich typach systemów wirtualnych VMware, takich jak VMware Infrastructure 2 & 3 (ESX Server, VMFS), VMware Server i VMware Workstation. Jak twierdzą przedstawiciele tej firmy, jest ona obecnie jedyną na rynku, która oferuje usługi dla tego typu systemów, a narzędzia zostały opracowane, bo ostatnio nastąpił znaczący wzrost liczby zapytań o taką usługę napływających do Kroll Ontrack z firm wykorzystujących środowiska wirtualne. W ciągu ostatniego roku "Liczba zleceń związanych z przypadkami utraty danych w środowiskach wirtualnych wzrosła w niektórych krajach nawet dziesięciokrotnie" - mówi Paweł Odor, główny specjalista polskiego oddziału firmy.

Ochrona wirtualnych obrazów

Z kolei McAfee wprowadziła oprogramowanie do skanowania antywirusowego i aktualizacji nieaktywnych, wirtualnych obrazów aplikacji, opracowane specjalnie dla zabezpieczania środowisk wirtualnych. Pakiet McAfee VirusScan Enterprise for Offline Virtual Images ma zapewnić bezpieczeństwo wirtualnych obrazów oprogramowania przechowywanych w systemie. Takie nieaktywne obrazy często nie są aktualizowane i w wypadku ich uruchomienia mogą stwarzać zagrożenie dla bezpieczeństwa systemu. McAfee VirusScan Enterprise for Offline Virtual Images umożliwia automatyczną, okresową ich aktualizację, eliminując tego typu problemy. Oprogramowanie jest dostępne w wersjach na platformy VMware, Citrix XenSource i Microsoft Hyper-V.

Źródła informacji o bezpiecznej konfiguracji systemów wirtualnych

Administratorzy, którzy chcieliby przeprowadzić audyt bezpieczeństwa, mogą skorzystać zaledwie z dwóch lub może trzech przewodników, które zawierają względnie kompletny zestaw wskazówek. Zawarte w nich rady nie zostały dotąd w pełni wdrożone w żadnym oprogramowaniu narzędziowym.

  • VMware Infrastructure 3 Security Hardening opisuje zasady bezpiecznej konfiguracji oprogramowania VMware (http://www.vmware.com/resources/techresources/726). Jak jednak zauważa Edward Haletky, nie wszystkie wskazówki zawarte w tym dokumencie są użyteczne. Największym problemem jest to, że jego autorzy zakładają, iż użytkownik wykorzystuje scentralizowany system kontroli tożsamości i dostępu Active Directory lub LDAP. Z jednej strony systemy te nie dają wysokiego poziomu zabezpieczenia, a z drugiej nie każdy chce lub musi z nich korzystać.
  • Mechanizmy zabezpieczeń systemów wirtualnych opisuje też dokument opracowany przez amerykańską agencję rządową DISA (Defence Information Systems Agency). Niestety nie jest on publicznie dostępny i można mieć problemy z jego uzyskaniem. Niektóre informacje na jego temat można znaleźć na forum użytkowników VMware (http://communities.vmware/thread/140256? tstart=0).
  • Dobrym przewodnikiem może być dokument opublikowany przez organizację CIS (Center for Internet Security -http://www.cisecurity.org). Jest on wersją publikacji dotyczącej bezpieczeństwa systemu Linux przystosowaną do VMware ESX. Niestety informacje w nim zawarte mają ogólny charakter i brakuje opisu specyficznych problemów związanych z konfiguracją oprogramowania VMware.


TOP 200