Masowa wirtualizacja: czy to bezpieczne?
-
- 09.02.2010
Za pomocą rozwiązania tej klasy można chronić maszyny, które same nie posiadają zainstalowanego agenta antywirusowego, przy czym skanowanie jest możliwe także w przypadku maszyn w stanie wstrzymania i wyłączonych. Skanowanie wyłączonych lub wstrzymanych maszyn umożliwia dostęp do ich zasobów za pomocą narzędzi API. W ten sposób możliwa jest nawet introspekcja stron pamięci i CPU, wykonywanie procesów w systemach gości czy dostęp do storage’u. Właśnie z tych możliwości korzystają zewnętrzne narzędzia antywirusowe.
Skaner antywirusowy umieszczony poza badanym systemem nie jest podatny na manipulacje przez złośliwe oprogramowanie. Sam nie jest wprost widoczny dla badanego systemu-gościa i nie wpływa w istotny sposób na jego wydajność. Bardzo dobrze nadaje się jako uzupełnienie agenta antywirusowego, instalowanego w typowych systemach Windows.
Bardzo ważnym elementem, któremu trzeba zapewnić bezpieczeństwo, jest stacja robocza administratora. W tej maszynie skoncentrowane są zazwyczaj najważniejsze uprawnienia odpowiedzialne za konfigurację całego systemu wirtualizacji. Komputer ten musi być bardzo uważnie chroniony przed infekcją, gdyż umieszczenie keyloggera w takim systemie umożliwi przechwycenie loginów i haseł wystarczających do przejęcia kontroli nad wszystkimi maszynami zarządzanymi przez danego administratora. Do tego nie jest konieczne pozyskanie uprawnień systemowych do systemów Windows i Linux hostowanych wewnątrz hypervisora - wystarczą uprawnienia administracyjne do środowiska wirtualizacji.
IPS wewnątrz wirtualnej sieci VMware
Od strony ruchu sieciowego, ochrona może być integrowana z wirtualnymi przełącznikami sieciowymi, by analizować ruch przechodzący do i z maszyn. W ten sposób można chronić ruch między maszynami wirtualnymi bez konieczności stałego przypisywania interfejsów maszyn-gości do konkretnych fizycznych interfejsów serwera.
Dzięki integracji z API, rozwiązanie to umożliwia podążanie polityki zabezpieczeń za maszyną wirtualną. Przełączenie VM na inny fizyczny serwer nie zmienia stanu ochrony, gdyż wirtualne przełączniki zostaną odpowiednio przekonfigurowane. Jeśli razem z przeniesieniem maszyny odbywa się zmiana strefy ochrony i muszą zmienić się niektóre założenia ochrony, oprogramowanie to potrafi uwzględnić działanie Vmotion i zastosować właściwe reguły polityki.
Ciekawym uzupełnieniem ochrony maszyn wirtualnych jest pokrycie istniejących luk w bezpieczeństwie za pomocą technik właściwych dla IPS/IDS. Specjaliści w laboratorium dostawcy zbierają informacje o zgłoszonych lukach w bezpieczeństwie, pochodzące z różnych źródeł, takich jak Microsoft, Secunia, Oracle i inne, a następnie opracowują zestaw filtrów, które usuwają ataki wykorzystujące daną podatność. W ten sposób można chronić aplikację eksploatowaną w środowisku zawierającym znane luki w bezpieczeństwie, co jest bardzo cenne w przypadku pracy krytycznych systemów, które muszą być chronione, nawet jeśli dostawca nie dostarczył jeszcze łaty usuwającej daną podatność. Po aktualizacji systemu lub aplikacji, dany filtr będzie można wyłączyć.
Rozwiązanie firmy Trend Micro pokrywa typowe luki, takie jak przepełnienie bufora, naruszenie integralności aplikacji, wstrzyknięcie kodu SQL do aplikacji webowych, ataki XSS oraz inne, kierowane przeciw bazom danych i popularnym aplikacjom. Administratorzy mogą także definiować własne wzorce, by chronić oprogramowanie napisane siłami działu IT. Dostępne jest również narzędzie, które samoczynnie wykrywa najważniejsze podatności i włącza predefiniowane filtry w miarę potrzeb. Wadą takiego rozwiązania jest koncentracja na systemach eksploatowanych wewnątrz VMware, systemy pracujące bezpośrednio na sprzęcie należy chronić osobno.
