Realne zagrożenia wirtualizacji
- Patryk Królikowski,
- 29.10.2012, godz. 07:30
W przypadku maszyn gości z reguły wprowadza się standardowe mechanizmy zabezpieczeń, a przede wszystkim instaluje oprogramowanie typu endpoint security. Od pewnego czasu promowane jest podejście, w którym nakłania się organizacje do rezygnowania z instalowania agentów (w tym bezpieczeństwa) na każdej z maszyn i użycie narzędzi, które potrafią skorzystać z mechanizmów oferowanych przez dostawców platform wirtualizacji. Odwołajmy się znowu do VMware. Mówimy tutaj przede wszystkim o zestawie trzech API VMsafe. Pierwsze vCompute umożliwia inspekcję dostępu do pamięci i stanów procesora. Drugie - vNetwork Appliance - to kontrola przepływu danych (na poziomie pakietów) między wirtualną kartą sieciową a wirtualnym przełącznikiem. I wreszcie trzecie - VDDK, to wrota do kontroli wirtualnej przestrzeni dyskowej. Niestety, liczba rozwiązań wykorzystujących VMsafe nie jest zbyt imponująca. Jeden z pierwszych programów partnerskich (w zakresie wykorzystania udostępnianych mechanizmów bezpieczeństwa) zawarła z VMware firma Trend Micro. Zaowocowało to wprowadzeniem rozwiązania klasy Endpoint Security, uwzględniającego wirtualizacyjne środowisko. Ale nie tylko w punkcie końcowym są wykorzystywane mechanizmy bezpieczeństwa VMware. Przykładem może być tutaj firewall Virtual Gateway (Juniper - technologia kupionej wcześniej firmy Altor), rozumiejący wirtualizację i wykorzystujący API VMsafe.
W świecie fizycznym dobrym pomysłem na znaczne podniesienie poziomu bezpieczeństwa informacji jest wprowadzenie mechanizmów szyfrowania. Tę możliwość dostrzeżono również i w świecie zwirtualizowanym. Na przykład firma HighCloud Security chwali się, że jest w stanie zaszyfrować w locie dane między maszyną wirtualną a hiperwizorem. Pojawia się tutaj pytanie o spadek wydajności - wiemy, że wąskim gardłem platform wirtualnych są najczęściej nośniki. HighCloud twierdzi, że wydajność cierpi niewiele, ale warto to sprawdzić i nie wierzyć ślepo w takie deklaracje. W tym miejscu dotykamy kolejnego z problemów: bezpieczeństwa przestrzeni dyskowej w ramach środowisk wirtualnych (ale o tym szerzej przy innej okazji).
• Zmiana haseł domyślnych
• Wprowadzenie segregacji sieci
• Minimalizacja liczby usług startowych
• Kontrola integralności plików
• Implementacja SUDO
• Wzmocnienie polityki haseł
• Wyłączenie "Host Direct Web Access"
• Wymuszenie uwierzytelnienia dla trybu Single User
• Ujednolicenie VLANów na przełączniku wirtualnym i trunkach przełączników fizycznych
• Wyłączenie kontroli urządzeń przez systemy gości
• Wyłączenie VMsafe - wyjątek aplikacje uprawnione
Źródło: Center for Internet Security
Sourcefire (Virtual 3D Sensor).
W kontekście technologii i programów VMware oraz bezpieczeństwa sieci warto też powiedzieć o jeszcze jednym poza VMsafe programie partnerskim, czyli vShield. Daje on możliwość wprowadzania dodatkowych mechanizmów ochronnych, segmentacji i tworzenia stref bezpieczeństwa. I byłoby całkiem nieźle, gdyby nie to, co podkreślają osoby związane na co dzień z wirtualizacją: dostępność tego programu dla firm zewnętrznych jest mocno limitowana. VMware, która ma własne narzędzia (mające w nazwie vShield), stara się ograniczać konkurencję. Jak trudna jest to rywalizacja może świadczyć fakt, że firma Catbird (działająca w obszarze bezpieczeństwa wirtualizacji) zdecydowała się na podpisanie umowy OEM dotyczącej vShield App, zamiast "kopać się z koniem".
W dużym skrócie dokonaliśmy przeglądu najpoważniejszych - naszym zdaniem - wyzwań w zakresie bezpieczeństwa w świecie wirtualnym. Sądząc po tytułach tegorocznych konferencji i seminariów raczej nie będzie łatwiej - wirtualizacja i cloud będą coraz popularniejsze i nie zanosi się na powrót do tradycyjnych metod przetwarzania danych. Lepiej się z tym pogodzić.