Realne zagrożenia wirtualizacji

W przypadku maszyn gości z reguły wprowadza się standardowe mechanizmy zabezpieczeń, a przede wszystkim instaluje oprogramowanie typu endpoint security. Od pewnego czasu promowane jest podejście, w którym nakłania się organizacje do rezygnowania z instalowania agentów (w tym bezpieczeństwa) na każdej z maszyn i użycie narzędzi, które potrafią skorzystać z mechanizmów oferowanych przez dostawców platform wirtualizacji. Odwołajmy się znowu do VMware. Mówimy tutaj przede wszystkim o zestawie trzech API VMsafe. Pierwsze vCompute umożliwia inspekcję dostępu do pamięci i stanów procesora. Drugie - vNetwork Appliance - to kontrola przepływu danych (na poziomie pakietów) między wirtualną kartą sieciową a wirtualnym przełącznikiem. I wreszcie trzecie - VDDK, to wrota do kontroli wirtualnej przestrzeni dyskowej. Niestety, liczba rozwiązań wykorzystujących VMsafe nie jest zbyt imponująca. Jeden z pierwszych programów partnerskich (w zakresie wykorzystania udostępnianych mechanizmów bezpieczeństwa) zawarła z VMware firma Trend Micro. Zaowocowało to wprowadzeniem rozwiązania klasy Endpoint Security, uwzględniającego wirtualizacyjne środowisko. Ale nie tylko w punkcie końcowym są wykorzystywane mechanizmy bezpieczeństwa VMware. Przykładem może być tutaj firewall Virtual Gateway (Juniper - technologia kupionej wcześniej firmy Altor), rozumiejący wirtualizację i wykorzystujący API VMsafe.

W świecie fizycznym dobrym pomysłem na znaczne podniesienie poziomu bezpieczeństwa informacji jest wprowadzenie mechanizmów szyfrowania. Tę możliwość dostrzeżono również i w świecie zwirtualizowanym. Na przykład firma HighCloud Security chwali się, że jest w stanie zaszyfrować w locie dane między maszyną wirtualną a hiperwizorem. Pojawia się tutaj pytanie o spadek wydajności - wiemy, że wąskim gardłem platform wirtualnych są najczęściej nośniki. HighCloud twierdzi, że wydajność cierpi niewiele, ale warto to sprawdzić i nie wierzyć ślepo w takie deklaracje. W tym miejscu dotykamy kolejnego z problemów: bezpieczeństwa przestrzeni dyskowej w ramach środowisk wirtualnych (ale o tym szerzej przy innej okazji).

Przykłady zaleceń w procesie hardeningu ESX 4

• Zmiana haseł domyślnych

• Wprowadzenie segregacji sieci

• Minimalizacja liczby usług startowych

• Kontrola integralności plików

• Implementacja SUDO

• Wzmocnienie polityki haseł

• Wyłączenie "Host Direct Web Access"

• Wymuszenie uwierzytelnienia dla trybu Single User

• Ujednolicenie VLANów na przełączniku wirtualnym i trunkach przełączników fizycznych

• Wyłączenie kontroli urządzeń przez systemy gości

• Wyłączenie VMsafe - wyjątek aplikacje uprawnione

Źródło: Center for Internet Security

Mówiliśmy też o bezpieczeństwie ruchu sieciowego. Tutaj podstawową bolączką jest fakt, że wszystko, co dzieje się w obrębie platformy wirtualnej i nie wychodzi poza nią, pozostaje bez kontroli. A przynajmniej - jeżeli nie ma zaimplementowanych odpowiednich mechanizmów poddających ten ruch kontroli (mowa o firewallach czy IPS-ach). Obecnie większość szanujących się dostawców rozwiązań do zabezpieczania sieci wypuściło już odpowiednie wersje narzędzi potrafiących poruszać się także w środowiskach zwirtualizowanych, np. wspomniane wcześniej firmy: Juniper (vGW), Check Point (Security Gateway VE)

Sourcefire (Virtual 3D Sensor).

W kontekście technologii i programów VMware oraz bezpieczeństwa sieci warto też powiedzieć o jeszcze jednym poza VMsafe programie partnerskim, czyli vShield. Daje on możliwość wprowadzania dodatkowych mechanizmów ochronnych, segmentacji i tworzenia stref bezpieczeństwa. I byłoby całkiem nieźle, gdyby nie to, co podkreślają osoby związane na co dzień z wirtualizacją: dostępność tego programu dla firm zewnętrznych jest mocno limitowana. VMware, która ma własne narzędzia (mające w nazwie vShield), stara się ograniczać konkurencję. Jak trudna jest to rywalizacja może świadczyć fakt, że firma Catbird (działająca w obszarze bezpieczeństwa wirtualizacji) zdecydowała się na podpisanie umowy OEM dotyczącej vShield App, zamiast "kopać się z koniem".

W dużym skrócie dokonaliśmy przeglądu najpoważniejszych - naszym zdaniem - wyzwań w zakresie bezpieczeństwa w świecie wirtualnym. Sądząc po tytułach tegorocznych konferencji i seminariów raczej nie będzie łatwiej - wirtualizacja i cloud będą coraz popularniejsze i nie zanosi się na powrót do tradycyjnych metod przetwarzania danych. Lepiej się z tym pogodzić.


TOP 200