Trzeba aktualizować także hypervisor

Dla minimalizacji ryzyka związanego z przełamaniem zabezpieczeń, administratorzy muszą utrzymywać w stanie aktualności nie tylko wszystkie systemy hostowane wewnątrz rozwiązań wirtualizacji, ale także oprogramowanie hypervisora oraz wszystkie narzędzia zarządzania nim. Każda aktualizacja systemu wirtualizacji niesie ze sobą pewne ryzyko, związane z możliwością powstania konfliktów lub odkrycia nieznanych dotąd błędów. Wiąże się także z koniecznością przeniesienia na inne hosty wszystkich pracujących na danym węźle maszyn wirtualnych. Niekiedy migracja ta wiąże się z nieodwracalną konwersją maszyn wirtualnych do nowego formatu. Jest to dość ryzykowna operacja, gdyż niektóre błędy mogą ujawnić się już po pewnym czasie eksploatacji, na przykład pod wpływem specyficznego obciążenia, trudnego do zasymulowania w warunkach testowych.

W każdym przypadku niezbędne jest środowisko testowe, odpowiednie procedury aktualizacji oprogramowania, uwzględniające kontrolę poprawności działania wszystkich hostowanych systemów i aplikacji. Nie likwiduje ono ryzyka związanego z aktualizacją hypervisora, ale przynajmniej redukuje go do akceptowalnego poziomu.

Pakiety pod kontrolą

W niedużych środowiskach często stosuje się konfigurację współdzielonej sieci (bridged), gdzie więcej niż jedna maszyna korzysta z pojedynczej karty sieciowej. Chociaż jest to prosty sposób uruchomienia środowiska deweloperskiego, gdyż nie wymaga przy tym wielu interfejsów sieciowych w serwerze, nie wolno takiej konfiguracji zastosować w maszynach produkcyjnych. Zagrożenie wynika stąd, że każda z VM eksploatowanych przy użyciu opcji bridged networking "widzi" ruch wszystkich pozostałych maszyn, które korzystają z tego samego fizycznego interfejsu sieciowego. W ten sposób można także przechwycić połączenia hosta (na przykład, przy wykorzystywaniu VMWare Server), a nawet całego ruchu sieciowego w danym segmencie, jeśli intruz zdecyduje się na użycie aktywnego sniffera, takiego jak ettercap.

Jest to na tyle poważne zagrożenie, że koniecznie należy uwzględnić je przy projektowaniu sieci. W produkcyjnym środowisku maszyny powinny korzystać z dedykowanych, fizycznych interfejsów sieciowych. W działach o bardzo niskim poziomie ryzyka można zgodzić się na tryb bridged, ale należy być świadomym zagrożenia. Należy także zastosować odpowiednie środki bezpieczeństwa.

Nowoczesne oprogramowanie wirtualizacyjne może zostać zintegrowane z infrastrukturą przełączników sieciowych w ten sposób, by ruch wychodzący z konkretnej maszyny był kierowany do właściwej podsieci VLAN. Połączenie żelaznej zasady separacji ruchu maszyn wirtualnych z dobrze przemyślanym schematem połączeń umożliwi ochronę każdej maszyny wirtualnej za pomocą profesjonalnej zapory sieciowej. Rynek rozwiązań ochrony ruchu sieciowego w wirtualizowanych środowiskach rozwija się dość dynamicznie, jednym z liderów jest firma Check Point Software Technologies, dostarczająca m.in. gotową maszynę wirtualną VPN-1 VE, przeznaczoną do kontrolowania ruchu sieciowego w takich instalacjach.

Maszyna administratora na celowniku

W dobie coraz wymyślniejszych zabezpieczeń, wydaje się, że infrastruktura dzisiejszych centrów przetwarzania danych jest dobrze chroniona. Mimo wszystko, istnieje bardzo ważny punkt, który wymaga szczególnej ochrony. Jest nim stacja robocza administratora. Na tym komputerze są instalowane dodatkowe narzędzia, konsole do zarządzania systemami oraz inne, podobne oprogramowanie. Administratorzy często unikają instalacji nadmiaru oprogramowania na swoich laptopach i komputerach stacjonarnych, dlatego niektóre z narzędzi są instalowane w osobnym systemie operacyjnym, do którego administrator się loguje. Ma to sens także wtedy, gdy systemy są zarządzane przez kilku administratorów. W firmie, która korzysta z wirtualizacji, prawdopodobnie przynajmniej jedna taka maszyna będzie zwirtualizowana. Ponieważ logują się tam administratorzy posiadający dość wysokie uprawnienia, zainstalowany tam keylogger może przechwycić zarówno login, jak i hasło.

Rozsądnym rozwiązaniem jest zastosowanie dwuskładnikowego uwierzytelnienia do kluczowych elementów infrastruktury - można wykorzystać tokeny lub karty inteligentne. Ponadto, należy wdrożyć narzędzia, które zapewnią kontrolę spójności systemu operacyjnego maszyny używanej do celów administracyjnych.