Pull to refresh

Безопасность Виртуализации. Часть 1

Reading time 11 min
Views 28K
Original author: Terry Komperda
Перевод статьи «Virtualization Security» за авторством Terry Komperda.

Безопасность Виртуализации. Часть 2

1. КРАТКИЙ ОБЗОР

За короткое время виртуализация оказала огромное влияние на сферу IT и сетевые технологии, она уже поспособствовала огромной экономии затрат и окупаемости вложений для дата-центров, предприятий и Облака. Что кажется менее значительным и сильно отстает от реальности — это понимание виртуализации и виртуализированных сред с точки зрения безопасности. Некоторые люди считают, что виртуализация является более безопасной, чем традиционные среды, так как они слышали об изоляция между виртуальными машинами (ВМ) и потому что они раньше не слышали о каких-либо успешных атаках на гипервизоры. Другие считают, что новые виртуальные среды нуждаются в безопасности так же, как традиционные физические среды, поэтому применяют тот же многолетний подход к безопасности. Наиболее важным фактором является то, что новая среда более сложная. Виртуальные подходы, добавленные к уже существующим сетям, создают новую сеть, которая требует иного подхода к безопасности. Помимо обычных мер следует применять и специальные меры безопасности для виртуализации. В этом документе мы рассмотрим различия, проблемы, трудности, риски, вызванные применением виртуализации, а также предоставим дельные рекомендации и практические советы, чтобы убедиться, что после применения виртуализации сеть останется такой же защищенной.

2. ВВЕДЕНИЕ

Виртуализация развивается и планирует задержаться здесь надолго. Хотя ее концепция известна уже более пятидесяти лет, эта технология будет по-прежнему расти и совершенствоваться в сферах, существующих повсеместно и планирующих развивать себя и дальше. Более того, половина всех серверов сегодня работают на Виртуальных Машинах. IDC предсказывает, что 70% всех рабочих нагрузок будет работать и на ВМ к 2014 году. Что действительно должно идти в ногу с технологическим прогрессом из-за широкомасштабного применения — это обеспечение безопасности компонентов виртуализации и виртуальных сред. Давайте рассмотрим некоторые выгоды в плане безопасности, существующие благодаря использованию виртуализации.



3. ПРЕИМУЩЕСТВА В СФЕРЕ БЕЗОПАСНОСТИ ПРИ ПРИМЕНЕНИИ ВИРТУАЛИЗАЦИИ

Ниже приводятся некоторые преимущества в области безопасности после использования виртуализации:
  • Централизованное хранилище данных в виртуализированной среде предотвращает потери важных данных, если устройство утеряно, украдено или взломано.
  • Когда ВМ и приложения надежно изолированы, только одно приложение на одной ОС будет подвержено последствиям от атаки.
  • При корректной настройке виртуальная среда предоставляет гибкость, которая позволяет иметь общий доступ к системе без необходимости давать доступ к критической информации на системах.
  • Если ВМ заражена, ее можно откатить обратно к «защищенному» состоянию, которое существовало до нападения.
  • Сокращение технического обеспечения, которое возникает из-за виртуализации, улучшает физическую безопасность, так как присутствует меньше устройств и, в конечном счете, меньше центров обработки данных.
  • Можно создать настольную виртуализацию для лучшего контроля окружающей среды. Администратор может создавать и управлять «golden image» (шаблон для ВМ), который можно направить на компьютеры пользователей. Эта технология обеспечивает лучшее управление ОС для обеспечения ее соответствия организационным требованиям, а также политике безопасности.
  • Виртуализация сервера может привести к лучшей обработке инцидентов, так как сервера можно вернуть к предыдущему состоянию с той целью, чтобы проанализировать, что происходило до и во время атаки.
  • Контроль доступа к управлению системой и сетью, а также разделение задач могут быть улучшены, если назначить разных людей: кто-то будет контролировать ВМ внутри сети, в то время как другие будут иметь дело только с ВМ в DMZ. Вы можете также назначить и администраторов, которые будут ответственными за Windows-сервера, а другие администраторы — за Linux сервера.
  • Программное обеспечение гипервизора само по себе малофункциональное и не достаточно сложное — оно предоставляет маленькую область для потенциальной атаки на сам гипервизор. Чем меньше область для потенциальной атаки и чем меньше функциональности, тем меньше потенциальных уязвимостей.
  • Виртуальные свичи (vswitches) не выполняют динамическое соединение, необходимое для проведения межстанционных нападений. Они также опускают двойные оформленные пакеты, поэтому атаки такого типа неэффективны. Виртуальные свичи также не позволяют пакетам покидать свой широковещательный домен, тем самым сводя на нет брутфорс-атаки, которые опираются на перегрузку свичей, чтобы позволить передать пакеты на другие VLAN домены.
  • Обратите внимание на то, что я указал на плюсы, используя фразу «если настроен или установлен должным образом». Виртуализация — это очень сложный процесс, который должен быть правильно защищен, чтобы гарантировать вышеуказанные преимущества.


4. ПРОБЛЕМЫ И РИСКИ В ОБЛАСТИ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ВИРТУАЛИЗАЦИИ

Теперь, когда мы познакомились с плюсами виртуализации, можно обратить внимание на некоторые из проблем и рисков.

4.1 Обмен файлами между Хостами и Гостями
  • В случае совместного использования файлов, взломанный гость может получить доступ к узлу файловой системы и изменить каталоги, которые используются для обмена информацией.
  • Когда общий доступ к буферу обмена и перетаскивание используются и гостем и хостом, или когда для программирования используется API, существенные ошибки в этих областях могут поставить под угрозу всю инфраструктуру.

4.2 Моментальные снимки
  • Если вернуть исходные настройки моментальных снимков, любые изменения конфигурации будут потеряны. Если Вы меняли политику безопасности, то теперь возможно есть доступ к определенным функциям. Журналы аудита также могут быть потеряны, что исключит запись изменений, которые вы возможно сделали на сервере. Такие неудачные результаты могут сделать сложным соответствие требованиям.
  • Изображения и снимки содержат конфиденциальные данные, такие как личные данные и пароли, в том же виде как эти данные хранятся на физическом жестком диске. Любые ненужные или дополнительные изображения могут действительно причинять проблемы. Все снимки, которые были сохранены с вредоносными программами, в будущем могут быть перезагружены и станут причиной хаоса.

4.3 Сетевое Хранение
  • Оптоволоконный канал и iSCSI являются четкими текстовыми протоколами и могут быть уязвимы для атак типа «человек посередине» (*тип интернет-атак, при которых злоумышленник перехватывает канал связи, получая полный доступ к передаваемой информации *). Инструменты сниффинга могут использоваться для чтения или записи данных системы хранения и это может быть использовано для пересборки для удобства взломщика в будущем.
  • Как правило, существует компромисс между производительностью оптоволоконного канала и его безопасностью. Можно использовать шифрование на адаптерах главной шины, используемое в реализации оптоволоконного канала, но во многих случаях это не используется из-за отрицательной производительности.

4.4. Гипервизор
  • Если гипервизор находится под угрозой, то также будут под угрозой и все подключенные к нему ВМ, а конфигурация гипервизора по-умолчанию не всегда является самой надежной.
  • Гипервизор управляет всем и обеспечивает единую точку сбоя в виртуальной среде. Любое нарушение может поставить под угрозу всю виртуальную среду.
  • Голое железо гипервизоров обычно имеет встроенный контроль доступа, а виртуализация хоста (гипервизор помещается на физическую ОС сервера) — нет. Виртуализация хоста подвергает систему большим угрозам из-за наличия ОС.
  • Администратор может сделать все что угодно на гипервизоре (у него есть «ключи от всех дверей»). Действия на гипервизоре обычно защищены паролем, но пароль можно легко передать и другому администратору. Так что Вы никогда не узнаете какой из администраторов выполнил определенное действие.
  • Гипервизоры позволяют ВМ связываться друг с другом, и такое взаимодействие даже не переходит к физической сети. Это действует как частная сеть для виртуальных машин. Такой трафик не всегда можно увидеть, так как он выполняется гипервизором, и вы не можете защитить то, о существовании чего не знаете!

4.5 Виртуальные Машины
  • Виртуальные машины имеют достаточно маленький размер и их просто скопировать на удаленный компьютер или портативное устройство хранения данных. Потеря данных на ВМ будет эквивалентна проникновению в дата-центр, минуя физическую безопасность, и воровству физического сервера.
  • Установленные пользователями виртуальные машины не всегда соответствуют политике безопасности организации и могут не иметь какого-либо установленного ПО для безопасности. Пробные версии продуктов и игры в настоящее время предлагается для свободного пользования игроками на ВМ — их устанавливают, и такие ВМ могут стать частью корпоративной сети с возможными уязвимостями.
  • Только что созданные ВМ обычно имеют открытые порты и множество доступных протоколов.
  • Каждый раз при создании ВМ, добавляется другая ОС, которую необходимо защищать, патчить, обновлять и поддерживать. Дополнительная ОС с проблемами может увеличить общий риск.
  • Неактивные ВМ или ВМ, которые больше не используются, все еще могут содержать важные данные — такие как верительные данные и информацию о конфигурации.
  • Любая функциональность буфера обмена, которая позволяет делиться данными между ВМ и хостом, может стать точкой проникновения для вредоносных программ, которые затем будут перенесены на виртуальные машины.
  • Не изолированные виртуальные машины могут иметь полный доступ к ресурсам хоста. Любой взлом ВМ может привести ко взлому всех ресурсов.
  • Виртуальные машины могут быть созданы пользователями без уведомления IT-отдела организации. Если эти виртуальные машины не заметили, то они и не будут защищены.
  • Заражение ВМ может привести к заражению хранилища данных, и другие виртуальные машины могут использовать эти же хранилища.
  • Виртуальные машины могут расти очень быстро, и это может вызвать напряженность в системах безопасности. Если они не будут эффективно автоматизированы, увеличится бремя администратора в связи с установкой обновлений, исправлений, и т.д.
  • Могут появиться зараженные виртуальные машины, заразить другие ВМ, а затем исчезнуть прежде, чем их заметили.

4.6 Разделение Обязанностей и Права Доступа Администратора
  • В обычных физических сетях администраторы сервера занимаются управлением серверами, в то время как администраторы сети управляют сетями. Персонал службы безопасности обычно сотрудничает с обоими группами администраторов. В виртуальных средах, управление сервером и сетью может происходить на единой консоли управления и это ставит новые задачи для эффективного разделения обязанностей.
  • По умолчанию многие системы виртуализации дают полный доступ ко всем действиям виртуальной инфраструктуры. Эти значения по умолчанию не всегда изменяются, и взлом доступа администратора может обеспечить полный контроль над виртуальной инфраструктурой.
  • 4.7 Синхронизация Времени
  • Часы виртуальной машины могут смещаться, и когда это сочетается со смещением показаний обычных часов, задачи могут выполняться слишком рано или поздно, что может привести к путанице в логах и потере точности данных. Неправильное отслеживание времени будет предоставлять недостаточно данных для любых будущих расследований.

4.8 Сети VLAN
  • Использование VLAN требует маршрутизации трафика ВМ, например, с хоста до межсетевого экрана. Это может привести к задержкам и сложному устройству сети, что в дальнейшем вызовет проблемы с производительностью.
  • Коммуникация внутри ВМ не защищена и не исследуется на VLAN. Также, если на одном и том же VLAN находятся несколько ВМ, распространение вредоносных программ с одной виртуальной машины на другую нельзя остановить.

4.9 Разделы
Считается, что когда на одном хосте запущено несколько виртуальных машин, они изолированы друг от друга и одна ВМ не может быть использована для атаки на другую. Технически, ВМ можно разделить, но разделы на ВМ делят ресурсы памяти, процессора и пропускную способность. Если определенный раздел потребляет слишком много одного из вышеуказанных ресурсов, к примеру, из-за вируса, на других разделах может появиться ошибка DoS.

4.10 Другие Вопросы
  • Иногда, безопасность хранится в голове у персонала, занимающегося безопасностью, или же в контрольных таблицах. Если такой подход распространен в организации, то будет сложно поддерживать безопасность виртуализации в связи со скоростью создания ВМ, перемещений, и т.п.
  • Виртуализация сильно основана на ПО, и это обеспечивает больше потенциальных уязвимостей ПО, которые могут быть использованы злоумышленниками.
  • Виртуальные диски обычно хранятся на хосте как незащищенные файлы и получить к ним доступ очень просто — не нужно ничего взламывать.
  • Рабочие нагрузки с различными уровнями доверия могут быть помещены на один и тот же сервер или vswitch, и безопасность этих рабочих нагрузок будет такой же высокой, как безопасность наименее защищенной нагрузки. Если на сервере находится чувствительная информация, это может быть небезопасно.


Несмотря на множество проблем, описанных выше, не стоит считать виртуализацию заведомо небезопасной — все зависит от развертывания и примененных мер безопасности. Слабая политика безопасности, а также отсутствие обучения, могут стать куда более веской причиной возникновения проблем и уязвимостей, что в свою очередь приведет к большому риску. Теперь, когда мы знаем о проблемах с безопасностью при использовании виртуализации, самое время взглянуть на типовые атаки.

5.ТИПОВЫЕ АТАКИ

Ниже приведены некоторые типы атак, типичные для виртуализации:
5.1 Отказ от Обслуживания (DoS)
Успешная DoS-атака может стать причиной выключения гипервизора. Это может привести к возможности добавить лазейку для доступа к ВМ в обход гипервизора.
5.2 Неконтролируемое перемещение между ВМ
Если в гипервизоре образуется дыра в безопасности и ее находят, пользователь, вошедший на ВМ, может перепрыгнуть на другую ВМ и получить доступ к хранящейся на ней информации.
5.3 Перехват трафика хоста
Уязвимости на гипервизоре позволяют отслеживать системные вызовы, файлы подкачки и следить за памятью и активностью дисков.

6. ПРИМЕНЕНИЕ ТРАДИЦИОННЫХ ПОДХОДОВ К БЕЗОПАСНОСТИ ФИЗИЧЕСКИХ СРЕД К ВИРТУАЛИЗАЦИИ

Многие из проблем и атак, с которыми можно столкнуться при виртуализации, можно решить путем использования уже существующих сотрудников, процессов и технологий. Но, что нельзя защитить с помощью имеющихся решений — это виртуальные матрицы, состоящие из гипервизоров, систем управления и виртуальных свичей. Ниже приведены некоторые традиционные подходы к виртуализации и связанные с ними недостатки:

6.1 Межсетевые экраны
Некоторые IT группы отправляют трафик между ВМ на стандартные межсетевые экраны, которые будут проверять трафик и отправлять его обратно на виртуальные машины. Традиционные межсетевые экраны были созданы до виртуализации и устанавливались в дата центрах и на предприятиях, и, следовательно, они не созданы с учетом виртуальной инфраструктуры и связанных с ней систем управления. Это может привести к установке вручную и администрированию, которое затем может привести к ошибкам. Стандартные межсетевые экраны также не обеспечивают должную безопасность при перемещении ВМ.

6.2 Обнаружение проникновений на основе сети/Системы предотвращения вторжений
Эти устройства не работают, когда на хосте находится несколько виртуальных машин. Это главным образом происходит из-за того, что системы IDS/IPS не могу контролировать трафик между виртуальными машинами. Также они не могут получить доступ к любой информации при переносе приложений.

6.3 Ограничение числа ВМ на хост/Назначение на физические NIC
Такой подход не только ограничивает число виртуальных машин на хосте, но также назначает физический сетевой адаптер для каждой виртуальной машины. Хотя это и может стать безопасным подходом и имеет хорошие намерения безопасности, такой подход не позволяет компании получить все выгоды и окупаемость инвестиций от технологии виртуализации.

6.4 Сети VLAN
Сети VLAN широко используются: неважно идет ли речь в невиртуализированных средах или о средах с хорошей степенью виртуализации. Проблема здесь заключается в том, что количество VLAN растет, становится все сложнее управлять сложностями, связанными с доступом к контрольным таблицам, а также управлять вопросами совместимости политики сетевой безопасности между невиртуальными и виртуальными аспектами окружающей среды.

6.5 Агентные антивирусные подходы
Это влечет за собой загрузку полной копии антивирусного ПО на каждой ВМ. Такой подход может обеспечить хорошую защиту, но станет причиной огромных затрат на все копии антивирусного ПО для всех виртуальных машин в среде. Это полнофункциональное ПО может также негативно влиять на память, хранение и активность процессора, поскольку повышает использование оборудования, поэтому ведет к уменьшению производительности.
Несмотря на указанные выше недостатки применения традиционной модели безопасности, 60% респондентов указали, что они пользуются традиционными решениями для обеспечения безопасности и защиты виртуальных сред. Виртуальные среды динамичных и быстро меняются. Традиционным подходам будет сложно в одиночку со всем справиться, перемещаться и изменяться должным образом. Другой подход состоит в том, чтобы сохранить хорошие аспекты текущего подхода к безопасности, и в то же время посмотреть на следующие советы и рекомендации для виртуализации.
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
+5
Comments 6
Comments Comments 6

Articles