.png "Bezpieczeństwo")
Bezpieczeństwo w świecie wirtualnym .png "Udostępnij na: Facebook")
Opracowany przez Kai Axford, Senior Security Strategist, Microsoft Trustworthy Computing Group
Opublikowano: 27 kwietnia 2009
Zawartość strony
.gif){kind=icon} |
Czym jest bezpieczeństwo wirtualne? |
|
Mit 1: „Muszę aktualizować tylko system operacyjny/rdzeń hosta”. |
|
Mit 2: „Jeśli chronię mój komputer hosta, to moje maszyny wirtualne będą również chronione”. |
|
Mit 3: „Domyślnie zabezpieczane są pliki wirtualnych dysków twardych”. |
|
Wirtualizacja: Oszczędność pieniędzy. Ochrona Ziemi. |
|
Krajobraz zagrożeń: Ryzyko wirtualnych ataków |
|
Wnioski |
|
O autorze |
Czym jest bezpieczeństwo wirtualne?
Przed rozpoczęciem omówienia pojęcia bezpieczeństwa wirtualnego chciałbym zdefiniować pewne oczekiwania. Bezpieczeństwo wirtualizacji to nie uzyskiwanie sprzętów T6 Epic w grze World of Warcraft lub kupowanie twierdzy za dolary Linden w grze Second Life. Chociaż są to dwa dobre przykłady zabezpieczeń „wirtualnego świata”, to tak naprawdę nie o tym chciałem mówić.
O ile ktoś nie przespał ostatnich kilku lat w serwerowni – to wie – cały szum w biznesie IT dotyczy tego nowego konceptu nazywanego „wirtualizacją”. Jak duży jest ten nowy rynek? Zgodnie z raportem IDC z marca 2007 „Liczba serwerów wirtualnych wzrośnie w roku 2010 do ponad 1,7 miliona serwerów fizycznych, co daje w rezultacie około 7,9 miliona serwerów logicznych. W roku 2010 serwery wirtualne będą stanowić 14,6% wszystkich serwerów fizycznych w porównaniu do ok. 4,5% w roku 2005”.
Podobnie jak w przypadku każdego nowego rynku dostawcy spieszą się, by nie przegapić okazji opłacalnej inwestycji. Możemy zaobserwować, że dostawcy, tacy jak EMC, Citrix czy Microsoft, inwestują w tę dziedzinę.
Firma Microsoft weszła do gry kilka lat temu za pośrednictwem produktu Virtual PC i Virtual Server, a ostatnio z nowszą wersją technologii wirtualizacji bazującej na składniku Hypervisor, nazwaną Hyper-V™. Technologia ta jest funkcją systemu operacyjnego Windows Server® 2008. Czy się to komuś podoba, czy nie, wirtualizacja pozostanie. I w takiej sytuacji lepiej być gotowym do jej zabezpieczenia. Zawsze staram się każdemu wytłumaczyć, że to, o czym tutaj mówię, jest tak naprawdę ukierunkowane na „wirtualizację serwera”, a nie na wirtualizację prezentacji (na przykład Terminal Services) lub wirtualizacji aplikacji (na przykład SoftGrid). W tej krótkiej notatce jest zbyt mało miejsca, by omówić te wszystkie interesujące sprawy.
Podobnie jak w przypadku każdej nowej technologii, istnieje wiele mitów odnoszących się do jej ochrony. Omówię 3 pierwsze na liście „Mity bezpieczeństwa wirtualnego”, a następnie zakończę kilkoma analizami, jeśli ktoś podejmie decyzję „podróżowania” drogą wirtualizacji.
.gif){kind=icon}
Do początku strony
Mit 1: „Muszę aktualizować tylko system operacyjny/rdzeń hosta”.
Rozwiejmy zaraz ten mit! Trzeba zmienić sposób myślenia i traktować maszynę wirtualną (VM) jak rzeczywisty fizyczny zasób. Trzeba poszukać tych maszyn wirtualnych tak, jak szuka się komputera w sieci, by przeglądać jego zawartość. Czy jesteście użytkownikami, którzy zadowolą się wymówką: „Zgubiliśmy bazę danych klienta, ale to była tylko maszyna wirtualna”? Nie.
Oznacza to, że konieczne jest wdrożenie procedur aktualizacji, że konieczne jest uruchamianie programu antywirusowego wewnątrz maszyny wirtualnej i że konieczne jest skonfigurowanie prawidłowych ograniczeń na uprawnienia, a także pewnego rodzaju izolacja domeny. Tak, potrzebne jest utrzymywanie aktualnych wersji tych produktów i konieczne jest określenie harmonogramu konserwacji systemów, by zrealizować te zadania.
Czy to zabierze więcej czasu? Nie więcej, niż aktualizowanie innych serwerów fizycznych. W trakcie moich podróży rozmawiałem z wieloma osobami i jestem zdziwiony, jak wiele osób po prostu zapomina o aktualizowaniu maszyny wirtualnej. Mit odrzucony.
Do początku strony
Mit 2: „Jeśli chronię mój komputer hosta, to moje maszyny wirtualne będą również chronione”.
Stwierdzenie to jest jednocześnie prawdziwe i nieprawdziwe. Konieczne jest rozwinięcie „zakresu ochrony” poza komputer hosta. Trzeba uwzględniać wiele możliwości ataków, które pojawiają się w kontekście zabezpieczeń środowiska wirtualnego. Przedmiotem rozważań jest sprzęt hosta, system operacyjny hosta, pliki dysków twardych maszyn wirtualnych, pliki konfiguracyjne maszyn wirtualnych, narzędzia zarządzania zdalnego, system operacyjny maszyny wirtualnej i oczywiście sieć wirtualna, w której to wszystko funkcjonuje.
Jeśli przyjrzeć się plikowi konfiguracyjnemu maszyny wirtualnej na rysunku 1, można zauważyć niepokojące kwestie, które mogą pojawić się, jeśli ktoś na hoście uzyska dostęp do tych plików konfiguracji wirtualnego dysku twardego (VHD) i rozpocznie zmieniać ścieżki.
.jpg)
Rysunek 1. Niedobra wiadomość: przykład przekierowania dysku VHD poprzez zmianę pliku konfiguracyjnego
Ponieważ omawiam ochronę hosta, pozwolę sobie zwrócić uwagę na niektóre ataki, o których sporo mówione jest w prasie. Mam na myśli programy typu „wirtualny rootkit”, jak na przykład BluePill, Vitriol, SubVirt i jeszcze inne złośliwe programy. Ataki nie stanowią większego niebezpieczeństwa niż innego typu złośliwe programy. Niektóre mają opinię „niewidocznych” typów ataków, ale tak jak w przypadku wszystkich złośliwych programów są one niewidoczne, dopóki ktoś ich nie wykryje i napisze antywirusową sygnaturę.
W mojej opinii, bardziej należy obawiać się kogoś, kto potrafi przerwać synchronizację czasu pomiędzy hostem a maszynami gości. Proszę zastanowić się, co będzie, jeśli poprzestawiana zostanie data i godzina kontrolerów domeny, jaki wpływ będzie to miało na infrastrukturę klucza publicznego (PKI) i na wszystkie listy odwołań certyfikatów (CRL) i same certyfikaty! Zawsze powtarzam, trzeba chronić się przed rzeczami, które stanowią największe zagrożenie..., chyba że mamy nieograniczony budżet.
Prawie każde rozwiązanie maszyn wirtualnych, które widziałem, zapewnia pewien rodzaj narzędzi zdalnego zarządzania. W przypadku firmy Microsoft zalecałbym program Microsoft® Remote Server Administration Tools (RSAT) for Windows Vista®, narzędzie Hyper-V Management Console w systemie Windows Server 2008 i program Microsoft System Center Virtual Machine Manager 2008 (Virtual Machine Manager 2008 pozwoli połączyć się z dowolnymi serwerami ESX oprogramowania VMWare funkcjonującymi w infrastrukturze)!
Ale to jest artykuł o bezpieczeństwie, a nie zarządzaniu. Tak więc można postawić pytanie: „W jaki sposób ochronić się przed zagrożeniami, które mogą wprowadzić te zdalne narzędzia?”. Ochronę można zapewnić stosując znaną zasadę „możliwie najmniejszych uprawnień”. Kto ma dostęp do narzędzia i jakie uprawnienia posiada ta osoba na serwerach zdalnych, niezależnie, czy jest to serwer fizyczny czy wirtualny? Czy do kontroli zaimplementowane zostały konta o ograniczonym użyciu? Czy połączenie z mojego komputera do zdalnej maszyny wirtualnej jest szyfrowane? I na koniec, czy przeprowadzana jest inspekcja i rejestrowanie aktywności sesji zdalnych? Omawianie sposobów zmniejszania zagrożeń na maszynie hosta jest po prostu omawianiem sposobów wzmacniania hosta (co mam nadzieję zostało już zrobione). Oznacza to, że bardzo pomocne będzie zmniejszanie obszarów, na których można przeprowadzać ataki oraz uruchamianie systemów bez dodatkowych „aplikacji wirtualizacji”, takich jak Virtual PC.
Należy próbować uruchamiania systemów na platformie, która stosuje składnik hypervisor, jak na przykład system Windows Server 2008 z platformą Hyper-V. Korzystanie ze składnika hypervisor wprowadza wiele istotnych zalet. Na przykład, każda maszyna wirtualna zakłada dedykowany proces roboczy VM. W ten sposób, jeśli VM1 przestaje działać, to ta maszyna wirtualna i tylko ta przestaje działać, a VM2 nadal „się telepie”.
Warto pamiętać o przerwach w działaniu! Jeśli uruchamiany jest system Windows Server 2008, należy tam, gdzie jest to możliwe, rozważyć uruchamianie maszyn wirtualnych w oparciu o instalację Server Core. Instalacja Server Core usuwa sporo dodatków systemu Windows Server, które nie powinny być używane przez maszyny wirtualne, a ponieważ planujemy postawić komputer w ciemnym kącie serwerowni i podłączać się do niego zdalnie, to komu potrzebny będzie graficzny interfejs użytkownika (GUI)? Mniejsze obszary zagrożeń to dobry pomysł. Jeśli do uruchamiania maszyn wirtualnych używany jest system Windows Server 2008 z platformą Hyper-V, warto pomyśleć o zaimplementowaniu technologii zabezpieczeń, które zostały przecież zakupione razem z systemem: BitLocker™ Drive Encryption. Program BitLocker zapewnia pełne szyfrowanie wszystkich woluminów dysku… tak to prawda: wszystkich woluminów. Obecnie mamy możliwość zaszyfrowania także partycji danych, a nie tylko partycji systemowych – a wszystkie operacje przeprowadzane są przy użyciu graficznego interfejsu użytkownika. Program pomaga także w innym obszarze zabezpieczeń, który często jest pomijany: bezpieczeństwo fizyczne. Wiele serwerów w jednej obudowie oznacza, że zamiast kradzieży wielu serwerów, muszę ukraść tylko Host VM. Program BitLocker Drive Encryption zabezpiecza te fizyczne dyski, jeśli serwer... zniknie.
Zawsze też należy wykonywać proste rzeczy, takie jak korzystanie z list kontroli dostępu (ACL) do wymuszania uprawnień; przeprowadzanie inspekcji dostępu do plików, tworzenia i usuwania plików; i na koniec trzeba wykonywać kopie zapasowe i archiwizowanie zgodnie z opracowanym planem przywracania po awarii.
Do początku strony
Mit 3: „Domyślnie zabezpieczane są pliki wirtualnych dysków twardych”.
Wszystko jest bezpieczne, dopóki Ty lub ktoś inny tego nie dotknie. Prawda? Problem polega na tym, że tak naprawdę nie wiemy, skąd pochodzi dana maszyna wirtualna, a nawet jeśli sami ją instalowaliśmy, to nigdy nie wiadomo, kto ostatni jej „dotykał”. Maszyny wirtualne przenoszone są tam i z powrotem i prawdopodobnie to nie jest dobre. „Hej <wstaw tutaj="" imię="" kolegi="" z="" działu="" IT="" > , czy VM na systemie Windows® XP mogę użyć dla programu demonstracyjnego klienta?” „Mam temat, przyjdź tu!”
Jestem prawie pewny, że nic nie jest uszkodzone, ale w jaki sposób o tym się upewnić? Jak już wcześniej nadmieniłem, niektóre największe problemy, z którymi można się zetknąć, są konsekwencją nieaktualizowania maszyn wirtualnych gości. Administrator może wydawać wszystkie ulubione „zasady korporacji”, może przeszukiwać sieć wyszukując naruszeń, ale jeśli ktoś przeniesie maszynę wirtualną do sieci lokalnej, aby szybko zaprezentować program demonstracyjny, przetestuje nowy kod lub posurfuje w sieci, to długo nie trzeba będzie czekać, by konieczne stało się zainstalowanie wszystkich brakujących aktualizacji. Łatwiej wyłączyć i zrobić to później (co wszyscy wiemy, że znaczy nigdy). Jest to rzeczywiście ważny problem i nie jest łatwo go naprawić. W jaki sposób „złapać” maszynę, która w jednym miejscu jest tylko przez chwilę?
Innym ważnym problemem w odniesieniu do maszyn gości to kwestia, że wirtualizacja postrzegana jest jako odpowiedź na apele typu „Proszę. Proszę. Proszę! Pomóż mi tylko znaleźć sposób utrzymania działania mojego systemu Windows NT® 3.1 Server do następnego milenium!” (odpowiedź: Nie możesz tego zrobić. Jest 2008. Zostaw go. Działasz w systemie, który opracowany został w tym samym roku, co film Park jurajski. Już czas powiedzieć dinozaurom „do widzenia”). Zbyt często spotkać można starsze systemy operacyjne poddawane wirtualizacji, nawet jeśli nie posiadają one wielu wbudowanych typowych obecnie funkcji zabezpieczeń i niczego nie robią, to stanowią zagrożenie dla środowiska. Na koniec, należy korzystać z zalet wirtualnych sieci LAN (VLAN) i innych sposobów tworzenia segmentów sieci w celu zabezpieczania maszyn gości. Platforma Hyper-V doskonale pozwala na wzajemne rozdzielanie maszyn wirtualnych, a nawet zabrania na wzajemną komunikację maszyn wirtualnych poza normalnymi kanałami sieci. Każda maszyna wirtualna ma swoją unikalną przestrzeń adresową pamięci, co zapobiega „wyciekaniu” pamięci z jednej maszyny wirtualnej do innej. Warto pamiętać, że ponieważ podczas planowania już nie myślimy o nich jak o „maszynach wirtualnych”, to poprzez używanie dedykowanych fizycznych kart sieciowych specyficznych dla maszyny wirtualnej nie musimy implementować rozwiązań, takich jak IPSec Domain Isolation czy nawet izolowanie fizyczne.
Do początku strony
Wirtualizacja: Oszczędność pieniędzy. Ochrona Ziemi.
Jednym z kluczowych obszarów projektu firmy Microsoft, dotyczącego wiarygodnych technik komputerowych (Microsoft Trustworthy Computing), jest nakłanianie do podejmowania wysiłków w zakresie ochrony środowiska. Wielkość zużytej energii zasilania centrum danych jest ogromna i sporo kosztuje. Poprzez przechodzenie do modelu, w którym wiele serwerów uruchamianych jest na jednym komputerze fizycznym, można znacznie oszczędniej korzystać z energii zasilania. Na pewno przyjemnie nam będzie na następnym spotkaniu dotyczącym budżetu, jeśli będziemy mogli powiedzieć, że „od wprowadzenia nowych serwerów zwiększyliśmy produktywność o 30% i zmniejszyliśmy koszty stałe o 40%”. Dyrektor finansowy będzie was kochał. Podobnie nasza planeta.
Do początku strony
Krajobraz zagrożeń: Ryzyko wirtualnych ataków
Podobnie jak w przypadku każdej dobrej technologii, zawsze znajdą się tacy, którzy znajdą sposoby, by wykorzystywać ją w złych intencjach i tak też jest w przypadku wirtualizacji. Dostawcy technologii wirtualizacji zazwyczaj skupiają się na zabezpieczeniach maszyny wirtualnej przed atakami i raczej nie zastanawiają się nad wykorzystaniem maszyn wirtualnych do przeprowadzania ataków przez przestępców. Jedną z najlepszych stron mojej pracy jest to, że współpracuję ściśle z szeregiem agencji prawnych na całym świecie. Agencje te rozpoczynają ściganie przestępców korzystających z maszyn wirtualnych, ponieważ przestępcy ciągle sądzą, że maszyn wirtualnych nie można wyśledzić – „Jeśli ja uruchomię VM, przeprowadzę atak i szybko ją wyłączę oraz usunę wprowadzone zmiany na oryginalnym komputerze, to nigdy mnie nie złapią”. Błąd. Prawie każda operacja maszyny wirtualnej jest domyślnie rejestrowana w dzienniku SysLog. Podobnie jak w przypadku każdego pliku, tylko dlatego, że został „usunięty”, nie oznacza, że zginął jako dowód sądowy; usunięty został po prostu wskaźnik. Ponadto nadal dostępne będą ślady w sieci, jak adres IP; dzienniki inspekcji, które śledzą kto, co, kiedy i gdzie zrobił; dzienniki routera; i – jeśli mamy szczęście – taśma z nagraniem z miejsca pracy.
Do początku strony
Wnioski
Mam nadzieję, że przekazane informacje rozwiały niektóre mity, które można usłyszeć odnośnie zabezpieczeń rozwiązań wirtualizacji i będą pomocne jako elementarz dla osób, które zdecydują się na korzystanie z tej nowej technologii. Na zakończenie chciałbym przypomnieć następujące kluczowe działania, które ułatwiają zabezpieczenie wirtualnych środowisk:
- Zmniejszenie na hoście obszarów zagrożeń, dostępnych do przeprowadzania ataków.
- Stosowanie zasady dostępu przy użyciu możliwie najmniejszych uprawnień.
- Przeprowadzanie inspekcji instalacji, konserwacji, kontroli i dostępu do maszyn wirtualnych.
- Korzystanie z zalet kopii zapasowych, migawek i rozwiązań nadmiarowych do zmniejszenia wpływu operacji związanych z konserwacją na hosta/gościa.
- Zabezpieczanie plików dysku twardego maszyny wirtualnej i konfiguracji, wliczając w to kopie zapasowe i archiwa.
- Wykorzystywanie wirtualnych sieci /VLANs/IPSec do izolowania maszyn, w szczególności przed ich ujawnieniem w sieci.
Do początku strony
O autorze
Kai Axford, Certified Information System Security Professional (CISSP), w grupie Microsoft Trustworthy Computing pełni rolę Senior Security Strategist. W firmie Microsoft pracuje już 9 lat i jest odpowiedzialny za analizę oraz rekomendowanie rozwiązań zarówno dla organizacji sektora prywatnego, jak i publicznego. Niedawno powrócił po trzytygodniowej podróży po Kanadzie, gdzie omawiał kwestie bezpieczeństwa rozwiązań wirtualizacji. Warto poznać jego inne „nieomylne kazania”, dotyczące najczęściej bezpieczeństwa, dostępne w witrynie Security Minded with Kai the Security Guy. Kai pragnie podziękować Bruce’owi Cowperowi, pełniącemu funkcję Chief Security Advisor dla Microsoft Canada, za jego pomoc w tym przedsięwzięciu.
| Do początku strony |