Ich habe die oben genannte Frage gestellt oft genug, dass ich es verdient einen Blog-Post zu spüren. Während vor ein paar Jahren die Antwort mag "weniger sicher", haben heute die Antwort "beides". Ich weiß, klingt wie Chris als unverbindlichen, aber diese Antwort wirklich am genauesten beschreibt den aktuellen Stand der Technik.
Virtualisierung Changes Everything
Ich habe ein paar Leute Bemerkung gehört, dass die Virtualisierung im Begriff, Auswirkungen der Industrie auf dieselbe Weise, dass das Internet in den 90er Jahren haben wird. Um ehrlich zu sein, ich glaube, es ist Verdienst in dieser Meinung. In den frühen 90er Jahren die meisten Leute liefen IPX, AppleTalk, NetBUI und eine Vielzahl anderer Protokolle über geschlossene Netze. Bis Ende der 90er Jahre waren die meisten Leute mit IP ausschließlich mit Anbindung an die ganze Welt. Die Art und Weise haben wir Unternehmen, sowie die Art, wie wir Applied Security, vollständig über die 10 Jahre verändert. Beide Netzwerk-Administration und Sicherheit Fähigkeiten, die Schneide im Jahr 1990 waren alle, aber nutzlos bis 1999.
Virtualisierung beginnt, Rampe bis zu den gleichen Auswirkungen auf die Branche haben. Virtualization Deployment erfordert eine komplette Umdenken, wie die Sicherheit gelten. Zurück in den 1990er Jahren bekam Admins, die einfach in das Internet angeschlossen, ohne Rücksicht darauf, wie dies ihre Auswirkungen auf das Netzwerk, große Zeit verbrannt. Wir stehen Schlange, um ein ähnliches Ergebnis zu sehen, wie Leute treffen Virtualisierung.
What Makes Virtualization Weniger sichere
Die Achillesferse der Virtualisierung ist in der Software selbst ist. Wir hoffen, wir können die Software Gastsysteme voneinander entfernt zu halten, sowie die Host-und / oder Hypervisor vertrauen. Es gibt zwei große Probleme mit dieser Erwartung:
- Keine Software ist fehlerfrei
- Software kann falsch
Ein paar Jahre zurück Core Research ergab, konnten sie brechen aus einem Gast und volle Kontrolle über den Host-OS . Während ein Hypervisor soll diese Art der Exposition zu begrenzen, haben wir sicherlich Fälle, in denen sogar gesehen den Hypervisor umgangen hat . Wir haben sogar Fälle gesehen, waren Software wird ausgenutzt nur dann, wenn in einer virtualisierten Umgebung laufen . Diese Links zeigen einen kleinen Querschnitt der Virtualisierung Probleme, die in den letzten Jahren entdeckt wurden. Google kann Ihnen eine komplette Liste, wenn Sie interessiert sind.
So eine vorsichtige Security Professional wird, vorsichtig zu sein blind vertrauen Software sicher zu sein. Das Problem ist Anbieter nicht immer die gleiche Vorgehensweise. Nehmen Sie VMware mit ihren ESX (bald ESXi werden) Produkt als ein Beispiel. Viele von uns waren verblüfft, wenn ein VMware Vertreter kündigte an CanSecWest dass es theoretisch unmöglich, die ESX Hypervisor Angriff . Wenn wir einfach davon ausgehen, etwas ist unzerbrechlich, ist jemand kreativer werde einen Weg finden, um durch Punsch .
Einer meiner größten Sorgen mit ESX / ESXi ist, dass VMware hat es modular aufgebaut (über VMsafe ). Auf der positiven Seite bedeutet dies, dass externe Anbieter können Produkte zu schaffen zur Verbesserung der Hypervisor die Funktionalität und Sicherheit. Auf der Sollseite steht das dramatisch erhöht die Chancen schlechter Code wird eingeführt, die die Sicherheit gefährden.
Wir haben ein sehr gutes Beispiel dafür in der Vergangenheit gesehen. Marcus Ranum schuf die Gauntlet Firewall, die zu jener Zeit war eine der sichersten und kick butt Sicherheitseinrichtungen zur Verfügung. Wenn drei Buchstaben Agenturen die beste Sicherheit wollten, wandten sie sich an Gauntlet. Marcus verkauft Gauntlet zu Network Associates (später McAfee), die sofort gestartet Zugabe in Funktionen. Es dauerte nicht lange, bevor eine stetige Reihe von Sicherheitslücken entdeckt wurden, die jeweils durch diese neuen "Features" eingeführt. Von dort verlor das Produkt die Sicherheit cred und rutschte von dem Radar.
Nun ist es sicherlich möglich, neue Features hinzuzufügen und die Dinge zu sichern. Die FreeBSD Leute sind ein hervorragendes Beispiel dafür, wie dies richtig zu tun. Zur Gewährleistung der Sicherheit sie erhalten eine sehr strenge Auditierung . Ist es perfekt? Absolut nicht, aber ihre Audit-Prozess hat die Messlatte für sichere Software-Implementation. Mit etwas Glück VMware tun ähnlich, aber ich habe keine Summen über dies der Fall gehört.
Getting Your Head Gerade
OK, so können wir nicht blind vertrauen Virtualisierungs-Software, um die Angreifer in Schach zu halten. Wir können aber noch treffen Vorkehrungen zur Minimierung der Auswirkungen, wenn das Schlimmste nicht eintreten. Einer der größten Schritte, die Sie machen können, ist sorgfältig zu prüfen, auf welchen Servern gehostet zu bekommen, und was andere Gastsysteme dürfen auf der gleichen Box laufen. Die Sicherheitszone Konzept von Netzwerk-Architekten verwendet wird wie hier anwendbar.
Eine Sicherheitszone ist einfach eine Sammlung von Systemen, die die gleiche relative Risiko zu teilen. Zum Beispiel Web, Name und SMTP-Server sind in der Regel alle auf einer DMZ befinden, weil sie alle haben ähnliche Risiko aus dem direkten Angriff. Auf dem internen Teil des Netzwerks sind Desktops in der Regel in einer anderen Sicherheitszone als die Server gelegt. Dies liegt daran, Server wenig bis gar keine Zugang zum Internet haben, während Desktops sind in der Regel gestattet, direkt zu kommunizieren. Dies stellt den Desktops ein höheres Risiko eines Angriffs über die Server.
Wir können dieses gleiche Logik bei der Umsetzung Virtualisierung. Ein DMZ-Server und einen internen Server sollten nicht die Gäste auf der gleichen Hardware (CPU und Disk-Array) werden. Dies könnte einem Angreifer ermöglichen, eine alternative Route in unser Netzwerk zu schaffen. Anstatt durch eine Firewall passieren, NIDS, NIPS, etc. Geräte, die auf dem Draht bereitgestellt wurde, kann ein Angreifer in der Lage sein, den Zugang zu internen Ressourcen über die Virtualisierungs-Software zu gewinnen. Ist es eine einfache angreifen? Nicht von dem, was wir bisher gesehen haben. Functional Exploits wurden jedoch entdeckt, warum also vorstellen unnötiges Risiko, wenn wir nicht tun müssen.
By the way, sollten diese gleichen Sicherheitszone Regeln, um Ihre virtualisierte Netzwerk Getriebe angewendet werden. Zum Beispiel ist es eine schlechte Idee, die gleichen physischen Switch zu VLAN der DMZ und dem internen Netzwerk verwenden. Ich habe ein paar Kunden zu sehen bekommen whacked so.
What Makes Virtualization Mehr Sicherheit
Zum Glück aus Sicht der Sicherheit ist die Virtualisierung nicht nur schlechte Nachrichten. In der Tat gibt es einige sehr coole Sicherheit Praktiken, die Sie in einer virtualisierten Umgebung anwenden können, dass man einfach nicht ohne sie auskommen. Dies war einer der Gründe, begannen wir mit Virtualisierung innerhalb des Honeynet so früh wie 2000.
Eines der größten Sicherheitsprobleme wir heute gegenüberstehen, ist der Kernel-Ebene Rootkits . Was macht diese Sorte von Malware so heimtückisch ist es effektiv wird das Betriebssystem selbst in Malware. Dies macht Erkennung äußerst schwierig, da alle Sicherheits-Checks durch den Kernel übergeben müssen. Wenn der Kernel selbst gefährdet ist, können wir nicht auf der Kernel angewiesen, um genau zu berichten Sicherheitsinformationen. Wir haben schließlich zum Herunterfahren des Systems, das Laufwerk mounten auf einem bekannten zu reinigen OS sein, und der Erfüllung unserer forensischen Prüfungen von dort aus. Oh natürlich das Problem bei diesem Verfahren ist, dass es nicht gut skalieren. Wenn wir Dutzende oder Hunderte von Servern haben, es gibt einfach nicht genug Zeit, an einem Tag, um sie alle richtig zu überprüfen.
Wie bereits erwähnt, ist VMware nun erlauben Drittanbietern den Zugriff auf den Hypervisor API via VMsafe. Dies ermöglicht den Zugang zu privilegierten Status-Informationen, wie zB Speicher-und Netzwerk-Traffic, auf jedem der Gastbetriebssysteme. Durch Einstecken in den Hypervisor, werden einige extrem cool Sicherheitsoptionen möglich.
Zum Beispiel sagen wir, ein Gast-Betriebssystem von einem Kernel-Ebene Rootkit angegriffen wird. Durch die Analyse von Gast-Speicher, kann das Rootkit von außerhalb der virtuellen Betriebssystem erkannt werden. Bei der Durchführung der Kontrollen über den Hypervisor, es ist weit weniger eine Chance, dass ein Rootkit kann Stealth-Aktivitäten und unentdeckt bleiben. Wie bereits erwähnt, gibt es keine vergleichbare Möglichkeit, mit einem nicht-virtualisierten System.
Die API-Plug schafft auch neue Möglichkeiten für den Umgang mit verschlüsselten Datenverkehr. Wenn Ende zu Ende-Verschlüsselung eingesetzt wird (wie ein VPN), Netzwerk basierte Kontrolle der Application Layer einfach umgangen werden. Ihre einzige wirkliche Möglichkeit war, Agent-Software auf dem Endpunkt ausgeführt wird, könnte so die Sicherheit nach der Entschlüsselung realisiert werden. Natürlich ist das Problem hier ist, dass, wenn der Agent angegriffen wird, werden alle Wetten ausgeschaltet sind. Auch durch Einstecken in den Hypervisor sind wir in einer besseren Position, um sicherer prüfen diese Daten.
Wir fangen gerade erst an Neues zu sehen Produkte, die das VMsafe API-Plug nutzen . Da alle Produkte relativ neu sind, ist noch nicht entschieden, wie effektiv sie sein können. Angebote laufen Schachzug von Ersatz Host-basierte Firewall-und IDS-Schutz in voller Durchsetzung von Richtlinien. Es wird interessant sein zu sehen, wie dieses Produkt Nische heraus schüttelt Laufe des nächsten Jahres.
Zusammenfassung
So wie ich am Anfang dieses Beitrags erwähnt, hat die Virtualisierung die Möglichkeit, Ihre Umgebung mehr oder weniger sicher, je nachdem wie Sie bereitstellen. Wenn Sie starten einfach läuft alles auf einem einzigen Feld, sind Sie wahrscheinlich zu whacked bekommen. Wenn Ihnen die besten Praktiken, die im Laufe der Jahre wurden in die Virtualisierung Reich, sowie Hebel einige der neuen Sicherheits-Features, die freigesetzt werden entwickelt verlängern, können Sie tatsächlich eine bessere allgemeine Sicherheitslage.
