He tenido la pregunta anterior pregunta número suficiente de veces que me sentía merecedor de una entrada de blog. Mientras que hace unos años la respuesta podría haber sido "menos seguro", hoy la respuesta es "ambos". Lo sé, suena como que Chris no es vinculante, pero que la respuesta realmente la mayoría de describir con precisión el estado actual de la tecnología.
Los cambios de virtualización de todo
He oído un comentario pocas personas que la virtualización está a punto de impacto de la industria de la misma manera que Internet hizo en los años 90. Para ser honesto, creo que hay mérito en esa opinión. A principios de los años 90 la mayoría de la gente se ejecuta IPX, AppleTalk, NetBUI y una plétora de otros protocolos en redes cerradas. A finales de los años 90, la mayoría de la gente corría exclusivamente con conectividad IP a todo el mundo. La forma en que hizo negocios, así como la forma en que aplica la seguridad, totalmente cambiado a lo largo de 10 años. Tanto la administración de redes y capacidades de seguridad que se de vanguardia en 1990 fueron casi inútiles en 1999.
La virtualización es a partir de la rampa para que tenga el mismo impacto en la industria. Implementación de la virtualización requiere un replanteamiento completo de la forma de aplicar la seguridad. De vuelta en la década de 1990, los administradores que simplemente se conecta a la Internet, sin tener en cuenta cómo podría afectar su red, se quemó a lo grande. Estamos haciendo cola para ver una salida similar a la gente a adoptar la virtualización.
Lo que hace que la virtualización menos seguro
El talón de Aquiles de la virtualización está en el propio software. Esperamos que podamos confiar en el software para mantener los sistemas invitados de distancia el uno del otro, así como el hipervisor de acogida y / o. Hay dos problemas importantes con esta expectativa:
- Ningún software es libre de errores
- El software puede ser configurado correctamente
Hace unos años, la investigación básica demostraron que podían salir de un huésped y obtener el control total del sistema operativo anfitrión . Mientras que un hipervisor que se supone que limitar ese tipo de exposición, sin duda hemos visto casos en que incluso el hipervisor ha sido anulada . Incluso hemos visto casos de software se convierte en explotación sólo cuando se ejecuta en un entorno virtualizado . Estos enlaces muestran una pequeña sección transversal de los problemas de virtualización que se han descubierto en los últimos años. Google le puede dar una lista más completa si usted está interesado.
Por lo que una prudente seguridad profesional va a tener cuidado con confiando ciegamente software para ser seguro. El problema es que los vendedores no siempre tienen este mismo enfoque. Tome VMware con sus ESX (que pronto se ESXi) del producto como un ejemplo. Muchos de nosotros estábamos atónitos cuando un representante de VMware anunció CanSecWest en que era teóricamente imposible atacar el hipervisor ESX . Cuando nos limitamos a asumir algo que es irrompible, una persona más creativa que va a encontrar una manera de atravesar .
Uno de mis mayores preocupaciones con ESX / ESXi de VMware es que lo ha diseñado para ser modular (a través de VMSafe ). En el lado positivo, esto significa que los proveedores externos pueden crear productos para ayudar a mejorar el hipervisor de funcionalidad y seguridad. En el lado negativo esto aumenta dramáticamente las posibilidades de código malicioso que se introduce lo que puede comprometer la seguridad.
Hemos visto un gran ejemplo de esto en el pasado. Marcus Ranum creó el firewall Gauntlet, que en ese momento era uno de los dispositivos de seguridad más seguras y patear traseros disponibles. Cuando las tres agencias carta quería la mejor seguridad, se dirigieron a Gauntlet. Marcus vendidos Guante de Network Associates (más tarde se convirtió McAfee), que inmediatamente comenzó a agregar en las características. No pasó mucho tiempo antes de una cadena constante de las vulnerabilidades se están descubriendo, cada uno introducido por estas nuevas "características". A partir de ahí, el producto pierde su credibilidad y la seguridad se salió del radar.
Ahora bien, es ciertamente posible agregar funciones y mantener las cosas seguras. El FreeBSD personas son un excelente ejemplo de cómo hacerlo correctamente. Para garantizar la seguridad de que mantener un proceso de auditoría muy estrictos . ¿Es perfecto? Por supuesto que no, pero su proceso de auditoría ha puesto el listón para la implementación de software seguro. Con algo de suerte VMware hará similar, pero no he oído ningún rumor acerca de este ser el caso.
Obtención de la cabeza recta
Aceptar, por lo que no debe confiar ciegamente en software de virtualización para mantener a raya a los atacantes. Sin embargo, podemos todavía tomar precauciones para minimizar el impacto, si lo peor ocurre. Uno de los mayores pasos que puede tomar es considerar cuidadosamente lo que los servidores se encuentra alojado, y lo que los sistemas de otros huéspedes se les permite correr en la misma caja. El concepto de zona de seguridad utilizado por arquitectos de la red es igual de aplicable aquí.
Una zona de seguridad es simplemente una colección de sistemas que comparten el mismo nivel relativo de riesgo. Por ejemplo, servidores web, el nombre y SMTP son por lo general todo se encuentra en una zona de distensión, ya que todos ellos comparten el riesgo de un ataque directo. En la parte interna de la red, equipos de escritorio se colocan generalmente en una zona de seguridad diferente a los servidores. Esto se debe a que los servidores tienen poco o ningún acceso a Internet, mientras que los equipos son generalmente autorizados a comunicarse directamente. Esto coloca a los equipos de sobremesa con mayor riesgo de ataque de los servidores.
Podemos aplicar la misma lógica en la aplicación de la virtualización. Un servidor DMZ y un servidor interno no deben ser invitados en el mismo hardware (CPU y serie del disco). Si lo hace, podría permitir a un atacante crear una ruta alternativa a nuestra red. En lugar de tener que pasar a través de cualquier firewall, NIDS, NIPS, dispositivos, etc que se ha desplegado en el alambre, un atacante podría obtener acceso a los recursos internos a través del software de virtualización. ¿Es un ataque fácil? No de lo que hemos visto hasta ahora. Exploits funcionales se han descubierto sin embargo, ¿por qué introducir un riesgo innecesario si no tiene que hacerlo.
Por cierto, estas mismas normas de seguridad de zona se debe aplicar a su equipo de red virtualizados. Por ejemplo, es una mala idea usar el mismo conmutador físico a la VLAN de la DMZ y la red interna. He visto un par de clientes ser golpeados de esa manera.
Lo que hace que la virtualización más seguro
Afortunadamente, desde la perspectiva de la seguridad, la virtualización no todo son malas noticias. De hecho, hay algunas prácticas de seguridad muy interesantes que se pueden aplicar en un entorno virtualizado que usted simplemente no puede prescindir de él. Esta fue una de las razones por las que empezamos a utilizar la virtualización dentro de la Honeynet desde el año 2000.
Uno de los mayores problemas de seguridad que enfrentamos hoy es a nivel de kernel rootkits . Lo que hace que esta cepa de malware tan insidioso es que efectivamente se convierte el propio sistema operativo en malware. Esto hace que la detección extremadamente difícil, ya que todos los controles de seguridad debe pasar por el núcleo. Si el núcleo está en peligro, no podemos confiar en el núcleo de informar con precisión la información de seguridad. Nos acaban de tener que apagar el sistema, montar la unidad en un conocido por ser limpia del sistema operativo, y haciendo nuestras verificaciones forenses a partir de ahí. Oh por supuesto el problema con este proceso es que no escala bien. Si tenemos decenas o cientos de servidores, simplemente no hay suficiente tiempo en un día para ver todas correctamente.
Como se mencionó anteriormente, VMware está permitiendo proveedores de acceso de terceros a través de la API de hypervisor VMSafe. Esto permite el acceso a la información privilegiada del Estado, como la memoria y el tráfico de red, en cada uno de los sistemas operativos invitados. Mediante la conexión en el hipervisor, algunas opciones de seguridad muy fresco a ser posible.
Por ejemplo, digamos que un sistema operativo invitado es atacado por un rootkit a nivel de kernel. Mediante el análisis de la memoria del invitado, el rootkit puede detectarse desde el exterior del sistema operativo virtual. Al realizar las comprobaciones a través del hipervisor, que es mucho menos de la posibilidad de que un rootkit puede utilizar el sigilo de sus actividades y no se detectan. Como se mencionó anteriormente, no hay opción comparable con un sistema no virtualizado.
El enchufe de la API también crea nuevas posibilidades para tratar con el tráfico encriptado. Al extremo a extremo de cifrado se utiliza (como una red privada virtual), el control basado en red de la capa de aplicación son pasados por alto fácilmente. Su única opción era correr software de agente en el punto final, lo que la seguridad podría aplicarse después de que el proceso de descifrado. Por supuesto, el problema aquí es que si el agente es atacado, todas las apuestas están apagadas. Una vez más, al conectarse a la hipervisor estamos en una mejor posición para examinar de forma más segura estos datos.
Estamos empezando a ver los nuevos productos que aprovechen el enchufe VMSafe API . Dado que todos los productos son relativamente nuevos, el jurado aún está deliberando sobre la eficacia que pueden ser. Ofertas de ejecutar la táctica de la sustitución de firewall basado en host y la protección de IDS para la aplicación de políticas completo. Será interesante ver cómo este nicho de productos sacude durante el próximo año.
Resumen
Así como he mencionado al principio de este post, la virtualización tiene la capacidad de hacer que su entorno sea más o menos seguro, dependiendo de cómo implementarlo. Si simplemente empezar a correr todo en una sola caja, es probable que van a ser golpeados. Si extiende las mejores prácticas que se han desarrollado a lo largo de los años en el reino de la virtualización, así como aprovechar algunas de las nuevas características de seguridad que están siendo puestos en libertad, en realidad se puede crear una mejor postura de seguridad global.
