Archive for the 'virtualización' categoría

VMware rápido camino Versus Firewalls camino lento

30 de agosto 2010

Muchos de nosotros estamos trabajando ahora con firewalls virtuales. Hice un post anterior sobre la fortalezas y debilidades de la seguridad en el mundo virtual , pero hoy quiero hablar de las posibilidades de cortafuegos con VMware. Ha habido mucho entusiasmo en relación con relativamente nuevo de VMware VMsafe API . En concreto, todo el mundo está luchando para crear / instalar firewalls rápido camino. Pero son todas las implementaciones de vía rápida creados iguales? ¿Hay preocupación por la seguridad de ir con una solución de vía rápida? Vamos a bucear y ver.

Desglose de VMsafe

Con el lanzamiento de la API VMsafe de seguridad, VMware ha mejorado las opciones disponibles para la implementación de seguridad en un entorno vSphere al permitir que los proveedores se integren directamente en el hipervisor en el anillo 0. VMsafe consta de tres componentes:

  • VDDK - inspección de bloques de disco. API ha sido públicamente puesto en libertad.
  • vCompute - CPU y la memoria de la API. No ha sido revelado. Desconocido que terceras personas puedan acceder, en su caso.
  • vNetwork - API para controlar / filtro entre el vNIC y vSwitch. No ha sido revelado. A lo mejor de mi conocimiento, sólo Altor Networks y Sistemas Reflex tienen acceso (dos proveedores que participaron en el desarrollo de la API).

En concreto, quiero hablar con el API vNetwork. Cuando se controla el flujo de tráfico de la red en un host ESX, hay dos posible implementación, "vía lenta" y "vía rápida".

Camino lento

Marcha lenta, es la implementación más sencilla y la que hemos estado utilizando durante años. Efectivamente, esto es sólo un invitado de VM, de forma similar a cualquier otro invitado VM, que se ejecutan en el host ESX. Normalmente, cada invitado se conecta a un único vSwitch, y cada uno de estos conmutadores virtuales está conectada a un vNIC único en el firewall. Esto es similar a una configuración de firewall legado, pero implementado de forma virtual. El beneficio de la ejecución en la vía lenta es que se puede ejecutar un sistema operativo completo con cualquier golpe bibliotecas o servicios necesarios para apoyar el firewall.

Fast Path

Vía rápida es efectivamente un conductor de 0 anillo que se conecta directamente en el núcleo del hipervisor. Esto permite que un proveedor de terceros para aprovechar el hipervisor para la inserción entre cada conexión vNIC / vSwitch. Porque un controlador de vía rápida se ejecuta en el contexto del núcleo, se añade una sobrecarga mínima en el sistema. El resultado es la ejecución de código dentro de vía rápida es considerablemente más rápido que el mismo código que se ejecuta dentro de vía lenta (de ahí el VMware convención de nomenclatura para cada contexto). De carga en el host ESX se reduce al mínimo, por lo que el resultado final es que se puede ejecutar huéspedes mucho más virtual.

Rápido Vs lento

Por lo tanto, suena como si quisiera hacer todo lo posible vía rápida, pero hay una serie de cuestiones. Vía rápida es un controlador del núcleo no se conecta en un mínimo hipervisor, un completo sistema operativo golpe. Esto limita las bibliotecas y los servicios del servidor de seguridad tiene a su disposición para controlar el flujo de tráfico. Además, somos la conexión de un controlador del núcleo por lo que debe ser la seguridad de que no se hinche el hipervisor, aumentar la superficie de ataque o interferir con otras funciones de hipervisor. VMware lleva a cabo una revisión de código en todos los controladores vía rápida antes de su liberación. Así que si en teoría podría poner en práctica todo mi código en el camino rápido, que iba a necesitar la aprobación de VMware antes de cada parche o función de liberación.

Con esto en mente, un vendedor de reclamar "vía rápida" de apoyo es, en realidad va a terminar la aplicación de una parte de su código como vía rápida, una porción de vía lenta, y luego crear un nexo de unión entre los dos. ¿Cuánta carga se coloca en el sistema dependerá de la cantidad de código se implementa en el camino rápido y cuánto de ello se ejecuta en el camino lento.

Posibles implementaciones de Fast Path

Por ejemplo, un vendedor puede optar por escribir un controlador de vía rápida que simplemente túneles todos los paquetes a un servidor de seguridad implementado vía lenta. El código de marcha lenta, a continuación, determina si el tráfico se debe pasar o se cae, con los paquetes pasan de ser enviado de nuevo al código vía rápida para su inserción en el canal de control del hipervisor. Si bien este sería el método más fácil de implementar vía rápida, y sin duda la más segura, que proporcionaría los beneficios al rendimiento. La carga del sistema probablemente no sería mucho mejor que una aplicación plena vía lenta. Yo veo esta opción como muy atractiva para los vendedores de firewall legado, ya que requieren la menor cantidad de modificaciones a su código existente sin dejar de ser capaces de reclamar "apoyo vía rápida".

Otra opción sería utilizar el espacio de vía lenta de las funciones administrativas con el controlador de ruta de acción rápida como el motor de firewall. Así, por ejemplo, el administrador del cortafuegos crearía la política mediante una interfaz que se ejecutan en una máquina virtual vía lenta, que a su vez impulsará la política de bajar a un conductor de vía rápida. En esta configuración del controlador de vía rápida tiene una copia de la póliza para el control del tráfico se pueden implementar de inmediato. El resultado es más rápido manejo de tráfico con una carga mínima del sistema. La compensación es más voluminoso código en el anillo 0.

También es posible llevar a cabo una mezcla de los dos. Por ejemplo, yo podría utilizar el controlador de vía rápida para poner en práctica la política de firewall, pero luego pasa a todos "aceptado" los paquetes de vuelta al sistema vía lenta para comprobar la intrusión, detección de virus, o lo que sea necesario. Paquetes aceptable que luego pasan de nuevo al controlador de vía rápida para la inserción. Así que en esta configuración a todos "caído" paquetes se manejan a través de vía rápida, mientras que los paquetes aceptados interactuar con un componente de trazado lento.

Como nota al margen, es necesario mantener la información anterior en mente al considerar todas las implementaciones vNetwork, no sólo a los cortafuegos. El API vNetwork también se puede utilizar para la aplicación de la política, calidad de servicio, la recolección de estadísticas de red, etc Por ejemplo, la puesta en práctica vNetwork primera fue en realidad VMware Lab. Esta herramienta se utiliza para el aprovisionamiento de autoservicio y no contiene un componente de servidor de seguridad (esto se realiza a través vShield).

Resumen

Mientras que un producto que se integra con VMware VMsafe estrictamente puede ser una "vía lenta" puesta en práctica, es muy poco probable que cualquier producto puede ser considerado sólo una "vía rápida" puesta en práctica. Cualquier producto vía rápida es más probable que va a ser un híbrido. Es sólo una cuestión de la cantidad de código en la "vía rápida", el espacio frente a la "vía lenta" del espacio. Cuando un producto reclamos de apoyo vía rápida, hay que cavar un poco más profundo para analizar la puesta en práctica con el fin de identificar las ventajas de rendimiento real.

No hay comentarios »

Publicado en virtualización

Los sistemas virtualizados son más o menos seguro?

18 de mayo 2010

He tenido la pregunta anterior pregunta número suficiente de veces que me sentía merecedor de una entrada de blog. Mientras que hace unos años la respuesta podría haber sido "menos seguro", hoy la respuesta es "ambos". Lo sé, suena como que Chris no es vinculante, pero que la respuesta realmente la mayoría de describir con precisión el estado actual de la tecnología.

Los cambios de virtualización de todo

He oído un comentario pocas personas que la virtualización está a punto de impacto de la industria de la misma manera que Internet hizo en los años 90. Para ser honesto, creo que hay mérito en esa opinión. A principios de los años 90 la mayoría de la gente se ejecuta IPX, AppleTalk, NetBUI y una plétora de otros protocolos en redes cerradas. A finales de los años 90, la mayoría de la gente corría exclusivamente con conectividad IP a todo el mundo. La forma en que hizo negocios, así como la forma en que aplica la seguridad, totalmente cambiado a lo largo de 10 años. Tanto la administración de redes y capacidades de seguridad que se de vanguardia en 1990 fueron casi inútiles en 1999.

La virtualización es a partir de la rampa para que tenga el mismo impacto en la industria. Implementación de la virtualización requiere un replanteamiento completo de la forma de aplicar la seguridad. De vuelta en la década de 1990, los administradores que simplemente se conecta a la Internet, sin tener en cuenta cómo podría afectar su red, se quemó a lo grande. Estamos haciendo cola para ver una salida similar a la gente a adoptar la virtualización.

Lo que hace que la virtualización menos seguro

El talón de Aquiles de la virtualización está en el propio software. Esperamos que podamos confiar en el software para mantener los sistemas invitados de distancia el uno del otro, así como el hipervisor de acogida y / o. Hay dos problemas importantes con esta expectativa:

  1. Ningún software es libre de errores
  2. El software puede ser configurado correctamente

Hace unos años, la investigación básica demostraron que podían salir de un huésped y obtener el control total del sistema operativo anfitrión . Mientras que un hipervisor que se supone que limitar ese tipo de exposición, sin duda hemos visto casos en que incluso el hipervisor ha sido anulada . Incluso hemos visto casos de software se convierte en explotación sólo cuando se ejecuta en un entorno virtualizado . Estos enlaces muestran una pequeña sección transversal de los problemas de virtualización que se han descubierto en los últimos años. Google le puede dar una lista más completa si usted está interesado.

Por lo que una prudente seguridad profesional va a tener cuidado con confiando ciegamente software para ser seguro. El problema es que los vendedores no siempre tienen este mismo enfoque. Tome VMware con sus ESX (que pronto se ESXi) del producto como un ejemplo. Muchos de nosotros estábamos atónitos cuando un representante de VMware anunció CanSecWest en que era teóricamente imposible atacar el hipervisor ESX . Cuando nos limitamos a asumir algo que es irrompible, una persona más creativa que va a encontrar una manera de atravesar .

Uno de mis mayores preocupaciones con ESX / ESXi de VMware es que lo ha diseñado para ser modular (a través de VMSafe ). En el lado positivo, esto significa que los proveedores externos pueden crear productos para ayudar a mejorar el hipervisor de funcionalidad y seguridad. En el lado negativo esto aumenta dramáticamente las posibilidades de código malicioso que se introduce lo que puede comprometer la seguridad.

Hemos visto un gran ejemplo de esto en el pasado. Marcus Ranum creó el firewall Gauntlet, que en ese momento era uno de los dispositivos de seguridad más seguras y patear traseros disponibles. Cuando las tres agencias carta quería la mejor seguridad, se dirigieron a Gauntlet. Marcus vendidos Guante de Network Associates (más tarde se convirtió McAfee), que inmediatamente comenzó a agregar en las características. No pasó mucho tiempo antes de una cadena constante de las vulnerabilidades se están descubriendo, cada uno introducido por estas nuevas "características". A partir de ahí, el producto pierde su credibilidad y la seguridad se salió del radar.

Ahora bien, es ciertamente posible agregar funciones y mantener las cosas seguras. El FreeBSD personas son un excelente ejemplo de cómo hacerlo correctamente. Para garantizar la seguridad de que mantener un proceso de auditoría muy estrictos . ¿Es perfecto? Por supuesto que no, pero su proceso de auditoría ha puesto el listón para la implementación de software seguro. Con algo de suerte VMware hará similar, pero no he oído ningún rumor acerca de este ser el caso.

Obtención de la cabeza recta

Aceptar, por lo que no debe confiar ciegamente en software de virtualización para mantener a raya a los atacantes. Sin embargo, podemos todavía tomar precauciones para minimizar el impacto, si lo peor ocurre. Uno de los mayores pasos que puede tomar es considerar cuidadosamente lo que los servidores se encuentra alojado, y lo que los sistemas de otros huéspedes se les permite correr en la misma caja. El concepto de zona de seguridad utilizado por arquitectos de la red es igual de aplicable aquí.

Una zona de seguridad es simplemente una colección de sistemas que comparten el mismo nivel relativo de riesgo. Por ejemplo, servidores web, el nombre y SMTP son por lo general todo se encuentra en una zona de distensión, ya que todos ellos comparten el riesgo de un ataque directo. En la parte interna de la red, equipos de escritorio se colocan generalmente en una zona de seguridad diferente a los servidores. Esto se debe a que los servidores tienen poco o ningún acceso a Internet, mientras que los equipos son generalmente autorizados a comunicarse directamente. Esto coloca a los equipos de sobremesa con mayor riesgo de ataque de los servidores.

Podemos aplicar la misma lógica en la aplicación de la virtualización. Un servidor DMZ y un servidor interno no deben ser invitados en el mismo hardware (CPU y serie del disco). Si lo hace, podría permitir a un atacante crear una ruta alternativa a nuestra red. En lugar de tener que pasar a través de cualquier firewall, NIDS, NIPS, dispositivos, etc que se ha desplegado en el alambre, un atacante podría obtener acceso a los recursos internos a través del software de virtualización. ¿Es un ataque fácil? No de lo que hemos visto hasta ahora. Exploits funcionales se han descubierto sin embargo, ¿por qué introducir un riesgo innecesario si no tiene que hacerlo.

Por cierto, estas mismas normas de seguridad de zona se debe aplicar a su equipo de red virtualizados. Por ejemplo, es una mala idea usar el mismo conmutador físico a la VLAN de la DMZ y la red interna. He visto un par de clientes ser golpeados de esa manera.

Lo que hace que la virtualización más seguro

Afortunadamente, desde la perspectiva de la seguridad, la virtualización no todo son malas noticias. De hecho, hay algunas prácticas de seguridad muy interesantes que se pueden aplicar en un entorno virtualizado que usted simplemente no puede prescindir de él. Esta fue una de las razones por las que empezamos a utilizar la virtualización dentro de la Honeynet desde el año 2000.

Uno de los mayores problemas de seguridad que enfrentamos hoy es a nivel de kernel rootkits . Lo que hace que esta cepa de malware tan insidioso es que efectivamente se convierte el propio sistema operativo en malware. Esto hace que la detección extremadamente difícil, ya que todos los controles de seguridad debe pasar por el núcleo. Si el núcleo está en peligro, no podemos confiar en el núcleo de informar con precisión la información de seguridad. Nos acaban de tener que apagar el sistema, montar la unidad en un conocido por ser limpia del sistema operativo, y haciendo nuestras verificaciones forenses a partir de ahí. Oh por supuesto el problema con este proceso es que no escala bien. Si tenemos decenas o cientos de servidores, simplemente no hay suficiente tiempo en un día para ver todas correctamente.

Como se mencionó anteriormente, VMware está permitiendo proveedores de acceso de terceros a través de la API de hypervisor VMSafe. Esto permite el acceso a la información privilegiada del Estado, como la memoria y el tráfico de red, en cada uno de los sistemas operativos invitados. Mediante la conexión en el hipervisor, algunas opciones de seguridad muy fresco a ser posible.

Por ejemplo, digamos que un sistema operativo invitado es atacado por un rootkit a nivel de kernel. Mediante el análisis de la memoria del invitado, el rootkit puede detectarse desde el exterior del sistema operativo virtual. Al realizar las comprobaciones a través del hipervisor, que es mucho menos de la posibilidad de que un rootkit puede utilizar el sigilo de sus actividades y no se detectan. Como se mencionó anteriormente, no hay opción comparable con un sistema no virtualizado.

El enchufe de la API también crea nuevas posibilidades para tratar con el tráfico encriptado. Al extremo a extremo de cifrado se utiliza (como una red privada virtual), el control basado en red de la capa de aplicación son pasados ​​por alto fácilmente. Su única opción era correr software de agente en el punto final, lo que la seguridad podría aplicarse después de que el proceso de descifrado. Por supuesto, el problema aquí es que si el agente es atacado, todas las apuestas están apagadas. Una vez más, al conectarse a la hipervisor estamos en una mejor posición para examinar de forma más segura estos datos.

Estamos empezando a ver los nuevos productos que aprovechen el enchufe VMSafe API . Dado que todos los productos son relativamente nuevos, el jurado aún está deliberando sobre la eficacia que pueden ser. Ofertas de ejecutar la táctica de la sustitución de firewall basado en host y la protección de IDS para la aplicación de políticas completo. Será interesante ver cómo este nicho de productos sacude durante el próximo año.

Resumen

Así como he mencionado al principio de este post, la virtualización tiene la capacidad de hacer que su entorno sea más o menos seguro, dependiendo de cómo implementarlo. Si simplemente empezar a correr todo en una sola caja, es probable que van a ser golpeados. Si extiende las mejores prácticas que se han desarrollado a lo largo de los años en el reino de la virtualización, así como aprovechar algunas de las nuevas características de seguridad que están siendo puestos en libertad, en realidad se puede crear una mejor postura de seguridad global.

No hay comentarios »

Publicado en 3-err , General de la Seguridad , Virtualización

Tags: