Ho avuto la domanda di cui sopra ha chiesto numero sufficiente di volte che mi è sembrato degno di un post sul blog. Mentre qualche anno fa la risposta potrebbe essere stato "meno sicura", oggi la risposta è "entrambi". Lo so, sembra essere Chris non impegnativa, ma che la risposta davvero più accuratamente descrivere lo stato attuale della tecnologia.
Tutto cambia di virtualizzazione
Ho sentito una frase alcune persone che la virtualizzazione è sul punto di impatto del settore stesso modo in cui Internet ha fatto negli anni '90. Per essere onesto, penso che ci sia merito nel suddetto parere. Nei primi anni '90 la maggior parte delle persone correvano IPX, AppleTalk, NetBUI e una pletora di altri protocolli sulle reti chiuse. Alla fine degli anni '90, la maggior parte delle persone correvano con connettività IP in esclusiva per il mondo intero. Il modo abbiamo fatto affari, nonché il modo di applicazione di sicurezza, completamente cambiato oltre che di 10 anni. Sia l'amministrazione di rete e le competenze di sicurezza che sono stati all'avanguardia nel 1990, sono stati tutti inutili, ma entro il 1999.
La virtualizzazione sta cominciando a dilagare per avere lo stesso impatto sul settore. Implementazione della virtualizzazione richiede un completo ripensamento di come applicare la protezione. Torna nel 1990, gli amministratori che semplicemente collegati alla Internet, senza preoccuparsi di come questo avrebbe un impatto propria rete, ha bruciato grande tempo. Ci sono in coda per vedere un risultato simile a quella gente adottare la virtualizzazione.
Che cosa rende meno sicura la virtualizzazione
Il tallone d'Achille della virtualizzazione è nel software stesso. Speriamo ci si possa fidare del software per mantenere i sistemi guest distanza l'uno dall'altro, così come l'host e / o hypervisor. Ci sono due problemi importanti con questa aspettativa:
- Nessun software è privo di bug
- Il software può essere configurato in modo errato
Pochi anni indietro Core Research hanno dimostrato di potere uscire da un ospite e ottenere il controllo completo del sistema operativo host . Mentre un hypervisor dovrebbe limitare tale tipo di esposizione, abbiamo sicuramente visto casi in cui anche l'hypervisor è stato scavalcato . Abbiamo anche i casi riscontrati sono stati il software diventa sfruttabile solo se eseguito in un ambiente virtualizzato . Tali collegamenti mostrano una piccola sezione trasversale dei problemi virtualizzazione che sono stati scoperti negli ultimi anni. Google può darvi una lista più completa, se siete interessati.
Così un prudente professionista della sicurezza sta per essere cauti fidarsi ciecamente di software per essere sicuro. Il problema è che i fornitori non sempre assumere questo stesso approccio. Prendere VMware con il loro ESX (presto saranno ESXi), prodotto come un esempio. Molti di noi erano sbalorditi quando un rappresentante VMware ha annunciato al CanSecWest che era teoricamente possibile attaccare il hypervisor ESX . Quando abbiamo semplicemente assumere qualcosa è infrangibile, qualcuno più creativo sta andando a trovare un modo di perforare attraverso .
Una delle mie maggiori preoccupazioni con ESX / ESXi è che VMware ha progettato per essere modulare (via VMsafe ). Sul lato positivo, questo significa che i fornitori esterni in grado di creare prodotti per contribuire a migliorare la hypervisor la funzionalità e la sicurezza. Il lato negativo questo aumenta notevolmente le probabilità di cattivo codice in fase di introduzione, che possono compromettere la sicurezza.
Abbiamo visto un grande esempio di questo in passato. Marcus Ranum creato il firewall Gauntlet, che a quel tempo era uno dei dispositivi più sicuri di testa e calci di sicurezza disponibili. Quando tre agenzie di lettere ha voluto la massima sicurezza, si è rivolto a Gauntlet. Marcus ha venduto Gauntlet per Network Associates (in seguito divenne McAfee) che ha immediatamente iniziato ad aggiungere nelle caratteristiche. Non passò molto tempo prima di una serie costante di vulnerabilità venivano scoperte, ognuna introdotta da queste nuove "caratteristiche". Da qui, il prodotto ha perso la sua sicurezza e cred scivolare fuori del radar.
Ora è certamente possibile aggiungere nuove funzionalità e tenere le cose sicure. I FreeBSD gente sono un ottimo esempio di come farlo correttamente. Per garantire la sicurezza mantengono un processo di controllo molto rigoroso . E 'perfetto? Assolutamente no, ma il loro processo di revisione contabile ha messo la barra per l'esecuzione di software sicuro. Con po 'di fortuna VMware farà simile, ma non ho sentito alcun ronzio di questo è il caso.
Ottenere la testa dritta
OK, quindi non possiamo fidarsi ciecamente software di virtualizzazione per tenere a bada gli aggressori. Possiamo però ancora prendere le dovute precauzioni per ridurre al minimo l'impatto se il peggio si verifica. Uno dei più grandi passi si può prendere è quello di considerare con attenzione quali server vengono ospitati, e ciò che gli altri sistemi guest sono autorizzati a circolare sulla stessa macchina. Il concetto di area di protezione utilizzato da architetti di rete è altrettanto applicabile qui.
Una zona di sicurezza è semplicemente un insieme di sistemi che condividono lo stesso livello di rischio relativo. Ad esempio i server Web, nome e SMTP sono di solito tutti in una DMZ, perché tutti i rischi quota analoga da un attacco diretto. Sulla porzione interna della rete, i desktop vengono solitamente collocati in una zona di sicurezza diverso rispetto ai server. Questo perché i server hanno poco o nessun accesso a Internet, mentre i desktop sono normalmente autorizzati a comunicare direttamente. Questo pone i desktop a più alto rischio di attacco rispetto ai server.
Possiamo applicare questa stessa logica in sede di attuazione di virtualizzazione. Un server DMZ e un server interno non dovrebbe essere ospiti sullo stesso hardware (CPU e array di dischi). In questo modo potrebbe consentire a un utente malintenzionato di creare un percorso alternativo nella nostra rete. Piuttosto che dover passare attraverso qualsiasi firewall, NIDS, si arrampica, dispositivi ecc che sono stati distribuiti sul filo, un malintenzionato può essere in grado di accedere alle risorse interne tramite il software di virtualizzazione. E 'un attacco facile? Non da quello che abbiamo visto finora. Exploit funzionali sono stati scoperti però, perché introdurre rischi inutili se non è necessario.
A proposito, queste stesse regole delle aree di protezione deve essere applicato l'attrezzatura di rete virtualizzata. Ad esempio, è una cattiva idea di utilizzare lo stesso interruttore fisico per VLAN la DMZ e la rete interna. Ho visto un paio di clienti ritrovarsi colpite in questo modo.
Che cosa rende la virtualizzazione più sicuro
Fortunatamente, dal punto di vista della sicurezza, la virtualizzazione non è solo brutte notizie. In realtà ci sono alcune pratiche di sicurezza molto interessanti che possono essere applicati in un ambiente virtualizzato che semplicemente non può fare a meno. Questa è stata una delle ragioni per cui abbiamo cominciato ad usare la virtualizzazione all'interno del Honeynet già nel 2000.
Uno dei problemi più grandi di sicurezza che dobbiamo affrontare oggi è rootkit a livello kernel . Ciò che rende questo ceppo di malware in modo insidioso è che trasforma in modo efficace il sistema operativo in malware. Questo rende estremamente difficile il rilevamento, in quanto tutti i controlli di sicurezza devono passare attraverso il kernel. Se il kernel stesso è compromesso, non possiamo contare sul kernel di segnalare con precisione le informazioni di sicurezza. Si finisce per dover spegnere il sistema, montare l'unità su un noto per essere pulita del sistema operativo, ed eseguire i nostri controlli di medicina legale da lì. Oh, naturalmente il problema di questo processo è che non si adatta bene. Se abbiamo decine o centinaia di server, semplicemente non c'è abbastanza tempo in un giorno per controllare tutti correttamente.
Come accennato in precedenza, VMware sta permettendo accesso dei terzi fornitori per l'hypervisor tramite API VMsafe. Ciò consente l'accesso alle informazioni stato privilegiato, come la memoria e il traffico di rete, su ciascuno dei sistemi operativi ospite. Inserendo nel hypervisor, alcune opzioni di sicurezza estremamente freddi diventano possibili.
Per esempio diciamo che un sistema operativo guest viene attaccato da un rootkit a livello kernel. Analizzando la memoria guest, il rootkit può essere rilevata dall'esterno del sistema operativo virtuale. Quando si esegue i controlli attraverso l'hypervisor, c'è molto meno di una possibilità che un rootkit può essere nascosto le sue attività 'e passare inosservato. Come accennato in precedenza, non esiste alcuna opzione paragonabile con un non-virtualizzato sistema.
La spina API crea anche nuove possibilità per affrontare il traffico crittografato. Quando end to end di crittografia viene utilizzata (come una VPN), controlli di rete basate su del livello di applicazione sono facilmente aggirati. La tua unica vera opzione era quella di eseguire il software agente nel punto finale, per cui la sicurezza potrebbe essere attuato dopo il processo di decodifica. Naturalmente il problema qui è che se l'agente viene attaccato, tutte le scommesse sono spenti. Ancora una volta, inserendo nel hypervisor siamo in una posizione migliore per esaminare in modo più sicuro di questi dati.
Stiamo iniziando a vedere i nuovi prodotti che sfruttano la spina API VMsafe . Dal momento che tutti i prodotti sono relativamente nuovi, la giuria è ancora fuori su come la loro efficacia può essere. Offerte eseguire la mossa di sostituire host basata su firewall e IDS per la protezione completa delle policy. Sarà interessante vedere come questa nicchia di prodotto scuote il prossimo anno.
Riassunto
Così come ho accennato all'inizio di questo post, la virtualizzazione ha la capacità di rendere il vostro ambiente più o meno sicuro, a seconda di come distribuirlo. Se avete semplicemente iniziare a tutto su una singola casella, si sta probabilmente andando a ritrovarsi colpite. Se si estende le best practice che sono stati sviluppati nel corso degli anni nel regno di virtualizzazione, così come sfruttare alcune delle nuove caratteristiche di sicurezza che vengono rilasciati, si può effettivamente creare una posizione di maggiore sicurezza complessiva.
