Jag har haft de ovan ställda frågan tillräckligt många gånger att jag kände det värt ett blogginlägg. Medan ett par år tillbaka svaret kan ha varit "mindre säkra", idag är svaret "båda". Jag vet, låter som Chris vara icke-bindande, men det svaret verkligen mest korrekt beskriver det aktuella läget av tekniken.

Virtualisering förändrar allt

Jag har hört några folk påpeka att virtualisering är på väg att påverka branschen på samma sätt som Internet gjorde på 90-talet. För att vara ärlig, jag tror det finns fördelar med detta yttrande. I början av 90-talet mest folk sprang IPX-, AppleTalk NetBUI och en mängd andra protokoll på slutna nät. I slutet av 90-talet var de flesta människor kör IP uteslutande med anslutning till hela världen. Det sätt vi gjorde affärer, liksom hur vi tillämpade säkerheten, helt förändrats över att 10 år. Både nätverksadministration och färdigheter säkerhet som var banbrytande under 1990 var alla utom värdelösa 1999.

Virtualisering börjar ramp upp till har samma inverkan på branschen. Virtualisering distribution kräver en fullständig omprövning av hur man ansöker säkerhet. Tillbaka på 1990-talet, fick admins som helt enkelt anslutas till Internet, utan hänsyn till hur detta skulle påverka deras nätverk, brände big time. Vi är kö för att se ett liknande resultat som folk antar virtualisering.

Vad gör Virtualisering mindre säker

Akilleshäl virtualisering är i själva programvaran. Vi hoppas att vi kan lita på programvara för att hålla gästen system bort från varandra, liksom värden och / eller hypervisor. Det finns två stora problem med denna förväntan:

1. Ingen mjukvara är buggfri
2. Programvara kan felkonfigurerade

För några år sedan huvudsakliga forskningskapacitet visade att de kunde bryta sig ut ur en gäst och få full kontroll i den mottagande OS . Medan en hypervisor är tänkt att begränsa denna typ av exponering har vi sett säkerligen fall där även den hypervisorn har varit förbi . Vi har även sett fall mjukvaran blir exploateras först när körs i en virtualiserad miljö . Dessa länkar visar ett litet tvärsnitt av virtualisering problem som har upptäckts under de senaste åren. Google kan ge dig en mer komplett lista om du är intresserad.

Så en försiktig Security Professional kommer att vara försiktig med att blint lita på programvara för att vara säker. Problemet är säljare inte alltid samma tillvägagångssätt. Ta VMware med sina ESX (snart ESXi) produkten som ett exempel. Många av oss var mållös när en VMware representant meddelas vid CanSecWest att det var teoretiskt möjligt att attackera ESX-hypervisor . När vi helt enkelt anta att något är okrossbar, är det någon mer kreativ kommer att fundera ut ett sätt att slå igenom .

Ett av mina största problem med ESX / ESXi är att VMware har utformat det vara modulär (via VMSafe ). På plussidan innebär detta att externa leverantörer kan skapa produkter för att förbättra hypervisor funktionalitet och säkerhet. På nedsidan detta ökar dramatiskt risken för dålig kod införs som kan äventyra säkerheten.

Vi har sett ett bra exempel på detta i det förflutna. Marcus Ranum skapade Gauntlet brandvägg, som då var en av de mest säkra och sparka enheter rumpa säkerhet finns. När tre bokstavs-myndigheter ville ha den bästa säkerheten, vände de sig till Gauntlet. Marcus sålde Gauntlet till Network Associates (senare blev McAfee) som omedelbart igång med att lägga in funktioner. Det dröjde inte länge innan en jämn sträng av sårbarheter har upptäckts, var och en följd av dessa nya "funktioner". Därifrån förlorade produkten dess säkerhet cred och gled bort från radarn.

Nu är det säkert möjligt att lägga till funktioner och hålla saker säkert. Den FreeBSD folk är ett utmärkt exempel på hur man gör detta på rätt sätt. För att garantera säkerhet de upprätthåller en mycket strikt granskningsprocessen . Är det perfekt? Absolut inte, men revisionen har satt ribban för säker programvara genomförande. Med lite tur VMware kommer att göra liknande, men jag har inte hört något surr om detta är fallet.

Få huvudet rakt

OK, så vi kan inte blint lita på virtualisering programvara för att hålla angripare på avstånd. Vi kan dock fortfarande vidta försiktighetsåtgärder för att minimera effekterna om det värsta inträffar. En av de största du kan göra är att noga överväga vilka servrar blir värd för, och vilka andra gäst-system är tillåtet att köra på samma låda. Säkerhetszonen begrepp som används av nätverket arkitekter är lika tillämpligt här.

En säkerhetszon är helt enkelt en samling system som delar samma relativa risknivå. Till exempel webb, och SMTP-servrar är oftast alla ligger på en DMZ, eftersom de alla har liknande risk för direkt attack. På den inre delen av nätet, är stationära placeras vanligen i en annan säkerhetszon än servrar. Detta beror på att servrar har liten eller ingen tillgång till Internet, medan stationära datorer är oftast tillåts att kommunicera direkt. Detta ställer skrivborden högre risk för angrepp än de servrar.

Vi kan tillämpa samma logik när de genomför virtualisering. En DMZ server och en intern server bör inte vara gäster på samma hårdvara (både CPU och disk array). Om du gör det kan ge en angripare att skapa en alternativ väg in i vårt nätverk. Hellre än att behöva passera någon brandvägg, NIDS, nationella vägledande program, etc. enheter som har varit utplacerade på tråd, kan en angripare kan få tillgång till interna resurser via virtualisering programvara. Är det en lätt attack? Inte från vad vi sett hittills. Funktionell bedrifter har upptäckts dock, så varför införa onödiga risker om vi inte måste.

Förresten, borde samma säkerhetszon regler tillämpas på din virtualiserade nätverk redskap. Till exempel är det en dålig idé att använda samma fysiska byta till VLAN DMZ och det interna nätverket. Jag har sett ett par kunder får fixat det sättet.

Vad gör Virtualisering säkrare

Lyckligtvis ur ett säkerhetsperspektiv är virtualisering inte bara dåliga nyheter. I själva verket finns det några väldigt cool säkerhetsrutiner du kan tillämpa i en virtualiserad miljö som du bara inte kan vara utan det. Detta var en av anledningarna till att vi började använda virtualisering inom Honeynet så tidigt som 2000.

En av de största säkerhetsproblemen vi står inför idag är kärnan nivå rootkits . Vad som gör denna stam av malware så lömskt är det blir effektivt själva operativsystemet till malware. Detta gör att upptäcka extremt svårt, eftersom alla säkerhetskontroller måste passera genom kärnan. Om själva kärnan äventyras, kan vi inte förlita sig på kärnan för att noggrant rapportera säkerhetsinformation. Vi sluta med att stänga av systemet, montera hårddisken på en känd för att vara rent OS, och utför våra rättsmedicinska kontroller därifrån. Oh naturligtvis problemet med denna process är att den inte skala bra. Om vi ​​har tiotals eller hundratals servrar, finns helt enkelt inte tillräckligt med tid på en dag för att läsa dem alla ordentligt.

Som tidigare nämnts är VMware tillåter nu tredjepartsleverantörer tillgång till hypervisorn API via VMSafe. Detta ger tillgång till privilegierad statliga information, såsom minne och nätverkstrafik, på varje gäst operativsystem. Genom att plugga in i hypervisorn, några extremt cool säkerhetsalternativ bli möjlig.

Till exempel låt oss säga en gäst OS är attackerad av en kärna nivå rootkit. Genom att analysera gäst minnet kan rootkit spåras med den virtuella operativsystemet. När du utför kontrollerna via hypervisorn, det finns mycket mindre av en chans att ett rootkit kan stealth sin verksamhet och inte upptäcks. Som tidigare nämnts finns det ingen motsvarande alternativ med en icke-virtualiserade system.

API kontakten skapar också nya möjligheter att hantera krypterad trafik. När början till slut kryptering är anställd (som en VPN), nätverk baserade kontroller av applikationslagret är lätt kringgås. Din enda verkliga alternativet var att köra agenten programvara på slutpunkten, kunde så säkerheten genomföras efter dekrypteringen. Naturligtvis är problemet här är att om agenten blir attackerad, alla satsningar är avstängd. Återigen, genom att koppla in i hypervisorn vi är i en bättre position för att på ett säkrare sätt granska dessa data.

Vi är bara börjar se nya produkter som utnyttjar VMSafe API kontakten . Eftersom alla produkter är relativt nya, är juryn fortfarande ute på hur effektiva de kan vara. Erbjudanden köra gambit från att ersätta värd baserad brandvägg och IDS skydd till full genomdrivandet. Det ska bli intressant att se hur denna produkt nisch skakar ut över nästa år.

Sammanfattning

Så som jag nämnde i början av detta inlägg har virtualisering förmågan att göra din omgivning antingen mer eller mindre säker, beroende på hur du distribuerar det. Om du helt enkelt börja köra allt på en enda ruta, du kommer förmodligen att få fixat. Om du förlänga den bästa praxis som har utvecklats under åren i virtualisering rike, och att utnyttja några av de nya säkerhetsfunktionerna som släpps, kan du skapa faktiskt en bättre total säkerhet hållning.