Connect with us

technokrata

Újfajta veszélyek leselkednek a virtualizált környezetekre

Dotkom

Újfajta veszélyek leselkednek a virtualizált környezetekre

A biztonsági problémák egyik pillanatról a másikra megjelenhetnek.

A bűvös négy lépés
Kőrös szerint a biztonságos működéshez elengedhetetlen négy lépést megtenni. Az első szerint jól átgondoltan kell virtualizációs környezetet választani mind hardver-, mind szoftveroldalon, ismerjük meg a benne rejlő biztonsági lehetőségeket, tervezzük és valósítsuk meg azokat, majd üzemeltessük. A második teendő, hogy olyan, akár hagyományos biztonsági megoldásokat válasszunk, amelyek támogatják a virtualizált környezetben való működést. Napjainkban a virtualizációs rendszerek kellően kiforrottak, és a vezető biztonsági szoftvergyártók termékei támogatják az azokban való üzemelést. A szakember harmadik tanácsa, hogy használjuk ki a virtualizált környezetet és üzemeltessünk kifejezetten virtualizált környezetre tervezett biztonsági szoftvereket. Egyre több gyártó kínál olyan termékeket – általában virtuális appliance-eket -, amelyek kihasználják a virtualizáció adta előnyöket, kifejezetten a virtualizált környezetre tervezték azokat, miközben a külső vagy a virtualizált környezet biztonságára felügyelnek. E termékek között találunk tűzfalakat és hálózati behatolásérzékelő és -elhárító eszközöket, amelyek a virtualizált környezet és hálózatok számára nyújtják ugyanazokat a szolgáltatásokat, mint fizikai társaik tették korábban és teszik ma is, valamint például spamszűrőket, amelyek akár a virtuális környezetben, akár azon kívül működő rendszereket szolgálhatnak ki. Tegyük még biztonságosabbá a virtuális környezetet olyan szoftverekkel, amelyek a hypervisorral együttműködve biztonsági szempontból felügyelik a fizikai gazdaszerver által működtetett teljes virtuális környezetet – szól a negyedik parancs. Ezek az eszközök leginkább a hoszt alapú behatolásérzékelő és -elhárító rendszerekhez hasonlóan figyelik és felügyelik a hypervisoron, a virtuális gépek között és esetleg egyes, a virtuális gépeken zajló, valamint a virtuális gépek egymás közötti és a gazdarendszerrel, továbbá a külvilággal folytatott hálózati kommunikációjának egy kijelölt részében vagy akár az egészében zajló tevékenységeket, eseményeket, támadásokat.
 

Az információbiztonság egyik szakavatott vállalata, a Noreg Kft. vezetője szerint a virtualizációs technológiák terjedésével újfajta biztonsági problémák veszélyeztetik a vállalati rendszereket. Kőrös Zsolt, a téma szakértője négy elengedhetetlen lépést javasol a biztonságos virtualizált környezet kialakításának érdekében.

“A virtuális környezeteket fenyegető veszélyek napjainkban egyre több problémát jelentenek a vállalatoknak. A vállalati it-rendszerek dinamikusan változnak, a gépek gyorsan hadrendbe állíthatók, így a virtuális gépek állapotának függvényében a biztonsági problémák egyik pillanatról a másikra megjelenhetnek vagy eltűnhetnek. Mindemellett a teljes informatikai rendszer biztonsága érdekében a fizikai rendszereken alkalmazott védelmet ki kell terjeszteni a virtualizációs környezetekre is, hiszen a környezet sérülése az összes rajta futó virtuális rendszer sérülését jelentheti” – mondta Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója. “A technológia mára megérett a biztonságos felhasználásra, és számos olyan megoldás érhető el, amellyel kialakíthatjuk a számunkra és ügyfeleink számára megfelelően biztonságos virtualizált környezeteket. A körültekintő tervezés, kivitelezés és üzemeltetés azonban továbbra is elengedhetetlen” – tette hozzá Kőrös.

A virtualizáció, miközben egyetlen fizikai szerveren több virtuális gépet szolgál ki, igyekszik biztonságosan konszolidálni a szervereket; logikai izolációt használva próbálja a fizikai függetlenség látszatát kelteni. Többé nem bízhatunk a jól ellenőrizhető fizikai és hálózati elkülönítésben, be kell érnünk a hypervisor és egyéb szoftver alapú eszközök nyújtotta lehetőségekkel. Ezáltal még nagyobb szerepet kap a gondos tervezés, kivitelezés és beállítás, és fokozottan, folyamatosan monitorozni kell az egész környezet azon változásait, amelyek érzékeny adatok szivárgásához vezethetnek – magyarázta Kőrös a virtualizáció egyik fontos biztonsági vonatkozását.

Hasonlóan fontos a biztonsági és egyéb javítócsomagok kezelése, valamint az, hogy a változáskezelés meghatározó tényezője az informatikai rendszerek zökkenőmentes üzemeltetésének. A virtualizálás bevezetése növeli ennek komplexitását. A szervereknek ezentúl nem kell folyamatosan futniuk, mert a virtuális szerverek bármikor megállíthatók, elindíthatók, futásuk felfüggeszthető, sőt állapotuk visszaállítható egy korábbira. A gépek beállítása és elhelyezése egyre rövidebb időt vesz igénybe. Ami korábban órákig tartott, most percek vagy másodpercek alatt elvégezhető.

A mobilitás a virtualizációs szótár szerint azt jelenti, hogy egy virtuális gép képes automatikusan áthelyezni önmagát és erőforrásait egy másik helyre. Korábban egy fizikai szerverről mindig tudtuk, hogy hol található. Egy hibrid adatközpontban egy virtuális gép helye nem határozható meg ilyen könnyen. Sőt, egy erőforráskészlet részeként több fizikai szerver is osztozhat egy virtuális futtatásában. A mobilitás ilyen mértéke előnyökkel, de biztonsági következményekkel is járhat, mely utóbbiak a mobil számítógépek és a dinamikus hálózati konfiguráció (DHCP) használatához hasonlítható kérdéseket vetnek fel. A statikus szabályrendszerek és más biztonsági eljárások könnyen használhatatlanná válhatnak. A mobilitás következménye az is, hogy rendkívül egyszerűen készíthető új példány, úgynevezett másolat egy virtuális gépről, ami elektronikus úton vagy adathordozón is egyszerűen hordozható, továbbítható. Nincs nagyméretű hardver, a védett számítógéptermek fizikai biztonsági oltalma alatt, ami feltűnik a kapunál a biztonsági szolgálatnak, az értéke viszont ugyanaz. Tehát a biztonsági rendszereknek rendelkezniük kell olyan képességekkel, amelyek lehetővé teszik azok több fizikai és virtuális környezetet lefedő, valamint környezetfüggő működését, ezáltal biztosítva a különböző biztonsági zónákban lévő mobil virtuális gépek feletti teljes ellenőrzést.

A hálózatok és a szerverek többé nem alkotnak két elkülönülő, jól körülhatárolt réteget az adatközpontban. A virtualizáció lehetővé teszi a fizikai switchek és egyéb hálózati eszközök által is nyújtott lehetőségekhez hasonló, kifinomult hálózati környezetek létrehozását a szerver fizikai határain belül. Így az adatközpont egy fizikai hálózati portja, amely korábban egyetlen szerverhez tartozott, most több tíz vagy akár száz virtuális szerverhez is tartozhat. Az egy fizikai szerveren üzemelő virtuális gépek közötti hálózati forgalom nem hagyja el a szervert, így nem is ellenőrizhető a fizikai hálózaton található hagyományos hálózatbiztonsági eszközökkel. Ezeket a vakfoltokat, különösen eltérő bizalmassági szintekhez tartozó virtuális gépek között, a virtuális infrastruktúrában működő, további védelmi rétegeket biztosító eszközökkel kell megfelelően védeni.

A feladatkörök szétválasztása és a lehető legkevesebb hozzáférés szabálya fontos biztonsági princípium. A szerverek és a hálózatok menedzselését általában külön rendszergazdák végzik, míg a biztonsági szakemberek mindkét csapattal együttműködve dolgoznak saját feladataikon. A virtualizáció megváltoztatta ezeket a természetes határvonalakat, mert mind a hálózat, mind a szerverek egy közös konzolból kezelhetők. Így meg kell határozni és világosan definiálni kell a pontos azonosítási és hozzáférési szabályokat, jogosultsági szinteket.

A virtualizáció bevezetésével újabb szoftverkód is bekerül a korábbiakon felül (menedzsmentkonzoloktól a hypervisorokig). Jelenleg a virtualizációs szoftverekhez kapcsolódóan feltárt sérülékenységek számának jelentős növekedése tapasztalható, ami a virtualizáció közkedveltté és elérhetővé válásából, valamint az x86-os virtualizáció relatív kiforratlanságából adódik. Ezek közül sok a virtualizációs szoftvercsomaghoz kapcsolt, egyéb, külső gyártóktól származó kódokhoz köthető, miközben a gyártók lépéseket tesznek a szoftvereik ujjlenyomatának és az ellenőrizetlen kódokhoz kapcsolódó függőségük csökkentése érdekében.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek