Из всех проблем, создаваемых технологиями виртуализации, настоящей проблемой я считаю только безопасность виртуальной инфраструктуры. Неудивительно, ведь по статистике Gartner, 60% всех развертываемых виртуальных машин к 2012 году будут менее защищенными, чем их физические "коллеги". В итоге - компании достаточно быстро внедряют технологии виртуализации, но очень мало уделяют аспектам безопасности виртуальных машин, хост-серверов и средств управления.
Вы, наверное, часто слышали такое утверждение, что виртуализация повышает безопасность инфраструктуры. Это не так. Виртуализация создает предпосылки для повышения безопасности, но не более (как конкретно - тема отдельной статьи). Ощутите разницу между этими двумя утверждениями.
Между тем, вопросы безопасности виртуальной инфраструктуры можно условно разделить на 3 части:
"параноидальные" требования и рекомендации, которые неплохо бы соблюдать, но вероятность вторжения злоумышленника через данные точки является близкой к нулю. К таким можно отнести требования к отключению ненужных виртуальных устройств у ВМ, запрещение операций Copy/Paste в консоли, использование виртуальных дисков, затирающих предыдущее содержимое, и т.п.
Реальные базовые требования. Это, например, отключение single user mode в сервисной консоли ESX, грамотное разделение прав доступа к серверам и хранилищам (выдача только необходимых привилегий), нормальная политика паролей, защита vCenter от посторонних юзеров и т.п.
Необходимые рекомендации в процессе эксплуатации систем. Сюда входят все те новые рабочие процессы, которые приносит виртуализация и которые могут создать условия для использования уязвимостей злоумышленником.
Вот на третьем моменте нужно остановиться поподробнее. Это и есть самая интересная тема, требующая привлечения внешних консультантов. Потому как первые два - уже более-менее зафиксированы в руководящих документах, а рабочие процессы в каждой компании свои.
Атаки во внутреннем сетевом окружении виртуальных машин
Многие крупные компании используют аппаратные или программные IDS/IPS-системы для обнаружения и предотвращения вторжений при сетевом взаимодействии. При этом внутренний трафик хоста VMware ESX между виртуальными машинами не выходит за его пределы, что делает потенциально возможным использование уязвимостей в этой внутренней среде. Здесь можно порекомендовать контроль конфигураций хостов и виртуальных машин, а также специализированные средства для защиты именно виртуальной среды.
Бесконтрольное развертывание виртуальных машин
Здесь все очень просто - для развертывания физических серверов в крупных компаниях, работающих с конфиденциальной информацией есть сложившиеся процедуры обеспечения безопасности таких серверов еще на этапе ввода в эксплуатацию. Для виртуальной инфраструктуры, таких жестких требований, как правило, нет. Легкость развертывания виртуальных машин ведет, с одной стороны, к большому количеству систем с низким начальным уровнем безопасности, а, с другой стороны, рождает множество бесконтрольных, необновляемых unmanaged-систем, которые подвержены уязвимостям. Здесь необходимо регламентирование процедур развертывания новых систем и контроль их жизненного цикла как на организационном уровне, так и с помощью технических средств (например, VMware Lifecycle Manager).
Кража виртуальных машин
В физической инфраструктуре сервер со всем его содержимым украсть довольно сложно, к тому же, это будет быстро обнаружено. В виртуальной инфраструктуре, чтобы украсть виртуальную машину необходимо скачать лишь набор файлов с общего хранилища виртуальных машин. Проблема усугубляется еще и тем, что один хост VMware ESX имеет доступ ко всем виртуальным машинам кластера VMware HA/DRS, которые лежат на томах NFS/VMFS/RDM в абсолютно открытом виде. При этом, использование снапшотов виртуальных машин позволяет украсть виртуальную машину прямо во время ее работы незаметно для работающих на ней пользователей (см. статью "Как украсть виртуальную машину на сервере ESX"). Здесь нужно жестко контролировать права доступа пользователей и системных администраторов к серверам и хранилищам, а также ясно понимать, в чьем веденьи находятся те или иные объекты физической и виртуальной среды.
"Закисшие" виртуальные машины
Не секрет, что в большой виртуальной инфраструктуре находится множество виртуальных машин, которые большую часть времени выключены, используются для тестовых целей или просто забыты владельцами. В физической среде выключенный сервер недоступен для атак злоумышленниками, а вот виртуальный сервер лежит себе на хранилище, где злоумышленник может внедрять любой вредоносный код, который будет ждать своего часа. Отсюда вывод - все виртуальные машины, которые работают в вашей производственной среде нужно контролировать и не позволять образовываться таким "закисшим" ВМ.
Шаблоны виртуальных машин - единая точка распространения заразы
Вообще говоря, шаблоны виртуальных машин (VM Templates) - это очень удобное средство автоматизации развертывания новых виртуальных машин в виртуальной инфраструктуре. Между тем, зачастую развертывание виртуальных машин из шаблонов происходит на базе достаточно давно "собранного" шаблона, который, во-первых, давно не обновлялся, а, во-вторых, не изучался на предмет соответствия политикам безопасности. Если вредоносный код будет размещен в таком шаблоне, распространение "заразы" по ИТ-инфраструктуре компании будет лавинообразным, что может повлечь самые серьезные последствия. Здесь можно порекомендовать проверять соответствие шаблона базовому уровню безопасности перед развертыванием, а также контролировать его соответствие оригинальному образу.
Отсутствие контроля ограничения и выделения ресурсов
Виртуальная среда отличается от физической тем, что в ней присутствует несколько видов консолидации (серверы, хранилища), что создает потенциальную возможность использования атак, направленных на отказ в обслуживании. Если в физической инфраструктуре можно "перегрузить" лишь один сервер и это не затронет остальные системы, то в виртуальной среде - одна виртуальная машина, создающая нагрузку на хост-сервер или систему хранения, при отсутствии контроля ресурсов может затронуть несколько прикладных систем. Для контроля ресурсов на уровне кластера или отдельного сервера есть такие механизмы как Shares, Limit, Reservation на уровне CPU или памяти (см. статью "Как работают Limit, Reservation и Shares для пулов ресурсов в VMware vSphere / ESX"), однако на уровне хранилищ эти механизмы все еще работают некорректно (см. статью "VMware vSphere Storage IO Control - управление вводом-выводом на СХД для виртуальных машин"). При всем этом, далеко не все пользователи VMware vSphere на сегодняшний день пользуются механизмами ограничения ресурсов и пулами, что позволяет говорить о том, что с точки зрения атак, направленных на отказ в обслуживании, они не защищены. Кроме того, производительность может падать и незлонамеренно - например, за счет ПО работающего в гостевой ОС в фоновом режиме (например, антивирусы).
Смешивание виртуальных машин и сетевых зон безопасности на одном хост-сервере при консолидации
Немногие компании задумываются о том, что вследствие виртуализации и консолидации виртуальные машины с разным уровнем требований к ИБ оказываются на одном хост-сервере. То же можно сказать и о зонах сетевой безопасности, требования к которым также часто не соблюдаются в виртуальной инфраструктуре. Вы знаете о том, что виртуальная машина может "видеть наружу", хотя и в очень ограниченных пределах (например, менять vmx-файл своей конфигурации)? Кроме того, получив доступ к "низковисящему фрукту" (наименее защищенной ВМ на хост-сервере) уже легче получить доступ к более защищенным системам. Пока эта угроза является чисто теоретической, но с ростом числа виртуальных машин наверняка будет использоваться злоумышленниками.
Игнорирование сотрудников ИБ компании при внедрении технологий виртуализации
Безусловно, мне известны и обратные случаи - когда внедрение VMware полностью контролировалось и регламентировалось сотрудниками отдела ИБ компании. Но в большей части проектов, в силу разобщенности отделов компании, требования к безопасности виртуальной среды часто остаются такими же, как и к физической. А это игнорирование сразу трех слоев - гипервизора, средств управления и сущности "виртуальная машина". Здесь совет только один - привлекайте сотрудников службы ИБ в таких проектах и требуйте от интегратора рекомендаций по обеспечению безопасности виртуальной инфраструктуры.
А вот в следующей статье я опишу, какие положительные эффекты в плане обеспечения информационной безопасности дает виртуализация. Заходите чаще!
RSS
