Virtualizácia a informačná bezpečnosť

Virtualizácia a informačná bezpečnosť: Prínosy a riziká

Ob­jem de­di­ko­va­ných pros­tre­dí na­sa­dzo­va­ných v sú­čas­nos­ti je za­ned­ba­teľ­ný v po­rov­na­ní s vir­tua­li­zo­va­ný­mi pros­tre­dia­mi. De­di­ko­va­né pros­tre­dia však na­priek to­mu stá­le ma­jú svo­je opod­stat­ne­nie pri na­sa­dzo­va­ní sys­té­mov s naj­vyš­ší­mi bez­peč­nos­tný­mi po­žia­dav­ka­mi. [1]

Bez­peč­nos­tné vý­zvy vir­tua­li­zá­cie

Z poh­ľa­du in­for­mač­nej bez­peč­nos­ti pri­ná­ša vir­tua­li­zá­cia dve vý­zvy:

  1. Adap­to­va­nie pos­tu­pov a štan­dar­dov exis­tu­jú­cich v ne­vir­tua­li­zo­va­nom pros­tre­dí do vir­tua­li­zo­va­né­ho
  2. Vý­voj no­vých pos­tu­pov a štan­dar­dov, kto­ré ne­ma­jú zá­klad v de­di­ko­va­nom pros­tre­dí

Kla­sic­ký prík­lad pre pr­vú ob­lasť je sie­ťo­vá bez­peč­nosť. Kým v prí­pa­de ne­vir­tua­li­zo­va­nej infra­štruk­tú­ry je za sie­ťo­vú bez­peč­nosť zod­po­ved­ný sie­ťo­vý tím, vo vir­tua­li­zo­va­nom pros­tre­dí pre­chá­dza veľ­ká časť zod­po­ved­nos­ti na správ­cov vir­tuál­nej server­ov­ej infra­štruk­tú­ry. Do dru­hej ob­las­ti pat­rí naj­mä za­bez­pe­če­nie pri zdie­ľa­ní zdro­jov vir­tuál­ny­mi ob­jek­tmi.

Vy­ššie ná­ro­ky na in­for­mač­nú bez­peč­nosť a mo­ni­to­ring

Pre ad­mi­nis­trá­to­ra vir­tua­li­zač­nej vrstvy je vy­tvo­re­nie no­vej sie­te v rám­ci hyper­ví­zo­ra a pri­po­je­nie vir­tuál­nych server­ov do ta­kej­to sie­te tri­viál­na ak­ti­vi­ta, na kto­rej sa sie­ťo­vý tím ne­po­die­ľa a ne­vie ju žiad­nym spô­so­bom ov­plyv­niť. Pre­po­je­nie sys­té­mov z rôz­nych bez­peč­nos­tných zón ta­kým­to spô­so­bom je však zá­važ­ný bez­peč­nost­ný in­ci­dent. Vý­ho­dy dy­na­mic­kos­ti vir­tuál­nej infra­štruk­tú­ry tak kla­dú zvý­še­né ná­ro­ky na jej mo­ni­to­ring. Tu je ta­kis­to kľú­čo­vá ko­mu­ni­ká­cia me­dzi tí­ma­mi zod­po­ved­ný­mi za sieť a za server­y, pre­to­že sie­ťo­vý tím mu­sí po­ro­zu­mieť im­ple­men­tá­cii sie­ťo­vej vir­tua­li­zá­cie kon­krét­ne­ho hyper­ví­zo­ra a server­ov­ý tím mu­sí hlb­šie po­ro­zu­mieť ná­ro­kom na sie­ťo­vú bez­peč­nosť.

Zdie­ľa­nie zdro­jov

Prík­la­dom bez­peč­nos­tné­ho štan­dar­du, kto­rý ne­má ana­ló­giu v ne­vir­tuál­nom pros­tre­dí, je za­bez­pe­če­nie pri zdie­ľa­ní fy­zic­kých a vir­tuál­nych zdro­jov, ty­pic­ky zdie­ľa­nie CPU, RAM, vir­tuál­nych a fy­zic­kých IO adap­té­rov fy­zic­ké­ho server­a vir­tua­li­zo­va­ný­mi ope­rač­ný­mi sys­té­ma­mi. V ne­za­bez­pe­če­nej vir­tuál­nej server­ov­ej infra­štruk­tú­re mô­že chy­ba ale­bo útok na ope­rač­ný sys­tém s niž­šou úrov­ňou za­bez­pe­če­nia (nap­rík­lad vý­vo­jo­vé pros­tre­die) ov­plyv­niť kľú­čo­vé pod­ni­ko­vé sys­té­my zdie­ľa­jú­ce tie is­té zdro­je.

Prík­lad z praxe: Vý­vo­jo­vé pros­tre­die je cha­rak­te­ris­tic­ké tým, že sa na ňom to­le­ru­je zní­že­ná úro­veň za­bez­pe­če­nia. Po­kiaľ ta­ké­to pros­tre­die zdie­ľa zdro­je s pro­duk­čným pros­tre­dím, nap­rík­lad rov­na­ké dis­ko­vé po­le, rov­na­ké por­ty SAN ale­bo LAN, pro­ce­so­ry, pa­mäť, kľú­čo­vá bez­peč­nos­tná po­žia­dav­ka je za­brá­niť vy­čer­pa­niu tých­to zdro­jov nep­ro­duk­čným pros­tre­dím a ne­ga­tív­ne­mu do­sa­hu na vý­kon a dos­tup­nosť pro­duk­čné­ho pros­tre­dia.

O vir­tua­li­zá­cii sa naj­viac dis­ku­tu­je pri server­och a ope­rač­ných sys­té­moch. Vir­tua­li­zá­cia a zdie­ľa­nie zdro­jov vo všeo­bec­nos­ti však pok­rý­va všet­ky ob­las­ti IT: server­y, vir­tuál­ne sie­ťo­vé pr­vky, vir­tua­li­zá­ciu SAN, vir­tua­li­zá­ciu sto­ra­geu, zdie­ľa­nie pre­po­je­nia dá­to­vých cen­tier. Úva­hy o za­bez­pe­če­ní pri zdie­ľa­ní fy­zic­kých zdro­jov sa te­da nes­mú ob­me­dzo­vať len na server­y, ale na ce­lú infra­štruk­tú­ru.

Ty­py vir­tua­li­zá­cie

Exis­tu­je nie­koľ­ko vir­tua­li­zač­ných plat­fo­riem a úrov­ní izo­lá­cie. Prá­ve úro­veň vir­tua­li­zá­cie je jed­no z naj­dô­le­ži­tej­ších roz­hod­nu­tí. Čím viac po­lo­že­ných a zod­po­ve­da­ných otá­zok, tým pres­nej­šie roz­hod­nu­tie. Vy­ho­vu­je po­žia­dav­kám na za­bez­pe­če­nie vir­tua­li­zá­cia na úrov­ni kon­fi­gu­rá­cie HTTP či mai­lo­vé­ho server­a? Je dos­ta­toč­ná izo­lá­cia slu­žieb na úrov­ni kon­taj­ne­rov v rám­ci ope­rač­né­ho sys­té­mu? Ma­jú mať izo­lo­va­né pros­tre­dia prís­tup k spo­loč­ným dá­tam?

Pre zá­kaz­ní­ka ve­rej­nej clou­do­vej služ­by zrej­me ne­bu­de ak­cep­to­va­teľ­ná vir­tua­li­zá­cia, resp. izo­lá­cia na úrov­ni kon­taj­ne­rov v spo­loč­nom ope­rač­nom sys­té­me, kto­rý by bol zdie­ľa­ný s iný­mi zá­kaz­ník­mi, ale bu­de po­ža­do­vať vir­tua­li­zá­ciu ope­rač­né­ho sys­té­mu, te­da de­di­ko­va­ný vir­tuál­ny server.

Ri­zi­ká vir­tua­li­zá­cie

Či ide o sof­tvé­ro­vú ale­bo har­dvé­ro­vú vir­tua­li­zá­ciu, vir­tua­li­zač­ná vrstva má z prin­cí­pu fun­go­va­nia vir­tua­li­zá­cie prís­tup ku všet­kým fy­zic­kým aj vir­tuál­nym zdro­jom. Pred na­sa­de­ním akej­koľ­vek vir­tua­li­zač­nej tech­no­ló­gie od­po­rú­čam in­for­mo­vať sa o jej bez­peč­nos­tných cer­ti­fi­ká­toch - naj­mä ak má infra­štruk­tú­ra spĺňať le­gis­la­tív­ne po­žia­dav­ky na bez­peč­nosť. Kom­pro­mi­tá­cia vir­tua­li­zač­nej vrstvy zna­me­ná zá­važ­ný bez­peč­nost­ný in­ci­dent pre všet­ky vir­tua­li­zo­va­né sys­té­my. Cer­ti­fi­ká­ty sú dô­le­ži­té, ale ne­po­mô­žu, ak je hes­lo ad­mi­nis­trá­to­ra hyper­ví­zo­ra za­lo­že­né na náz­ve or­ga­ni­zá­cie.

V prí­pa­de úto­ku ale­bo kon­fi­gu­rač­nej chy­by na úrov­ni hyper­ví­zo­ra mož­no zís­kať kon­tro­lu nad všet­ký­mi dá­ta­mi, ku kto­rým ma­jú vir­tua­li­zo­va­né sys­té­my prís­tup: od­po­čú­vať sie­ťo­vú ko­mu­ni­ká­ciu a pris­tu­po­vať k dá­tam na dis­koch či dis­ko­vom po­li. Ob­ra­nou pro­ti od­po­čú­va­niu sie­ťo­vej ko­mu­ni­ká­cie je šif­ro­va­nie. Mier­ne od­liš­ná si­tuácia je pri prís­tu­pe k dis­kom. Pro­to­kol SCSI, cez kto­rý sa k dá­tam pris­tu­pu­je naj­čas­tej­šie, sí­ce ne­bol navr­hnu­tý s oh­ľa­dom na bez­peč­nosť v tom­to sme­re, ale je­ho od­po­čú­va­ním a inter­pre­tá­ciou by útoč­ník čas zrej­me nemr­hal. Jed­no­duch­šie je z hyper­ví­zo­ra pris­tu­po­vať pria­mo k ob­jek­tu, kto­rý vir­tuál­ny server inter­pre­tu­je ako svoj disk, naj­čas­tej­šie je to sú­bor ale­bo pria­mo na­ma­po­va­ný disk, resp. LUN z dis­ko­vé­ho po­ľa. Vy­tvo­re­ním klo­nu ta­ké­ho­to ob­jek­tu na úrov­ni hyper­ví­zo­ra mož­no k dá­tam pris­tu­po­vať bez to­ho, aby bo­lo na pô­vod­nom sys­té­me čo­koľ­vek ba­da­teľ­né. Za­bez­pe­če­nie pro­ti to­mu­to ty­pu bez­peč­nos­tné­ho in­ci­den­tu spo­čí­va v šif­ro­va­ní im­ple­men­to­va­nom na úrov­ni sú­bo­ro­vé­ho sys­té­mu. Do is­tej mie­ry je rie­še­ním aj NPIV (N-Port ID vir­tua­li­za­tion), pri kto­rom hyper­ví­zor fun­gu­je ako vir­tuál­ny SAN switch a ne­má prís­tup k LUN-om vir­tua­li­zo­va­ných server­ov.

Po­zi­tí­va vir­tua­li­zá­cie

Z na­pí­sa­né­ho na pr­vý poh­ľad vy­plý­va, že vir­tua­li­zá­cia pri­ná­ša zvý­še­né ná­ro­ky na ria­de­nie in­for­mač­nej bez­peč­nos­ti. Má však aj bez­pros­tred­né po­zi­tív­ne do­sa­hy na in­for­mač­nú bez­peč­nosť. Rov­na­ko dy­na­mic­ky, ako expan­du­je pod­ni­ko­vá IT infra­štruk­tú­ra, zá­ro­veň mož­no expan­do­vať aj bez­peč­nos­tnú infra­štruk­tú­ru. Exis­tu­je množ­stvo tzv. ap­plian­ces ur­če­ných na na­sa­de­nie do vir­tuál­nej infra­štruk­tú­ry, kto­rých im­ple­men­tá­cia je vý­raz­ne jed­no­duch­šia ako pri de­di­ko­va­nom pros­tre­dí: anti­ví­ru­sy, fi­rewal­ly, šif­rá­to­ry, VPN atď. Vir­tua­li­zá­cia ta­kis­to zjed­no­du­šu­je na­sa­de­nie no­vých sys­té­mov zo šab­lón vy­tvo­re­ných pod­ľa fi­rem­ných bez­peč­nos­tných štan­dar­dov a nie je ne­vyh­nut­ná opa­ko­va­ná ne­ko­neč­ná kon­fi­gu­rá­cia kaž­dé­ho no­vé­ho ope­rač­né­ho sys­té­mu. Šab­ló­na ta­ké­ho­to ope­rač­né­ho sys­té­mu mô­že ob­sa­ho­vať nas­ta­ve­nia po­li­ti­ky he­siel, in­teg­rá­ciu s pod­ni­ko­vým Ac­ti­ve Di­rec­to­ry/LDAP, lo­go­va­nie na cen­trál­ny log server, audi­to­va­nie. V šir­šom po­ní­ma­ní bez­peč­nos­ti IT je jej sú­čas­ťou aj vy­so­ká dos­tup­nosť kri­tic­kej služ­by. Všeo­bec­ne pla­tí, že vir­tuál­na infra­štruk­tú­ra je od­ol­nej­šia pro­ti vý­pad­kom a umož­ňu­je do­siah­nuť vy­ššiu dos­tup­nosť vir­tua­li­zo­va­ných kom­po­nen­tov.

Vir­tua­li­zá­cia je v sú­čas­nos­ti ta­ká sa­moz­rej­má, že o jej vý­ho­dách už net­re­ba dis­ku­to­vať. O jej dôs­led­koch na in­for­mač­nú bez­peč­nosť však ur­či­te áno.

[1] Gar­tner Says 60 Per­cent of Vir­tua­li­zed Servers Will Be Less Se­cu­re Than the Phy­si­cal Servers They Rep­la­ce Through 2012 www.gar­tner.com/newsroom/id/1322414

Ur­ban Biel, Glo­bal Tech­no­lo­gy Servic­es IT spe­cia­list IBM Slo­va­kia

Zdroj: IW 6-7/2013


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Op­la­tí sa SaaS? Ako vy­chá­dza­jú pre­poč­ty?
Časom bude softvér ako služba (SaaS) najpoužívanejší spôsob zabezpečenia aplikačného vybavenia firiem aj súkromníkov. čítať »
 
Tran­sfor­má­cia des­kto­pu: Ako sa ne­za­mo­tať vo Vir­tual Des­ktop Infra­struc­tu­re
Virtualizácia desktopov (Virtual Desktop Infrastructure - VDI) je v poslednom čase v móde asi rovnako ako cloud a virtualizácia. čítať »
 
4 mý­ty o vý­ho­dách clou­du
Cloud computing je v poslednom čase často diskutovaná téma, ale hovorí sa skôr o jeho výhodách. Tých je bezpochyby veľa, no z niektorých z nich sa stali mýty, ktoré, žiaľ, nie sú úplne pravdivé. čítať »
 
Vy­uži­tie in-me­mo­ry tech­no­ló­gie v TUI Tra­vel A&D
Veľké množstvo dát, ktoré generujú používatelia a pripojené zariadenia, možno využiť v prospech biznisu. Aby bola analýza dát efektívna, treba vybrať technológiu a infraštruktúru, na ktorej bude riešenie nasadené. čítať »
 
Prog­ra­mu­je­me GPU / 23. časť
V tejto časti seriálu veľmi stručne opíšeme implementáciu tzv. efektu Screen Space Ambient Occlusion (SSAO) pomocou GLSL shaderov. Ako vždy máme do činenia s pomerne zložitým efektom, ktorý je opísaný v rozsiahlych odborných článkoch. čítať »
 
Ap­li­ká­cie pod­ľa šab­lón Grid App a Split App
V doterajších častiach sme vás oboznámili s najdôležitejšími dielmi pomyselnej stavebnice, z ktorej sa dá vytvoriť aplikácia Windows 8. Najčastejší scenár pre aplikácie Windows 8 je prezentácia rôznych údajov, či už statických, alebo dynamických. čítať »
 
Zdie­ľa­nie zdro­jov me­dzi OS Win­dows a OS Li­nux / 12.
Spomínam si, že návod na inštaláciu poštového servera Postfix, ktorý som čítal pred pár rokmi, mal približne 50 strán. Inštalácia a konfigurácia servera bola rozpísaná v mnohých bodoch, ktoré som musel chtiac či nechtiac prečítať prv, ako som sa dostal k bodu, v ktorom som ukončil konfiguráciu a spustil server. čítať »
 
DNS – zá­pis zón do kon­fi­gu­rač­né­ho sú­bo­ru na­med.conf
V predošlej časti seriálu sme sa venovali hlavnému konfiguračnému súboru named.conf, ktorý sa nachádza v adresári /etc. Uviedli sme, že sa skladá zo sekcií, a vysvetlili sme najdôležitejšie položky konfigurácie v jednotlivých sekciách. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter