Bezpečnostné aspekty virtualizácie

Sprie­vod­né tech­no­ló­gie, me­dzi kto­ré pat­rí aj EPP (En­dpoint Pro­tec­tion Plat­forms), sa sna­žia dr­žať krok s veľ­mi rých­lym nás­tu­pom vir­tua­li­zá­cie na všet­kých úrov­niach - od dá­to­vých cen­tier cez server­y až po vir­tua­li­zá­ciu des­kto­pov. Žiaľ, kon­cep­cia fun­go­va­nia väč­ši­ny rie­še­ní EPP pou­ží­va­ných v sú­čas­nos­ti bo­la navr­hnu­tá s pred­pok­la­dom, že bu­dú spus­te­né pria­mo na fy­zic­kom har­dvé­ri.

Z uve­de­né­ho vy­plý­va, že ide o sa­mos­tat­né, ne­zá­vis­lé, a te­da ne­koor­di­no­va­né rie­še­nia. Pre­to pri ich na­sa­de­ní vo vir­tua­li­zo­va­nom pros­tre­dí ob­čas do­chá­dza k ne­žia­du­ce­mu sta­vu, pre kto­rý sa za­uží­va­lo ozna­če­nie anti­ví­ru­so­vá búr­ka. Je to stav, keď všet­ky vir­tuál­ne stro­je chrá­ne­né rie­še­nia­mi EPP fun­gu­jú­ci­mi na prin­cí­pe agen­tov vy­ko­ná­va­jú­cich plá­no­va­né úlo­hy za­čnú ske­no­vať ale­bo ak­tua­li­zo­vať svo­je da­ta­bá­zy.

Ve­ľa ko­hú­tov na jed­nom sme­tis­ku

Ho­ci väč­ši­na kla­sic­kých rie­še­ní EPP po­be­ží vo vir­tuál­nom pros­tre­dí prak­tic­ky bez úp­rav, prob­lé­mom mô­že byť zá­ťaž hos­ti­teľ­ských server­ov hlav­ne pri plá­no­va­ných kon­tro­lách. K sú­pe­re­niu anti­mal­vé­ro­vých úloh o fy­zic­ké pros­tried­ky a pre­no­so­vú ka­pa­ci­tu sie­te mô­že, sa­moz­rej­me, dôjsť aj na vir­tua­li­zo­va­ných server­och, no ten­to prob­lém je ove­ľa vý­raz­nej­ší pri hos­to­va­ných vir­tuál­nych des­kto­poch. Sú­vi­sí to s hus­to­tou vir­tuál­nych stro­jov (VM) hos­to­va­ných na fy­zic­kom server­i. Pa­ra­lel­né ske­no­va­nie na via­ce­rých vir­tuál­nych stro­joch nie je je­di­ná prí­či­na prob­lé­mov sú­vi­sia­cich so sú­pe­re­ním vir­tuál­nych stro­jov o pros­tried­ky. Aj ne­koor­di­no­va­ná pa­ra­lel­ná dis­tri­bú­cia ak­tua­li­zá­cií anti­mal­vé­ro­vých da­ta­báz mô­že v da­nom, re­la­tív­ne krát­kom oka­mi­hu vy­ge­ne­ro­vať veľ­kú zá­ťaž.

Op­ti­ma­li­zá­cia s oh­ľa­dom na špe­ci­fi­ká vir­tuál­ne­ho pros­tre­dia

Ma­so­vé­mu na­sa­dzo­va­niu vir­tua­li­zač­ných rie­še­ní - či už v ob­las­ti vir­tua­li­zá­cie server­ov, ale­bo des­kto­pov - sa za­čí­na­jú pris­pô­so­bo­vať aj rie­še­nia EPP. Vy­uží­va­jú so­fis­ti­ko­va­né me­tó­dy, kto­rých cie­ľom je do­siah­nuť rov­no­mer­nej­šie roz­de­le­nie zá­ťa­že. Vy­uží­va sa ná­hod­né, prí­pad­ne roz­lo­že­né ske­no­va­nie, ske­no­va­nie vir­tuál­nych stro­jov, kto­ré sú v re­ži­me off-li­ne, ná­hod­ná ak­tua­li­zá­cia da­ta­báz, ske­no­va­nie do vy­rov­ná­va­cej pa­mä­te či tzv. gold ima­ge whi­te­lis­ting, keď sa vy­tvo­rí zoz­nam kme­ňo­vých sú­bo­rov, spo­loč­ných pre všet­ky klo­no­va­né vir­tuál­ne stro­je. Tie­to sú­bo­ry po­tom nie sú ske­no­va­né pri pe­rio­dic­kých kon­tro­lách, ale oso­bit­ne. Expli­cit­ná pod­po­ra a op­ti­ma­li­zá­cia pre vir­tua­li­zo­va­né pros­tre­dia by sa ma­la stať po­vin­nou sú­čas­ťou kaž­dé­ho mo­der­né­ho rie­še­nia EPP. Vzni­ká aj no­vá fi­lo­zo­fia tzv. bez­agen­to­vých anti­ví­ru­so­vých nás­tro­jov (agen­tless anti­vi­rus).

Na­priek prob­lé­mom s pa­ra­lel­ným ske­no­va­ním či ak­tua­li­zá­ciou, kto­ré sú vhod­nou koor­di­ná­ciou ľah­ko rie­ši­teľ­né, vir­tua­li­zo­va­né pros­tre­die umož­ňu­je do­siah­nuť ove­ľa väč­ší vý­kon hlav­ne pri vir­tua­li­zá­cii des­kto­pov či ap­li­ká­cií. Ve­ľa vir­tuál­nych stro­jov je vy­tvo­re­ných klo­no­va­ním zo spo­loč­nej šab­ló­ny vir­tuál­ne­ho ob­ra­zu. Po­tom pred­sa ne­má zmy­sel ske­no­vať pri plá­no­va­ných kon­tro­lách rov­na­kú zos­ta­vu sú­bo­rov pre všet­ky vir­tuál­ne des­kto­py zno­va a zno­va, stov­ky až ti­síc­ky krát pod­ľa to­ho, koľ­ko des­kto­pov je hos­to­va­ných na jed­nom fy­zic­kom server­i. Pre­to mo­der­né rie­še­nia EPP vy­uží­va­jú koor­di­nač­ných agen­tov v zá­klad­nom ob­ra­ze (ob­ra­ze, z kto­ré­ho vznik­li klo­ny) a vy­rov­ná­va­cie pa­mä­te.

Eš­te so­fis­ti­ko­va­nej­šie rie­še­nie je vy­tvo­re­nie tzv. zla­té­ho ob­ra­zu (gold ima­ge whi­te­lis­ting) či­že zoz­na­mu sú­bo­rov, kto­ré sa nás­led­ne ne­ma­jú tes­to­vať. Pre­to­že pred­sa len exis­tu­je ma­lé ri­zi­ko, že aj sú­bo­ry pa­tria­ce do toh­to „zla­té­ho ob­ra­zu" by moh­li byť na­pad­nu­té, vy­ko­ná­va­jú sa aj pra­vi­del­né kon­tro­ly tých­to šab­lón. Roz­diel v ná­ro­koch na fy­zic­ké zdro­je je zrej­mý na pr­vý poh­ľad. Sú­bo­ry pa­tria­ce do „zla­té­ho ob­ra­zu" sa skon­tro­lu­jú iba raz, a nie pri kon­tro­le kaž­dé­ho vir­tuál­ne­ho stro­ja nak­lo­no­va­né­ho z nich. Naj­lep­šie rie­še­nie je pou­ži­tie op­ti­ma­li­zo­va­nej ar­chi­tek­tú­ry vy­uží­va­jú­cej je­den zdie­ľa­ný sú­bor s pod­pi­som na­prieč všet­ký­mi VM. Aj rie­še­nia EPP vy­uží­va­jú­ce vy­hľa­dá­va­cí me­chan­izmus v clou­de, nap­rík­lad Smart Pro­tec­tion Network od Trend Mic­ro, by ma­li mať im­ple­men­to­va­né tech­ni­ky, kto­ré za­brá­nia pre­ťa­že­niu sie­ťo­vej ka­pa­ci­ty.

Prís­tup do kon­taj­ne­rov vir­tua­li­zo­va­ných ap­li­ká­cií a kniž­níc VM ob­ra­zov

Ob­raz kom­plet­né­ho vir­tua­li­zo­va­né­ho stro­ja je fy­zic­ky je­den sú­bor, kto­rý sa dá jed­no­du­cho pre­sú­vať me­dzi fy­zic­ký­mi serverm­i, a to do­kon­ca aj po­čas be­hu VM, a rov­na­ko jed­no­du­cho zá­lo­ho­vať. Pre­to fir­my čo­raz viac vy­uží­va­jú rie­še­nia na vir­tua­li­zá­ciu ap­li­ká­cií od vý­rob­cov, ako sú VMware či Mic­ro­soft, aj na „za­ba­le­nie" a vnú­tor­nú dis­tri­bú­ciu zlo­ži­tej­ších kon­fi­gu­rá­cií. Tak­to mož­no nap­rík­lad dis­tri­buo­vať vo vir­tuál­nych ob­ra­zoch ce­lé pred­kon­fi­gu­ro­va­né server­ov­é pros­tre­die pre lo­kál­ne po­boč­ky. Pre­to bez­peč­nos­tné rie­še­nia mu­sia byť schop­né pris­tu­po­vať aj dov­nút­ra tých­to kon­taj­ne­rov a vy­ko­ná­vať v nich v reál­nom ča­se anti­mal­vé­ro­vé ske­no­va­nie a ďal­šie fun­kcie EPP, nap­rík­lad kon­tro­lu ap­li­ká­cií. Jed­no z in­tui­tív­nych rie­še­ní je za­bu­do­va­nie EPP pria­mo do kon­taj­ne­rov, ale ta­ká­to níz­ka in­teg­rač­ná úro­veň spô­so­bu­je už spo­mí­na­né prob­lé­my so zá­ťa­žou.

Ve­ľa fi­riem sú­bo­ry s ob­raz­mi vir­tuál­nych stro­jov skla­du­je a udr­žia­va si ich kniž­ni­ce, nap­rík­lad na mož­nosť ob­no­vy po nep­red­ví­da­teľ­nej uda­los­ti a po­dob­ne. Prob­lé­mom je nie­len ske­no­va­nie, ale aj ak­tua­li­zá­cia anti­mal­vé­ro­vých da­ta­báz EPP v tých­to skla­do­va­ných vir­tuál­nych ob­ra­zoch. Sa­mi si vie­te do­my­slieť, aké účin­né by bo­lo ske­no­va­nie pod­ľa da­ta­bá­zy sta­rej nie­koľ­ko me­sia­cov. Pre­to je ne­vyh­nut­né mať mož­nosť pe­rio­dic­ky ske­no­vať aj tie­to off-li­ne ob­ra­zy, aby neob­sa­ho­va­li vlo­že­ný mal­vér. Nie je ni­ja­ký tech­nic­ký dô­vod, pre­čo by sa ske­no­va­nie VM mu­se­lo vy­ko­nať na rov­na­kom fy­zic­kom server­i, kde sa pred­pok­la­dá je­ho spus­te­nie. Prav­de­po­dob­ne naj­lep­šie rie­še­nie je spúš­ťať ta­ké­to „za­kon­zer­vo­va­né" vir­tuál­ne stro­je v ka­ran­té­ne a ske­no­vať ich v „ži­vom" sta­ve. Ak­tua­li­zá­cia da­ta­báz by sa ma­la vy­ko­nať po­čas boo­to­va­nia vir­tuál­ne­ho stro­ja.

Od­po­rú­ča­nia pri vý­be­re rie­še­nia EPP

Vzhľa­dom na to, že vir­tua­li­zá­cia a kon­so­li­dá­cia sú vlaj­ko­vé tren­dy, kto­rých na­sa­de­nie ne­mô­že v blíz­kej bu­dúc­nos­ti vy­lú­čiť ani naj­kon­zer­va­tív­nej­šia fir­ma či or­ga­ni­zá­cia, Gar­tner od­po­rú­ča pre­fe­ro­vať anti­mal­vé­ro­vé rie­še­nia, kto­ré ma­jú ske­no­va­nie op­ti­ma­li­zo­va­né na na­sa­de­nie vo vir­tua­li­zo­va­nom pros­tre­dí. Is­to­tu pos­ky­tu­jú do­dá­va­te­lia, kto­rí po­nú­ka­jú rie­še­nia za­hŕňa­jú­ce fy­zic­ké a vir­tuál­ne server­y či des­kto­py s jed­not­nou sprá­vou, rie­še­nia umož­ňu­jú­ce nas­ta­viť po­li­ti­ky na­prieč všet­ký­mi pros­tre­dia­mi. Ak chce­te zní­žiť zlo­ži­tosť a kon­so­li­do­vať li­cen­čné pop­lat­ky, Gar­tner od­po­rú­ča na­sa­diť rov­na­ké anti­mal­vé­ro­vé rie­še­nie pre všet­ky server­y aj des­kto­py - fy­zic­ké aj vir­tuál­ne. V ideál­nom prí­pa­de by ma­lo byť rie­še­nie spra­vo­va­teľ­né jed­not­ne a kom­plexne pros­tred­níc­tvom ap­li­ká­cie ty­pu EPP Ma­na­ge­ment Con­so­le.

Pod­ľa ma­te­riá­lov spo­loč­nos­ti Gar­tner

Zdroj: IW 6-7/2013


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Op­la­tí sa SaaS? Ako vy­chá­dza­jú pre­poč­ty?
Časom bude softvér ako služba (SaaS) najpoužívanejší spôsob zabezpečenia aplikačného vybavenia firiem aj súkromníkov. čítať »
 
Tran­sfor­má­cia des­kto­pu: Ako sa ne­za­mo­tať vo Vir­tual Des­ktop Infra­struc­tu­re
Virtualizácia desktopov (Virtual Desktop Infrastructure - VDI) je v poslednom čase v móde asi rovnako ako cloud a virtualizácia. čítať »
 
4 mý­ty o vý­ho­dách clou­du
Cloud computing je v poslednom čase často diskutovaná téma, ale hovorí sa skôr o jeho výhodách. Tých je bezpochyby veľa, no z niektorých z nich sa stali mýty, ktoré, žiaľ, nie sú úplne pravdivé. čítať »
 
Vy­uži­tie in-me­mo­ry tech­no­ló­gie v TUI Tra­vel A&D
Veľké množstvo dát, ktoré generujú používatelia a pripojené zariadenia, možno využiť v prospech biznisu. Aby bola analýza dát efektívna, treba vybrať technológiu a infraštruktúru, na ktorej bude riešenie nasadené. čítať »
 
Prog­ra­mu­je­me GPU / 23. časť
V tejto časti seriálu veľmi stručne opíšeme implementáciu tzv. efektu Screen Space Ambient Occlusion (SSAO) pomocou GLSL shaderov. Ako vždy máme do činenia s pomerne zložitým efektom, ktorý je opísaný v rozsiahlych odborných článkoch. čítať »
 
Ap­li­ká­cie pod­ľa šab­lón Grid App a Split App
V doterajších častiach sme vás oboznámili s najdôležitejšími dielmi pomyselnej stavebnice, z ktorej sa dá vytvoriť aplikácia Windows 8. Najčastejší scenár pre aplikácie Windows 8 je prezentácia rôznych údajov, či už statických, alebo dynamických. čítať »
 
Zdie­ľa­nie zdro­jov me­dzi OS Win­dows a OS Li­nux / 12.
Spomínam si, že návod na inštaláciu poštového servera Postfix, ktorý som čítal pred pár rokmi, mal približne 50 strán. Inštalácia a konfigurácia servera bola rozpísaná v mnohých bodoch, ktoré som musel chtiac či nechtiac prečítať prv, ako som sa dostal k bodu, v ktorom som ukončil konfiguráciu a spustil server. čítať »
 
DNS – zá­pis zón do kon­fi­gu­rač­né­ho sú­bo­ru na­med.conf
V predošlej časti seriálu sme sa venovali hlavnému konfiguračnému súboru named.conf, ktorý sa nachádza v adresári /etc. Uviedli sme, že sa skladá zo sekcií, a vysvetlili sme najdôležitejšie položky konfigurácie v jednotlivých sekciách. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter