Virtualizácia a informačná bezpečnosť

Virtualizácia a informačná bezpečnosť

Od­ha­du­je sa, že ce­los­ve­to­vý trh s IT do­sa­hu­je oko­lo 3,5 bi­lió­na USD. Z toh­to ob­rov­ské­ho čís­la na IT bez­peč­nosť pri­pa­dá asi 65 mi­liárd USD, te­da sot­va 2 %. Je to má­lo ale­bo ve­ľa?

„Zá­vi­sí od uh­la poh­ľa­du - aj tak sa mi zdá, že na IT mí­ňa­me ve­ľa," po­ve­dal by CEO.
„Má­lo, veď to IDS dá­vam do roz­poč­tu už ro­ky a vždy mi ho škr­tnú," po­ve­dal by ria­di­teľ IT.

„Ža­los­tne má­lo - veď poč­kaj­te, keď nám „ute­čú" dá­ta ale­bo nás zho­dí DOS na pár ho­dín a bu­de­me mu­sieť za­sta­viť lin­ky, to bu­de­te po­tom vy­čís­ľo­vať stra­ty s veľ­kým S. Ho­vo­rím to stá­le a ja za to zod­po­ved­ný ne­bu­dem, že šet­rí­te na nes­práv­nom mies­te..." Áno, auto­rom toh­to vý­ro­ku bu­de bez­peč­nost­ný ma­na­žér IT.

Te­raz sa ne­bu­de­me ve­no­vať IP bez­peč­nos­ti (fi­rewall, IDS, IPS, anti­ví­rus, anti­mal­vér, auten­ti­fi­ká­cia, lo­go­va­nie), ale po­zrie­me sa, na čo si tre­ba dať po­zor, resp. kde sú roz­die­ly, keď ho­vo­rí­me o bez­peč­nos­ti v kla­sic­kom prí­pa­de a o vir­tua­li­zá­cii.

Ako do bez­peč­nos­ti vstu­pu­je vir­tua­li­zá­cia?

Poz­ná­me dva poh­ľa­dy. V pr­vom prí­pa­de bu­de­me mať vir­tua­li­zá­ciu do­ma v server­ovn­i, v dru­hom u pos­ky­to­va­te­ľa či v clou­de. Aby sme ma­li s čím po­rov­ná­vať, poz­ri­me sa aj na „sta­rý svet":

  • IP bez­peč­nosť - sa­mos­tat­né server­y bo­li na LAN/DMZ a tie chrá­nil fi­rewall (bez­peč­nos­tná brá­na), prí­pad­ne eš­te IDS/IPS; ma­na­ge­ment por­ty bo­li na sa­mos­tat­nej sie­ti (do kto­rej sa ve­de­li dos­tať len ad­mi­nis­trá­to­ri).
  • Har­dvé­ro­vá bez­peč­nosť - dvo­ji­té zdro­je, mirro­ry (RAID-y dis­kov) bo­li pre fi­nan­čnú ná­roč­nosť len na nao­zaj dô­le­ži­tých server­och. Bac­ku­py - viac pás­ko­vých me­cha­ník, keď­že sa server­y ku­po­va­li pos­tup­ne, ale­bo jed­na pás­ko­vá kniž­ni­ca a zá­lo­ho­va­nie cez sieť, v lep­šom prí­pa­de SAN
  • Fy­zic­ká bez­peč­nosť - prís­tup do server­ovn­e ma­jú len zna­lé a op­ráv­ne­né oso­by (prí­pad­ne ha­si­či so se­ke­ra­mi, ale to už bu­dú dá­ta zrej­me do­ko­na­le zma­za­né)

1. poh­ľad:

Vir­tua­li­zá­cia do­ma (in the hou­se)

IP bez­peč­nosť - vir­tuál­ne server­y sú na LAN/DMZ a tie chrá­ni fi­rewall (bez­peč­nos­tná brá­na), prí­pad­ne eš­te IDS/IPS. Ma­na­ge­ment por­ty a por­ty na hyper­ví­zo­ry sú na sa­mos­tat­nej sie­ti (do kto­rej sa ve­dia dos­tať len ad­mi­nis­trá­to­ri). V tom­to prí­pa­de sa však ob­ja­vu­jú no­vé ri­zi­ká.

  • Ve­ľak­rát sa naj­mä pri men­ších in­šta­lá­ciách stá­va, že vir­tuál­ne server­y aj z DMZ, aj z LAN bež­ia na jed­nom har­dvé­ri, tak­že sta­čí jed­no či dve klik­nu­tia my­šou a server sa ocit­ne z bez­peč­né­ho pros­tre­dia LAN na „ho­rú­cej pô­de" DMZ. V sta­rom sve­te by na to bo­lo pot­reb­né fy­zic­ky pre­po­jiť sie­ťo­vý ká­bel ale­bo na­kon­fi­gu­ro­vať port na pre­pí­na­či - čo by asi ro­bi­li sie­ťo­ví ľu­dia a tí ve­dia, že si tre­ba dať po­zor. Či­že je ne­vyh­nut­né ape­lo­vať na sie­ťo­vé a bez­peč­nos­tné zna­los­ti server­ov­ých ad­mi­nis­trá­to­rov.
  • Ďal­šie po­ten­ciál­ne ri­zi­ko je pod­mie­ne­né tým, že server­y zdie­ľa­jú sie­ťo­vé kar­ty pre DMZ aj LAN. Tak­že správ­ne po­me­ry rých­los­tí por­tov, kto­rý­mi sú pri­po­je­né do pre­pí­na­ča server­y, LAN a DMZ, prí­pad­ne nas­ta­ve­nia li­mi­tov (QoS) ur­či­te po­mô­žu, aby sa nes­ta­lo, že za­hl­te­nie LAN server­ov ov­plyv­ní server­y v DMZ ale­bo nao­pak.

Har­dvé­ro­vá bez­peč­nosť

  • Dvo­ji­té zdro­je - keď­že na vir­tua­li­zá­cii asi po­be­žia všet­ky server­y (či už me­nej, ale­bo viac dô­le­ži­té) a server­ov bu­de me­nej, ur­či­te nie je ne­vyh­nut­né až tak šet­riť a dvo­ji­té zdro­je sú „po­vin­nosť".
  • Mirro­ry - RAID-y dis­kov. Mirror - ur­či­te na OS (ope­rač­ný sys­tém) hyper­ví­zo­ra, kto­rý sa od­po­rú­ča umies­tniť na lo­kál­nom dis­ku. Zvy­šok na kva­lit­né dis­ko­vé po­le - dá­ta server ima­ge (OS) aj sa­mot­né dá­ta s reál­nym ob­sa­hom, kto­ré by ma­li byť ži­vé pre prí­pad, že sa po­ka­zí je­den server ale­bo tre­ba ro­biť je­ho údr­žbu, prí­pad­ne vy­me­niť. Sa­moz­rej­me, od­po­rú­ča sa mať dve dis­ko­vé po­lia (po­ru­cha, servis, vý­me­na).
  • Bac­ku­py - jed­na pás­ko­vá kniž­ni­ca a rých­le zá­lo­hy na dis­ko­vé po­le.

Fy­zic­ká bez­peč­nosť - tu pla­tí to is­té, čo v „sta­rom sve­te", ale pri­bud­la jed­na vý­ho­da - tý­ka sa DR (Dis­as­ter re­co­ve­ry). Vý­ho­dou pri vir­tua­li­zá­cii je fakt, že mô­že­te pre­sú­vať server­y na no­vý har­dvér, napr. aj do inej lo­ka­li­ty (DR server­ovn­e, k pro­vi­de­ro­vi) ale­bo po­koj­ne uro­biť „res­to­re" z pás­ky so zá­lo­hou, a to viac-me­nej kde­koľ­vek. A na­pad­lo vám hneď aj ri­zi­ko? Kde sú ulo­že­né pás­ky so zá­lo­hou va­šich vir­tuál­nych stro­jov? Sú za­šif­ro­va­né?

2. Poh­ľad:

Vir­tua­li­zá­cia u pro­vi­de­ra či v clou­de

Pred­pok­la­daj­me, že si ob­jed­ná­te vir­tuál­ny server, špe­ci­fi­ku­je­te CPU, RAM, dis­ky, OS a pos­ky­to­va­teľ vám ho prip­ra­ví.

IP bez­peč­nosť - server­y sú kry­té fi­rewallom a prí­pad­ne eš­te IDS/IPS pro­vi­de­ra. Väč­ši­nou to bu­dú om­no­ho vý­kon­nej­šie za­ria­de­nia (napr. aj schop­nej­šie od­olať úto­kom DOS). Ma­na­ge­ment por­ty a por­ty hyper­ví­zo­ra sú na sa­mos­tat­nej sie­ti (do kto­rej sa ve­dia dos­tať len ško­le­ní a skú­se­ní ad­mi­nis­trá­to­ri pro­vi­de­ra).

  • Pred­pok­la­dá­me, že ri­zi­ko pre­su­nu­tia do inej sie­te je mi­zi­vé (resp. si ho tre­ba ošet­riť v zmlu­ve SLA s pro­vi­de­rom).
  • Ri­zi­ko zdie­ľa­nia sie­ťo­vých ka­riet - pro­vi­der by mal byť schop­ný ga­ran­to­vať prie­pus­tnosť v SLA.

Har­dvé­ro­vá bez­peč­nosť

  • Dvo­ji­té zdro­je - over­te si to fy­zic­ky. Pro­vi­der sa rád poch­vá­li aj ge­ne­rá­tor­mi.
  • Mirro­ry (RAID-y dis­kov) - ta­kis­to zá­le­ži­tosť pro­vi­de­ra. Pla­tí, že čím väč­šie je po­le, tým niž­šia je ce­na za TB (sa­moz­rej­me, ak ho­vo­rí­me o pro­fe­sio­nál­nych rie­še­niach). Ur­či­te si over­te, koľ­ko dis­ko­vých po­lí (a akých rých­lych) má pro­vi­der de­di­ko­va­ných na ten­to účel.
  • Bac­ku­py - to­to ur­či­te ne­pod­ce­ňo­vať, pro­vi­der ich mu­sí po­núk­nuť.

Aj tu spo­me­niem ri­zi­ko - dá­ta na dis­ku u pro­vi­de­ra sa od­po­rú­ča šif­ro­vať, aby sa nes­ta­lo, že bu­de­te mať noč­né mo­ry z pred­sta­vy, ako ope­rá­tor zá­kaz­ní­ka krad­ne va­šu ob­chod­nú da­ta­bá­zu, resp. iné cit­li­vé úda­je.

Fy­zic­ká bez­peč­nosť - pro­vi­der by ju mal mať vy­rie­še­nú maximál­ne pro­fe­sio­nál­ne a bez­peč­ne (prís­tup do server­ovn­e len pre zna­lé a op­ráv­ne­né oso­by, vi­deo­záz­na­my, mo­ni­to­ring 24×7×365, ha­se­nie ply­nom, kon­tro­la a auten­ti­fi­ká­cia, lo­go­va­nie prís­tu­pu aj na kon­zo­ly hyper­ví­zo­rov, bac­kup tre­zo­ry, DR server­ovň­a).

Pos­led­né rie­še­nie sa zdá bez­peč­nej­šie, len si tre­ba pred­sta­viť, že server­y ne­hu­čia za dve­ra­mi va­šej fir­my, dá­ta si za­šif­ru­je­te a vy­uži­je­te sku­toč­nosť, že keď sa ro­bia ve­ci vo veľ­kom, mô­že to byť lac­nej­šie, rých­lej­šie a bez­peč­nej­šie.

V kaž­dom prí­pa­de však pla­tí, že vir­tua­li­zá­cia po­má­ha šet­riť mies­to, chla­de­nie, elek­tric­kú ener­giu. Tak čo ke­by sa su­ma ušet­re­ná na ener­gii in­ves­to­va­la do zvý­še­nia IT bez­peč­nos­ti? Ale­bo as­poň po­lo­vi­ca z nej. Ale ne­bo­lo by aj to má­lo?

Mar­tin Gu­bov, autor je IT bez­peč­nost­ný ar­chi­tekt v spo­loč­nos­ti DA­TA­LAN.

Zdroj: IW 6-7/2013



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Op­la­tí sa SaaS? Ako vy­chá­dza­jú pre­poč­ty?
Časom bude softvér ako služba (SaaS) najpoužívanejší spôsob zabezpečenia aplikačného vybavenia firiem aj súkromníkov. čítať »
 
Tran­sfor­má­cia des­kto­pu: Ako sa ne­za­mo­tať vo Vir­tual Des­ktop Infra­struc­tu­re
Virtualizácia desktopov (Virtual Desktop Infrastructure - VDI) je v poslednom čase v móde asi rovnako ako cloud a virtualizácia. čítať »
 
4 mý­ty o vý­ho­dách clou­du
Cloud computing je v poslednom čase často diskutovaná téma, ale hovorí sa skôr o jeho výhodách. Tých je bezpochyby veľa, no z niektorých z nich sa stali mýty, ktoré, žiaľ, nie sú úplne pravdivé. čítať »
 
Vy­uži­tie in-me­mo­ry tech­no­ló­gie v TUI Tra­vel A&D
Veľké množstvo dát, ktoré generujú používatelia a pripojené zariadenia, možno využiť v prospech biznisu. Aby bola analýza dát efektívna, treba vybrať technológiu a infraštruktúru, na ktorej bude riešenie nasadené. čítať »
 
Prog­ra­mu­je­me GPU / 23. časť
V tejto časti seriálu veľmi stručne opíšeme implementáciu tzv. efektu Screen Space Ambient Occlusion (SSAO) pomocou GLSL shaderov. Ako vždy máme do činenia s pomerne zložitým efektom, ktorý je opísaný v rozsiahlych odborných článkoch. čítať »
 
Ap­li­ká­cie pod­ľa šab­lón Grid App a Split App
V doterajších častiach sme vás oboznámili s najdôležitejšími dielmi pomyselnej stavebnice, z ktorej sa dá vytvoriť aplikácia Windows 8. Najčastejší scenár pre aplikácie Windows 8 je prezentácia rôznych údajov, či už statických, alebo dynamických. čítať »
 
Zdie­ľa­nie zdro­jov me­dzi OS Win­dows a OS Li­nux / 12.
Spomínam si, že návod na inštaláciu poštového servera Postfix, ktorý som čítal pred pár rokmi, mal približne 50 strán. Inštalácia a konfigurácia servera bola rozpísaná v mnohých bodoch, ktoré som musel chtiac či nechtiac prečítať prv, ako som sa dostal k bodu, v ktorom som ukončil konfiguráciu a spustil server. čítať »
 
DNS – zá­pis zón do kon­fi­gu­rač­né­ho sú­bo­ru na­med.conf
V predošlej časti seriálu sme sa venovali hlavnému konfiguračnému súboru named.conf, ktorý sa nachádza v adresári /etc. Uviedli sme, že sa skladá zo sekcií, a vysvetlili sme najdôležitejšie položky konfigurácie v jednotlivých sekciách. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter