Наш технический мир развивается, чтобы стать быстрее, умнее и эффективнее. Компьютерное оборудование всегда было привязано к одной операционной системе и работало либо как сервер, либо как рабочая станция. Это означало, что для создания ИТ-инфраструктуры потребуется несколько физических блоков, каждый из которых будет играть определенную роль в задачах сети. Так было до тех пор, пока не были созданы виртуализация и гипервизоры, предлагающие различные соотношения аппаратного обеспечения к операционным системам.
Ключевые слова: виртулизация, гипервизор, уязвимости, взлом.
Our technical world is evolving to become faster, smarter and more efficient. Computer hardware has always been associated with the operating system. This means that it takes several physical blocks to create an IT infrastructure. Virtualization and hypervisors allow you to offer different ratios of hardware to operating systems.
Keywords: virtualization, hypervisor, vulnerabilities, hacking.
При рассмотрении вопроса о безопасности виртуальных сред полезно указать, на что в виртуальном стеке намекает обсуждение. Существует два основных уровня: сама виртуальная платформа и виртуальные машины (ВМ) и связанные с ними приложения, развернутые на таких платформах.
Виртуальные платформы могут находиться в частной собственности или приобретаться у поставщиков облачных услуг. Те организации, которые на 100 % полагаются на использование общедоступных платформ или передают на аутсорсинг 100 % управление своей виртуальной и/или частной облачной инфраструктурой, должны немного подробнее прочитать этот первый пост. Они передали ответственность за безопасность платформы на аутсорсинг своему поставщику и должны ссылаться на свое соглашение об уровне обслуживания.
Как говорит Amazon Web Services (AWS): “AWS берет на себя ответственность за обеспечение безопасности своих объектов, серверной инфраструктуры, сетевой инфраструктуры и инфраструктуры виртуализации, в то время как клиенты выбирают свою операционную среду, как она должна быть настроена и настроить свои собственные группы безопасности и списки контроля доступа“.
В заявлении AWS указаны области, которые необходимо решить тем, кто развертывает свои собственные виртуальные платформы и частные облака, чтобы обеспечить базовую безопасность. Риск существует в трех областях: безопасность инфраструктуры виртуализации (гипервизор), безопасность ресурсов, выделяемых гипервизором виртуальным машинам, инструменты управления виртуализацией и права доступа, которые они предоставляют виртуальной инфраструктуре
Третий пункт включает использование инструментов облачного оркестрирования, таких как OpenStack и VMware vCloud Director, которые могут использоваться для управления частными облаками или перемещения виртуальных машин между совместимыми частными и публичными облаками (гибридное облако).
Все гипервизоры могут содержать ошибки в своем программном обеспечении, которые приводят к уязвимостям, которые могут быть использованы хакерами. Таким образом, как и в любом программном обеспечении, необходим строгий режим исправления для выбранного гипервизора данной организации и инструментов управления, которые его поддерживают. Тем не менее, уязвимости гипервизора практически бесполезны, если они не открывают доступ либо к среде управления гипервизора, либо к ресурсам, к которым он имеет доступ. Большинство сообщений в прессе отражают это, например, выбирая наиболее широко используемый гипервизор, VMware ESX:
ThreatPost VMware исправила уязвимость в своих гипервизорах ESX и ESXi, которая может позволить несанкционированный локальный доступ к файлам“, — говорится в статье, в которой говорится, что эта уязвимость имеет эффект расширения привилегий, чего хакеры всегда ищут.
Network World,:“чтобы воспользоваться уязвимостью, злоумышленнику придется перехватывать и изменять трафик управления. В случае успеха хакер скомпрометирует хост-VMDBs, что приведет к отказу в обслуживании для некоторых частей программы“.
В обоих случаях VMware продолжала выпускать патч, гарантирующий защиту быстродействующих клиентов до того, как у хакеров будет много времени для действий.
Оба вышеприведенных примера подчеркивают необходимость решения основных проблем безопасности базовых ресурсов: сетей, хранилищ, контроля доступа и так далее. Для тех, кто делает все в доме, это включает в себя физический доступ к центру обработки данных. Эти соображения в значительной степени совпадают для невиртуальных развертываний с одной большой оговоркой. В виртуальном мире многие из этих ресурсов сами являются программными файлами, которые легко создавать, изменять и перемещать, поэтому компрометация файлового сервера может обеспечить доступ не только к конфиденциальным данным, но и к самой виртуальной среде. [1]
Как и во всем ИТ-менеджменте, здесь есть две опасности: аутсайдер, который находит свой путь с привилегиями, или привилегированный инсайдер, который ведет себя небрежно или злонамеренно. Виртуальный администратор, как бы ни были получены его привилегии, может изменять виртуальную среду по своему усмотрению без необходимости физического доступа. Это может включать в себя изменение конфигурации и/или параметров безопасности виртуальных компонентов и/или развертывание несанкционированных виртуальных машин для нечестивого использования.
Когда речь заходит о контроле доступа, управление привилегиями, у кого они есть, когда они есть и аудит того, что они делают с ними, аналогично тому, что происходит в физических средах. Однако есть и другие соображения, которые применимы в виртуальном мире сверх тех, что существуют в физическом. В основном речь идет о возможности отслеживать события на уровне гипервизора; контролировать и проверять доступ к ключевым файлам, копирование и перемещение виртуальных машин, захватывать потоки событий гипервизора и передавать все это в средства управления информацией о безопасности и событиями (SIEM). Также необходимо определить уровень безопасности гипервизора и предпринять действия, когда он нарушается, например, закрыть виртуальные машины или заблокировать трафик на виртуальные машины и из них.
Есть определенные специализированные поставщики, которые сосредоточены исключительно на безопасности уровня виртуальной инфраструктуры. Например, Catbird специализируется на создании отчетов и контроле безопасности связанных с VMware развертываний и базовой работы, которая фокусируется на мониторинге потоков данных в виртуальных средах с открытым исходным кодом. Поставщики виртуальных платформ и инструментов также предоставляют поддержку, не в последнюю очередь доступ к срочным консультациям по исправлению ошибок [2].
Три пункта, необходимые для комплексного решения виртуально инфраструктуры:
- Многогранность. Это самый основной пункт из трех и чрезвычайно ценный для малого и среднего бизнеса, который имеет трансформирующуюся среду. Универсальность означает возможность поддерживать как физические, так и виртуальные системы на одном гибридном облачном решении. Чтобы защитить предприятия от простоев и потери данных, необходимо, чтобы все критические системы были защищены в рамках одного решения, которое способно в любой момент запустить отказоустойчивые виртуальные машины. С виртуальной инфраструктурой это проще из-за обилия доступных ресурсов. Основой виртуальной инфраструктуры является массовое приобретение ресурсов в виде оперативной памяти и процессорных ядер и их использование на нескольких машинах. Использование виртуального хоста с доступными ресурсами в качестве средства отработки отказа для физической системы является разумным и эффективным.
- Стоимость. Лицензии на программное обеспечение — это подлые затраты, которые, кажется, умножаются экспоненциально по мере интеграции большего числа компаний и поставщиков. Консолидация — это ключ к реализации экономически эффективного решения. В компании Datto мы используем множество факторов консолидации, чтобы максимально снизить издержки для наших партнеров. Мы включаем неограниченные лицензии на программное обеспечение, а также цены за ТБ. Если клиент нуждается в защите для 7 ТБ данных, мы не хотим, чтобы ему приходилось выбирать между виртуальным устройством 10 ТБ или 20 ТБ. Наличие точного необходимого размера помогает снизить затраты, и по мере их роста установка новых машин полностью бесплатна. Стоимость — это скрытая проблема с виртуальной инфраструктурой и может привести к почти нулевой марже или снижению тарифов на услуги.
- Облачность. Представьте себе: сервер загорается и взрывается, срабатывает спринклерная система! И что теперь? Непрерывность облака применяется для физических и виртуальных сред. То, что облако является экономически эффективным и безопасным хранилищем не только данных, но и систем, позволяет компаниям работать удаленно. [3]
Литература:
- [Электронный ресурс]. — Режим доступа: https://www.sciencedirect.com/science/article/pii/B9780128038437000673 (дата обращения 07.05.2020)
- Электронный ресурс]. — Режим доступа: https://blog.sonicwall.com/en-us/2018/09/4-ways-to-protect-your-virtualized-infrastructure/ (дата обращения 04.05.2020)
- Электронный ресурс]. — Режим доступа: https://www.datto.com/blog/three-biggest-need-knows-virtual-infrastructure-protection (дата обращения 04.05.2020)
