Děsivé aspekty virtualizace

Bylo něco přehlédnuto? Mohl by katastrofický průnik nežádoucích osob shodit kritické aplikace nebo dokonce celé datové centrum?

Obavy ze zabezpečení virtuální infrastruktury, která zahrnuje více než polovinu produkčních serverů jeho společnosti, vyslovil ve svém vystoupení na nedávné konferenci časopisu Computerworld pro hlavních 100 IT lídrů jeden z ředitelů IT. Přizvukovali mu také další dva vrcholoví manažeři IT, kteří se svěřili se svými neodbytnými obavami.

Nikdo z vrcholových manažerů v dotyčném sále nechtěl oficiálně přiznat, že se cítí zranitelný, ale Jai Chanani, ředitel technických služeb a architektur ve společnosti Rent-A-Center, si jejich bolesti uvědomoval. „Jednou z mých největších obav je možnost krádeže virtuálních serverů,“ vysvětluje Chanani.

Ten spolu se svým týmem provozuje přibližně 200 virtuálních serverů jako souborové, tiskové a v některých případech i aplikační servery. Z bezpečnostních důvodů však jeho pracoviště nevyužívá virtualizaci pro firemní systém ERP, databáze a systémy elektronické pošty.

Michael Israel, ředitel IT u společnosti Six Flags, která je provozovatelem zábavního parku, vyjadřuje jiné obavy. Pro něj je nejvíce znepokojující scénář nespolehlivého správce, který přesune virtuální servery ze zabezpečeného segmentu sítě na fyzické hostitele v nezabezpečeném segmentu nebo vytvoří nové, nedokumentované, nelicencované virtuální instance bez nainstalovaných aktualizací. „Ta poslední věc, kterou chci, je mít někde 25 serverů, o nichž nemám vůbec tušení,“ vysvětluje.

John Kindervag, analytik společnosti Forrester Research tvrdí, že slyšel vyprávět klienty, kteří měli kompromitovanou konzoli správy VMware vCenter, která tak umožňovala útočníkům kopírovat virtuální stroje, které poté byly použitelné pro přístup k datům. „Pokud ukradnete samotný virtuální stroj, je to stejné, jako byste se vlámali do datového centra a odcizili kus hardwaru. Je to potenciálně doslova zničující,“ zdůrazňuje Kindervag.

„Mnoho let jsme pracovali se zákazníky na nejlepších metodách, které by tento problém bezezbytku řešily,“ říká Venu Aravamudan, ředitel marketingu produktů společnosti VMware. Tvrdí, že většina uživatelů taková rizika řeší používáním postupů, jako jsou vytvoření izolovaného síťového segmentu pro správu prostředků či nasazení řízení přístupu postaveného na základě rolí.

„Zákazníci se jednoho dne vzbudí a uvědomí si, že 50 % jejich kritických firemních aplikací sídlí ve virtuální infrastruktuře, a začnou se logicky sami sebe ptát, zda je to bezpečné. To je zcela běžné,“ tvrdí Kris Lovejoyová, viceprezidentka strategií v divizi IBM Security Solutions, která poskytuje konzultace k otázkám zabezpečení.

„Ve světě existují velké a dobře známé společnosti, u kterých byste si mysleli, že mají tuto záležitost vyřešenu. Pravda je však zcela opačná,“ tvrdí Andrew Mulé, bezpečnostní konzultant v divizi RSA společnosti EMC.

Problém však nespočívá v tom, že by bylo obtížné samotnou virtuální infrastrukturu zabezpečit, ale mnoho společností stále nepřizpůsobilo své best practices (pokud je mají) pro nové prostředí.

Virtuální starosti
Virtualizace zahrnuje technologie (včetně nové softwarové vrstvy tvořené hypervizorem), které je nutné pečlivě spravovat. Nové pro administrátory také může být virtuální přepínání, které směruje síťové přenosy mezi virtuálními servery takovými způsoby, které nejsou vždy viditelné pro nástroje navržené k monitoringu příslušných přenosů v rámci fyzické datové sítě.

Kromě toho virtualizace rozbíjí tradiční separaci povinností v rámci IT tím, že umožňuje jednomu správci hromadně vytvářet nové virtuální servery pouhým stiskem jediného tlačítka – bez dříve běžného schválení nákupu a bez reakcí od týmů majících na starosti sítě, úložiště, nepřetržitost provozu a zabezpečení IT (viz níže:  Pozor na všemocného správce).

Mezitím se zabezpečovací technologie a nejlepší metody zohledňující virtualizaci stále vyvíjejí. Trh vznikl tak rychle, že zákazníci nebyli schopni zachovat stanovisko best practices, prohlašuje Lovejoyová. V této oblasti existuje nedostatek znalostí a dovedností týkajících se popisovaného tématu.

„Otázky zabezpečení ve virtuálním prostředí jsou soustředěny okolo dostatečné vizibility, nedostatku kontroly a strachu z neznáma,“ tvrdí Bill Trussell, ředitel výzkumu zabezpečení ve společnosti TheInfoPro, která dělá průzkumy trhu IT.

Mohl by někdo unést hypervizor v rámci firemní virtuální infrastruktury a použít ho ke kompromitaci všech virtuálních serverů, které obsluhuje, jak se obává jeden z ředitelů IT? Mohl by útočník proniknout do jednoho virtuálního serveru a užít ho jako platformu pro útok na jiný virtuální server, který například zpracovává transakce platebními kartami a sídlí na stejném hardwaru, a to v situaci, kdy by se o tom správce vůbec nedozvěděl?

Obavy týkající se děsivých scénářů, jako jsou tyto právě uvedené, přetrvávají navzdory skutečnosti, že vůči virtuálním infrastrukturám dosud nejsou známy žádné útoky, tvrdí Eric Baize, ředitel RSA pro zabezpečení infrastruktury.

Když se letos společnost TheInfoPro dotazovala 214 bezpečnostních IT profesionálů, zjistila, že třetina z nich se „velmi či extrémně“ stará o zabezpečení ve virtualizovaném prostředí.

Obavy týkající se útoku, který by mohl kompromitovat hypervizor, vyvstaly, když na konferenci Black Hat v roce 2006 představila Joanna Rutkowská tzv. modrou pilulku (malwarový rootkit pro hypervizor).

Od té doby však průmysl pokročil kupředu s hardwarovými technologiemi zajišťujícími integritu hypervizorů, jako je například Intel Virtualization Technology pro řízení I/O (označováno jako VT-d).

„V současné době většina procesorů Intel Core i5 a i7 už tyto technologie zahrnuje,“ a dodavatelé virtualizačního softwaru tyto funkce začaly podporovat, tvrdí Rutkowská, zakladatelka a výkonná ředitelka společnosti Invisible Things Lab, která provádí výzkumy zabezpečení IT.

Sama Rutkowská pochybuje, že někdo skutečně použije rootkit modré pilulky ke kompromitaci virtuálních počítačů. „Zločinci ve skutečnosti nemají žádnou motivaci použít takto důmyslné škodlivé kódy,“ tvrdí tato výzkumnice, „a to zejména kvůli tomu, že pro útoky na tradiční operační systémy stále dobře funguje populárnější technologie rootkitů z devadesátých let.

„Lidé se spíše zabývají teoretickými scénáři než těmi, které byly jako problém skutečně dokumentovány,“ tvrdí Trussell.

Virtualizace však zahrnuje možnosti rizika, pokud nejsou nejlepší metody použity a přizpůsobeny pro virtuální infrastrukturu. „Například hypervizor musí být aktualizován opravami jako libovolný jiný operační systém,“ varuje K.C. Condit, ředitel zabezpečení informací ve společnosti Rent-A-Center.

Možné problémy
Konzultanti v oblasti zabezpečení uvádějí, že u zákazníků zaznamenali široké spektrum bezpečnostních problémů. Lovejoyová například považuje problémy s malwarem a skriptováním mezi weby za důsledek špatně navržených imagí virtuálních strojů.

„Běžně taková bitová kopie obsahuje škodlivé kódy nebo zranitelnosti, které lze velmi snadno využít,“ vysvětluje. „Jakmile se jednou takto zranitelný systém zprovozní, jsou jeho kopie stále nasazovány, a to vytváří lidem obrovské množství problémů.“

„Viděli jsme obrovské množství špatně nakonfigurovaných hypervizorů,“ dodává Mulé z RSA. Uvádí, že často vidí nedostatečnou metodiku ohledně správy oprav virtuálních strojů a také použití snadno odhadnutelných výchozích uživatelských jmen a hesel u programů pro správu virtuálních strojů, které pak mají plný přístup k hypervizoru. Uvádí, že navíc „občas vidí management systémy pro virtuální stroje umístěné na špatné straně firewallu.“

Použití výchozích hesel při vytváření nových virtuálních serverů je zcela běžné, tvrdí Harold Moss, technologický ředitel bezpečnostních strategií cloudu v divizi IBM Security Solutions, „a lidé zodpovědní za správu nových strojů je také ne vždy změní. Zloději by se mohli pokusit připojit k počítači, mohli by odhadnout heslo a získat nad ním úplnou nadvládu,“ vysvětluje.

Protože jsou navíc bitové kopie virtuálních strojů ve své podstatě data (programový kód uložený někde na pevném disku), musí být i tyto soubory vhodně chráněny. „Určitě nechcete, aby si někdo z vaší firmy odnesl celý server na USB disku,“ upozorňuje Vauda Jordanová, inženýrka zabezpečení městského úřadu ve Phoenixu. Uvádí, že město používá k ochraně bitových kopií virtuálních strojů kombinaci fyzického zabezpečení, řízení přístupu k síti a monitoring integrity souborů.

Propojení virtuálních strojů
Přenosy mezi virtuálními stroji jsou další oblastí starostí bezpečnostních manažerů, protože firewally a systémy prevence a detekce narušení (IDS/IPS, Intrusion Detection/Prevention Systems) a další monitorovací nástroje o situaci neinformují, pokud virtuální stroje běží na stejném hardwaru.

„Nainstalovala jsem na virtuálních serverech paketové sniffery, přičemž fyzické síťové rozhraní není pro komunikaci využíváno. Takže jak vlastně tato komunikace probíhá? A je realizována prostřednictvím bezpečných kanálů?“ ptá se Jordanová. Město vložilo do virtuální infrastruktury významné investice, ale Jordanová nemá v úmyslu mluvit o technologii a jejím rozsahu a zmiňuje obavy ze zabezpečení.

Při využití platformy VMware ESX Server a dalších hlavních virtualizačních platforem jsou data přenášená mezi virtuálními stroji nešifrovaná. Aravamudan uvádí, že se ve společnosti VMware aktivně zabývají možností šifrování, ale odmítl uvést termín, kdy by se mohla tato technologie objevit v produktech firmy.

Systémy jako VMware vShield a další nástroje nezávislých dodavatelů mohou vytvářet virtuální firewally, které rozdělí VMware, XenServer, MS Hyper-V a další virtuální stroje do různých bezpečnostních zón, ale ne všechny organizace je používají. Například vytváření bezpečnostních zón nezískalo ve společnosti Rent-A-Center příliš pozornosti. „Jak se však virtuální infrastruktura rozšiřuje, začíná to být nutnost,“ tvrdí Condit.

Některé nástroje současného firewallu vidí přenosy virtuálních serverů, ale v ostatních případech potřebují IT oddělení další sadu nástrojů specifických pro virtualizační systémy, a to pak následně zvyšuje celkovou složitost administrace.

„Lepší je použít sadu nástrojů, která pokrývá jak fyzické, tak virtuální prostředí,“ tvrdí Neil MacDonald, analytik společnosti Gartner. Dokud dodavatelé tradičních správních produktů zabezpečení nedoženou ztrátu plynoucí z malé podpory virtuálního prostředí, může se jako nezbytné ukázat použít nástroje od méně známých dodavatelů, jako jsou Altor Networks, Catbird Networks a HyTrust, kteří se speciálně zaměřili právě na virtuální stroje.

„Ještě důležitější je, že architekturu jádra sítě je nutné změnit, aby vyhovovala virtualizaci,“ prohlašuje Mulé z RSA. „Sítě, které pracují správně s fyzickými servery, nemusí nutně fungovat dobře rovněž s virtuálními stroji. Zabezpečení lze zlepšit implementací vhodného směrování, podsítí a virtuálních sítí LAN,“ tvrdí Mulé a dodává: „Většinu výpadků v nepřetržitém firemním provozu lze při použití virtualizace připsat chybám návrhu sítě.“

Matthew Nowell, systémový inženýr ve společnosti Six Flags, používá virtuální sítě LAN k segregaci virtuálních serverů. „V závislosti na způsobu konfigurace směrovacích pravidel spolu mohou a nemusí být schopny komunikovat,“ vysvětluje.

MacDonald však upozorňuje, že „samotné sítě VLAN a řízení přístupu na základě směrovačů nejsou pro bezpečnou separaci dostatečné.“ Instrukce výzkumné společnosti vyzývají k nasazení nějakého druhu firewallu zohledňujícího virtualizaci.

Příliš mnoho řešení
Nezávislí dodavatelé, jako například společnost Trend Micro, nabízejí přídavný software pro zlepšení zabezpečení vrstvy hypervizoru. Někteří experti se však obávají, že tím, jak se vrstva stává složitější a začíná být přeplněná, může se stát vítanějším cílem pro útoky na zabezpečení.

Ve státním úřadu města Phoenix spoléhá Jordanová na to, že správci systémů izolují každý virtuální server v jeho vlastní zóně zabezpečení. „Musela jsem se dohadovat se správci serverů, kteří namítali, že to může dělat hypervizor. Firewallům však věřím více než hypervizorům,“ prohlašuje.

Zabezpečení virtuální infrastruktury se netočí okolo nákupu více nástrojů, tvrdí Baize z RSA. „Z hlediska správy virtuální infrastruktury jich je v současnosti dostupných relativně mnoho. Chybí však všeobecné porozumění tomu, k čemu takové řízení vlastně je a kdy by mělo být nasazeno,“ vysvětluje.

Nejlepším způsobem vytvoření zabezpečené virtuální infrastruktury je hned zkraje zapojit do dění experty na ochranu dat. Gartner odhaduje, že až 40 % IT oddělení neřeší stránku bezpečnosti IT při nasazení vizualizace do doby, než je systém vytvořen a zprovozněn.

Problém začíná být jasnější při přesunu stěžejních aplikací na virtuální stroje. „Jakmile začnete přemýšlet o virtualizaci serveru Share Point, Exchange nebo systému ERP, dostáváte se do oblasti velmi citlivých dat. To problém dále zvětšuje,“ prohlašuje MacDonald.

Organizace se teprve potom pokoušejí na zprovozněné řešení naroubovat nějaký model zabezpečení, který ale měl být navržen již od počátku. Takový druh přepracování návrhu se navíc může prodražit. „Ředitelé IT by měli zajistit, že budou mít v procesu návrhu tohoto typu architektury zaangažován nejlepší personál,“ radí MacDonald.

Všechno to směřuje k zásadám, prohlašuje Condit. „Nemáte-li zavedeny solidní bezpečnostní pravidla, ukáže virtuální infrastruktura tyto slabiny mnohem rychleji, protože v ní vše probíhá mnohem svižněji,“ prohlašuje s poukazem na rychlost vytváření a přesunu virtuálních serverů mezi fyzickými hostitelskými servery.

Ředitelé IT se v tomto směru obávají oprávněně. Condit ale prohlašuje, že „určitá zdravá míra paranoie je vždy ku prospěchu“.