Foundstone: služby pro bezpečné nasazení virtualizace

10. 3. 2008

Sdílet

Řada webových konzolí pro správu virtuálních strojů používá pouze certifikáty SSL. Tyto systémy by měly být nahrazeny certifikáty důvěryhodných třetích stran, což prostředí ochrání před útoky typu man-in-the-middle.

Nově uvedené služby Foundstone Professional Services společnosti McAfee si kladou za cíl zajistit zabezpečení virtualizovaných podnikových prostředí. Nabízejí firmám sadu směrnic a pokynů, které zaměstnance, procesy i technologie připraví na nasazení virtualizovaných prostředí v příslušné společnosti.

Virtualizace znamená podle McAfee pro společnosti na celém světě impuls, protože z hlediska podnikání přináší významný prospěch: omezuje kapitálové výdaje i potřebné operace, zajišťuje kontinuitu obchodních procesů, zvyšuje jejich bezpečnost i ekologičnost.
Přidání virtuálních strojů do prostředí firemního IT s sebou ale nese i potenciálně rizikové bezpečnostní dopady. Úplně stejně jako u fyzických systémů je i v případě použití virtualizace třeba věnovat pozornost lidskému faktoru/zaměstnancům, procesům a technologiím spojeným se zabezpečením operací.

Nasazení virtualizace by mělo zahrnovat následující faktory

· Ochrana dat.
Stejně jako v případě fyzických systémů by uživatelé měli mít přehled o tom, jaká data budou ukládána ve virtualizovaných systémech. Porušení této zásady vystavuje organizace rizikům, že dojde ke kompromitaci dat. Virtuální disky bývají na hostitelském počítači obvykle uloženy v nechráněném formátu, takže na všech potřebných místech je třeba nasadit šifrování a silné řízení přístupu.

· Je třeba chránit vlastní proces řízení a správy.
Řada webových konzolí pro správu virtuálních strojů používá pouze certifikáty SSL, přičemž garanci důvěryhodnosti poskytují samy sobě. Tyto systémy by měly být nahrazeny certifikáty důvěryhodných třetích stran, což prostředí ochrání před útoky typu man-in-the-middle. Stejně jako u fyzických zdrojů je třeba také uvážit rizika z toho, že by rozhraní pro správu bylo vystaveno útokům z internetu nebo dokonce od vlastních uživatelů. Významný může být také dopad toho, pokud datovou komunikaci
z webové konzole správce lze v síti nějak zachytit.

· Je třeba stanovit, kteří uživatelé (a jakým způsobem) mohou přistupovat k hostitelským počítačům. Správa a autorizace může vyžadovat vytvoření a navržení nových rolí, včetně správců virtuálních strojů, jejich tvůrců a uživatelů.

· Správci musí detailně rozumět možným útokům na systémy, které navrhli. To samozřejmě platí i pro fyzické systémy, virtualizační technologie má ale své unikátní vlastnosti a mění povahu citlivých míst, na něž mohou útoky mířit. Je třeba porozumět povaze těchto míst v celkové infrastruktuře IT.

· Změny hardwaru nebo firmwaru na fyzických strojích mohou mít dopad na důvěrnost, integritu a dostupnost virtuálních strojů spuštěných na těchto počítačích. Také způsob správy a nasazování oprav může v případě virtualizace vyžadovat provést rozsáhlé změny. Organizace potřebují sledovat, jaký software včetně aplikací je nainstalován na fyzických i virtualizovaných systémech a umožnit nasazování oprav, „záplat“ a aktualizací, a to včetně samotného virtualizačního softwaru.

· Správa majetku/aktiv.
Organizace musí dokázat udržet přehled nad počtem softwarových licencí například v situacích, kdy jsou virtuální stroje vytvářeny, vyřazovány nebo duplikovány.

· Plánování rezerv a strategie pro obnovu po selhání mohou být optimalizovány tak, aby spolu s nasazením virtualizačních technologií přinesly významný synergický efekt.

Autor článku