Manažer bezpečnosti: Náprava nasazení virtualizace

5. 1. 2010

Sdílet

I v případě, že implementace virtualizačních projektů má ve firmě určité nedostatky, lze je úspěšně vyřešit.

Výsledky auditu naší podoby virtualizace serverů mám na stole - a dopadli jsme bídně. Kromě několika světlých míst byl náš způsob implementace většinou shledán jako nevyhovující. Naštěstí lze chyby napravit. Report obsahuje více než tucet závěrů, ale uvedu zde jen ty nejvýznamnější. IT oddělení v infrastruktuře firmy nasadilo velmi významným způsobem technologii VMware ESX, aniž by mne informovalo. Když jsem to zjistil, povolal jsem konzultanta, aby provedl audit.

Negativní zjištění
Jeho první zjištění se týkala konzoly služeb VMware, která spouští a spravuje virtuální stroje patřící k jednomu ESX serveru. Naši technici použili IP adresy ze sítě, kde se zároveň nacházejí virtuální stroje. To není dobrý nápad, protože konzoly jsou jediné místo, odkud lze zmíněné VM spouštět a spravovat. A co hůře, správci používali pro konzolu jediný účet správce. Měli vědět, že to není správné. Když jsem jim dával pokyny k vytváření individuálních účtů, velmi jsem jim tuto záležitost zdůrazňoval. Museli jsme také s týmem zajišťujícím provoz sítě vytvořit novou virtuální LAN a zprovoznili jsme nové IP adresy pro příslušnou správní konzolu. Poté jsme navrhli určitá pravidla firewallu pro řízení přístupu.

Dalším předmětem našeho zájmu byl systém VirtualCenter, který centrálně spravuje všechny servery ESX. Umožňuje management všech zařízení z jediného rozhraní. Potenciální škoda, kterou by mohl způsobit hacker v případě získání kontroly nad VirtualCentrem, je děsivá, ale ještě horší bylo to, že systém ani neměl řádně nainstalovány odpovídající opravy. Navíc byl umístěn v síti VLAN pohromadě s dalšími servery, kde byla nedostatečná kontrola nad vymezením úkolů správy, a to mezi centrem podpory outsourcovaným z Indie a našimi inženýry v podnikovém ústředí v USA.

Vznikla tak další potřeba změny IP adresy. Server jsme umístili do jiné VLAN, kde byla nastavena odpovídající pravidla firewallu k omezení přístupu. Museli jsme s týmem zaktualizovat opravy a vytvořit proces, který by u VirtualCentra zajišťoval poněkud častější instalaci oprav, než tomu bylo u ostatních serverů. Méně kritická zjištění zahrnovala doporučení vytvořit varovné bannery, zakázat přístup uživatelů s oprávněním root přes SSH (Secure Shell) nebo použít tzv. sudo pro řízený přístup správy. Navíc bude tým muset řádně nakonfigurovat logovacího démona syslogd určeného k zasílání systémových protokolů našemu serveru syslog, zakázat SSH verze 1, která obsahuje mnoho zranitelností, minimalizovat počet nepotřebných služeb běžících na serveru ESX, který je v podstatě jen ořezanou verzí linuxové distribuce Red Hat, a dále bude nezbytné provést určité úpravy v jádře tak, aby byla zajištěna ochrana vůči útokům typu DoS (Denial of Service).

Pozitivní nálezy
Co se týče pozitivních zjištění auditu, nedopustili jsme se například chyb týkajících se úložišť, jaké prý dělá mnoho jiných firem při implementaci virtualizace. Konfigurace sítě úložišť naopak dopadla na výbornou. Měli jsme vytvořeno správné rozdělení do zón pomocí LUN a maskování za účelem omezení přístupu jednotlivých virtuálních serverů k úložištím. Také jsme dostali pochvalu za nasazení softwaru Tripwire určeného ke sledování klíčových konfiguračních souborů a zjišťujícího, zda nedochází k podezřelým aktivitám a jestli je konfigurace serverů ESX v souladu s našimi zásadami.

Také síť VMotion, která koordinuje automatický přesun virtuálních serverů z jednoho hostitele ESX na jiný v případě výpadku, byla řádně umístěna v oddělené síti VLAN. Náš plán oprav stále probíhá. Budu tedy dohlížet na jeho včasné dokončení.