Zabezpečení virtuálních počítačů na úrovni hypervisoru (2)

25. 8. 2009

Sdílet

Zabezpečení disků virtuálních počítačů je samostatnou kapitolou každého virtualizovaného řešení. Je potřeba si uvědomit, že pevný disk tak, jak ho většina uživatelů zná z osobních počítačů nebo serverů, je zde reprezentován často pouze jediným souborem.

Pokračování včerejšího článku

 

Zabezpečení dat VM

A protože je to skutečně soubor se všemi svými přednostmi i neduhy, je potřeba se k němu tak také chovat. Schopnost virtuálních počítačů uchovávat celý disk v jednom souboru je bezesporu ideálním řešením pro případy zálohování. Jednoduchým zkopírováním jediného souboru je možné zálohovat celý pevný disk bez ohledu na jeho obsah.

Tato výhoda pro potřeby zálohování nebo klonování virtuálního počítače se však může stát i jeho slabinou. Je totiž velmi jednoduché takovým způsobem zálohovaný virtuální počítač přenést do jiného prostředí s virtualizačním nástrojem stejného producenta jako v původním umístění a pohodlně tak získat data „ukradeného“ virtuálního počítače.

Je však potřeba říci, že výrobci virtualizačních nástrojů neberou tuto skutečnost na lehkou váhu. Bohužel, není příliš možností, jak s tímto nebezpečím bojovat. Jedním ze  způsobů, který je již v praxi používán, je využití specifického systému souborů s uloženými virtuálními disky, který je z jiného prostředí, než je konkrétní virtualizační nástroj, nečitelný. Trochu se tím potenciálním „škůdcům“ znepříjemní možnost dostat se snadno k datům, bohužel je to jen malá náplast.

V případě, že je datovým úložištěm pro pevné disky virtuálních počítačů externí diskové pole, nabízí se jako jedna z možností zabezpečení využití šifrování dat na fyzické úrovni, a to buď nástroji diskového pole, nebo předřazeným zařízením. V případě využití takového zařízení je velkou výhodou poskytovaný šifrovací výkon. Celkový výkon diskového subsystému, na kterém jsou spuštěny disky virtuálních počítačů, však při využití takových technik klesá.

Další možností je šifrování samotných disků virtuálních počítačů na úrovni jejich operačních systémů nebo nástrojů třetích stran. Tyto systémy bývají používány například při šifrování celých pevných disků na noteboocích. Princip šifrování pevného disku virtuálního počítače je pak totožný - použitému nástroji se hlásí jako standardní hardware.

Takovým způsobem zajištěný disk je pak mnohem složitější zprovoznit jinde než v jeho originálním umístění, což ale na druhou stranu může zkomplikovat například obnovu havarovaného stroje na záložní hardware. Bohužel, stejně jako v předchozím případě, dochází k určitým ztrátám na výkonu diskového subsystému.

 

Bezpečnost datových úložišť

Bezpečnost datových úložišť virtuálních serverů je věc, kterou není příliš radno podceňovat. Bohužel, zatím ji není možné nějakým relativně jednoduchým způsobem uspokojivě vyřešit. Metody, jak zabezpečit přístup k datům virtuálních serverů na fyzické vrstvě, často limituje jeden zcela zásadní faktor - rozpočet konkrétního vizualizačního projektu. Často jsou důvodem toho, že datové úložiště není dostatečně zajištěno nebo jsou použita taková úložiště, která vysokou míru zabezpečení z principu neumožňují, nedostatečně alokované finanční prostředky.

Jako u drtivé většiny ostatních součástí bezpečnostních schémat virtualizovaného prostředí i zde představuje největší nebezpečí člověk a jeho neznalost nebo špatný úmysl. Mělo by proto být voleno takové datové úložiště, které není tolik náchylné na chybu uživatele a z principu nedovoluje běžnému pracovníkovi k němu přistupovat.

Z tohoto pohledu je nejbezpečnější variantou využití datových úložišť připojených prostřednictvím optické infrastruktury. Pro uživatele je prakticky nemožné se k optickému switchi připojit a prozkoumat obsah diskového pole. Kromě nutnosti mít v počítači příslušné komunikační karty je potřeba mít zprovozněny i cesty pro identifikátory (WWPN) těchto karet a dále mít nastavenu možnost přístupu na fyzické úrovni ke konkrétním diskovým polím a v nich vytvořeným oddílům.

Protože optická infrastruktura pro disková pole bývá fyzicky zcela oddělena od běžné IP sítě a jako nosič signálu je u ní použit modulovaný laserový paprsek, je pro potenciálního „narušitele“ velmi těžké odposlouchat komunikaci mezi serverem a diskovým polem a získat tak použitelná data. Bohužel, jedná se také o řešení nejdražší.

Využít je možné ale i v poslední době stále populárnější iSCSI technologii. Stejně jako u optické infrastruktury, lze její provoz zcela oddělit od IP sítě, která je používaná na běžnou komunikaci, i když sama tuto standardní síť využívá. Stejně jako u optické infrastruktury je nutné nastavit pro servery a disková pole jednoznačné identifikátory (iqn), které mají vazbu na konkrétní server a diskové pole. Vůči těmto identifikátorům jsou pak nastavovány přístupy k jednotlivým oddílům na diskových polích.

bitcoin_skoleni

V jednom se ale obě zmíněná řešení významně liší. iSCSI pracuje na síti shodné pro uživatele i datová úložiště (lze samozřejmě nasadit oddělené IP sítě, ale v mnohých případech, třeba menších organizacím, je to finančně nevýhodné), takže potenciálnímu „narušiteli“ se otevírají mnohem větší možnosti dostat se k datům prostřednictvím jemu dostupné sítě. Obě dvě popisované technologie, jak optická infrastruktura, tak iSCSI, jsou technologie označované jako SAN (Storage Area Network), v nichž se data přenášejí na úrovni bloků, nikoliv na úrovni souborů, což je činí bezpečnějšími než technologie, o kterých bude řeč dále.

Další technologie využívají stejných sítí jako ostatní uživatelé a data jsou přenášena ve formě souborů. Je tedy relativně velmi snadné takováto data zachytit v běžném provozu. Jedná se o souborové servery postavené na technologiích Microsoft (CIFS) nebo Linux/Unix (NFS). Nelze obecně prohlásit, že tyto technologie jsou nebezpečné, jsou ale mnohem náchylnější na chybu v zabezpečení na úrovni přístupových práv, prolomení přístupových práv zcizenou identitou nebo heslem než technologie používané u sítí SAN. Proto je doporučováno tyto technologie ukládání dat využívat spíše jako zdroje instalačních médií, cíle pro ukládání záloh před přesunutím na pásky a další, ne přímo provozně kritické aplikace. Samozřejmě existují nástroje, techniky a technologie, jak i tyto systémy efektivně zabezpečit. Stávají se tím ale složitějšími a náročnějšími na správu.