Hlavní navigace

Odvrácená strana virtualizace

Petr Hájek

Virtualizační technologie se již napevno zabydlely v našich slovnících i životech a zdají se být čile k světu. Jak to tak ale bývá, každá mince má dvě strany, kterých je záhodno být si při nasazení a správě dokonale vědom, jinak se můžete dostat do velmi vážných bezpečnostních problémů.

Na úvod jako obvykle pár slov definic. Pojmem „virtualizace“ se v IT branži popisují takové technologie, které umožňují k dostupným zdrojům přistupovat jiným způsobem, než jakým fyzicky existují. Důvodů pro virtualizaci je mnoho, takže si zmíníme jen těch pár nejzajímavějších. Podobné prostředí je často lépe přizpůsobeno potřebám uživatel a skrývá před nimi nepodstatné hardwarové detaily. Častými důvodem je také šetření, v jehož rámci se více strojů virtuálních provozuje na jediném reálném. Dodejme ještě informaci, že virtualizovat lze na více úrovních – na úrovni celého PC (virtuální stroj), na úrovni hardware (virtuální procesor) či na úrovni software (virtualizace OS).

Vše začalo na konferenci známého magazínu Computerworld se jménem Computerworld Premier 100 IT Leaders, kde se jeden CIO postavil a vyjádřil svoje znepokojení ohledně bezpečnosti vlastní virtuální infrastruktury, které již pohltila více než polovinu všech firemních serverů. Tento názor brzy následovala dvojice dalších IT manažerů, jež přidali i svoje vlastní obavy. Žádný z výkonných řídících zaměstnanců to tehdy sice přímo nepřiznal, ale jedno z jejich názorů přece jen jasně vyčnívá – dotyční se cítí zranitelně.

Podívejme se na typický příklad z praxe, k němuž se Jai Chanani (senior director of technical services and architecture u Plano Texas Rent-a-Center Inc.) vyjádřil těmito slovy: „Jeden z mých největších strachů je ten z krádeže virtuálních serverů.“ Jeho firma má 200 VMware ESX a XenServer serverů sloužících jako souborové, tiskové a místy i aplikační servery. Z bezpečnostních důvodů nicméně jeho e-shop nepoužívá virtualizaci pro firemní ERP systém, databáze a e-maily.

Na další zajímavý poznatek přišel Michael Israel, (CIO Six Flags Inc. v Grand Prairie, Texas). Pro něj je ta nejhorší představa ta, v níž by zlodějský admin mohl přesouvat virtuální servery z bezpečného síťového segmentu na fyzické hostitele v segmentu nezabezpečeném. Nemluvě o možnosti vytvářet nové, nedokumentované, nelicencované a nezapatchované virtuální servery: „Největší starost mi působí potenciální neznalost – poslední věc, kterou ve firmě chci, je mít někde 25 serverů, o kterých nevím, že existují.“

Migrace na virtuální servery často ušetřila nejrůznějším business subjektům díky konsolidaci a vyšší efektivnosti velké částky peněz, jak ale virtualizace postupně pohlcuje stále větší a větší počet produkčních serverů, začíná se i ten nejklidnější výkonný IT šéf sám sebe brzy ptát na otázky tohoto typu: Nebylo něco přehlédnuto? Je 50 % naší virtuální infrastruktury stejně bezpečných jako naše jiné servery? Dle názoru Krise Lovejoye (viceprezident ve firmě IBM Security Solutions poskytující bezpečností konzultace IBM) je tento strach normální.

Také Andrew Mulé z RSA Security Practice (EMC Consulting) trávící svoji pracovní dobu mezi velkými firmami hovoří jasně: „Na světě je celá řada velkých korporátních jmen, o kterých byste si mysleli, že mají podobné věci takříkajíc ‘zmáknuté’, nic ale není dále od pravdy! Často vídáme špatně nakonfigurované hypervisory, mizernou správu patchů (bavíme se stále o virtuálním prostředí) a běžné je i používání defaultních či snadno uhodnutelných hesel pro správcovské utility. Dokonce jsou občas k vidění i nástroje pro správu virtuálních serverů na špatné straně firewallu. Ve 40 % firem se třeba také bezpečnost řeší až poté, co jim virtuální servery jedou naostro, zkrátka, do jedné praktiky, nad nimiž skutečného admina u fyzického serveru poleje studený pot.

Virtualizace nám zvedla řadu nových prvků a technologií, s nimiž je zkrátka potřeba počítat (jmenujme si namátkou virtual switching, který routuje síťový provoz mezi virtuálními servery cestou, která se často nijak neprojevuje na nástrojích sledujících reálný traffic). Navíc, virtualizace nám překonala tradiční pravidlo o rozdělení rolí v rámci IT tím, že jediný admin může generovat skutečně masově nové virtuální servery jediným stiskem tlačítka (a běžně bez vědomí dalších), což nás přivádí k dalšímu zádrhelu – s týmem stojícím za IT bezpečností, se obvykle nekonzultuje konkrétní virtuální infrastruktura až do doby, dokud již servery neběží a nejsou v plné činnosti.

Problém není ani tak to, že by virtuální infrastruktura byla nějak těžší na zabezpečení, jako spíše to, že řada firem ještě neadaptovala dokonale svoje praktiky na virtuální prostředí – trh virtuálních technologií se objevil natolik rychle, že řada firem zkrátka ještě stále trochu tápe a vyvíjí svůj přístup k věci.

Pokud jde o povědomí o virtualizaci a její bezpečnosti mezi IT profesionály, tak dle průzkumu The Info Pro, jež zkoumal názory 96 odborníků v oblasti bezpečnosti, si plných 28 % z nich dělá na toto téma „velké“ či „extrémní“ starosti. A tyto starosti jsou samozřejmě oprávněné – virtualizace představuje skutečně potenciální risk pro bezpečnost a to tím větší, čím méně je v ní firma a její IT pobočka zběhlá. Jestliže snad tedy někdo má v této oblasti nějaké mezery, určitě je na místě doučit, zkusit a oznámit potřebné + patřičně zkonfigurovat, co bude potřeba. Odkládat věc z důvodu, že ještě k žádnému podobnému útoku nedošlo, není řešení, navíc, pokud by se nedejbože firemním virtuálním serverům skutečně něco stalo, stejně to bude řešit jejich správce.

Celá otázka zabezpečení virtuálních prostředí se zřejmě i nadále bude točit kolem trojice základních strachů: jednak půjde o strach z nedostatku dohledu nad danou věcí, dále strach z nedostatku kontroly a do třetice tu máme strach z neznáma. Ačkoliv jsme se ještě nedočkali žádného většího útoku na virtuální infrastruktury, co není teď, jednou může docela dobře být. Vzpomeňme třeba jen známou demonstraci Joanny Rutkowské a jejího Blue Pill hypervisor malware rootkitu předvedeného na konferencei Black Hat 2006.

Zdroj: Wiki, ComputerWorld

Našli jste v článku chybu?

31. 8. 2010 8:43

Yeti (neregistrovaný)

To josu zase bláboly :o( Člověk se těší z nadpisu na nějakou zajímavou novinku a přečte si blbě přeloženou sr.čku od americkejch trotlů snažících se zviditelnit veřejným vypuštěním bludů, které mají znepokojit a znejistit ostatní americký trotly. IT manager, kterej neví co se mu děje pod rukama nemá na svým místě co pohledávat. A to, z čeho pánové mají najednou největší strach, se může dít nejen ve virtuálním prostředí. Firmy, potažno management, by se měly chovat k adminům s úctou právě proto, …

31. 8. 2010 9:33

qiRz T (neregistrovaný)

Tenhle argument mám fakt rád. Vařit neumím, ale v restauraci očekávam kvalitní jídlo, autobus řídit neumím, ale od řidiče čekám, že mě doveze v pořádku. Stejně tak, přestože neumím psát články, tak na rootu (kde jsou lidé v redakci AFAIK placeni) očekávám kvalitu v tomto směru.

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Test Philips 24PFS5231 s Bluetooth repro

Test Philips 24PFS5231 s Bluetooth repro

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase