In enquêtes onder IT-managers staat beveiliging consequent in de zorgen-topvijf, en dan met name de beveiliging gerelateerd aan de IT-hype van het moment. Recentelijk hebben we het dan over zorgen rond sociale netwerktechnologieën zoals Twitter en Facebook en andere uitlaatkleppen waar werknemers vertrouwelijke bedrijfsinformatie los zouden kunnen laten. Maar de beveiliging van virtuele servers en gevirtualiseerde infrastructuren staat ook hoog op de lijst – en zo hoort het ook, volgens analisten.
Niet dat virtuele servers minder veilig zijn dan enige andere server, aldus Neil MacDonald, beveiligings- en infrastructuuranalist bij Gartner. Op veel punten zijn virtuele machines veiliger dan ‘normale’ servers, alleen al omdat ze geïsoleerder zijn en afhankelijk zijn van één enkele hostserver. Dit maakt het fysieke beveiligingsprobleem veel eenvoudiger dan wanneer elke server op een apart stuk hardware staat, zegt hij.
“Elk van die virtuele servers is echter nog steeds een aparte server,” zegt MacDonald. “Elk heeft zijn eigen besturingssysteem en configuratie die wel of niet de standaard heeft die door de moedermaatschappij is ingesteld. En elk moet op dezelfde manier gepatched en onderhouden worden als een normale server; veel mensen vergeten dat, maar het maakt de situatie een stuk lastiger.”
Het is in theorie mogelijk dat hackers specifiek de hypervisorlaag aanvallen, of een VM overnemen en deze gebruiken om andere VM’s aan te vallen, stelt Chris Steffen, technisch hoofdarchitect bij Kroll Factual Data, een dienstverlener voor kredietrapporten en financiële informatie in Loveland, Colorado. Maar dit is tot nu toe nooit “in het wild” voorgekomen, dus de dreiging blijft vooralsnog theoretisch. “Je zou ook een virus kunnen krijgen dat op de BIOS-chip op je machine is gericht, maar we komen tegenwoordig niet veel BIOS-virussen meer tegen,” zegt Steffen.
Het grootste probleem met VM’s, zeggen Steffen en MacDonald, is de mogelijkheid dat IT- of beveiligingsmanagers de controle erover kwijtraken, gewoonweg omdat ze de risico’s niet herkennen wanneer deze opduiken.
De National Security Agency (NSA) heeft de zorgen ter harte genomen en ze doorgespeeld aan software-ontwikkelingslabs. Het resultaat is een managementsysteem voor virtuele severs,
In 2007 hebben de NSA en aannemer General Dynamics deze beveiliging uitgebreid met een werkstation dat het zogenaamde High-Assurance Platform draait – een gevirtualiseerd besturingssysteem dat een aparte laag code heeft die verantwoordelijk is voor de beveiliging van zowel het virtuele besturingssysteem en de applicatie als de gegevens die worden gebruikt.
De meeste bedrijven hebben die beschermingslaag, die werd ontworpen voor de Amerikaanse speciale strijdkrachten, niet nodig. Maar ze hebben wel te maken met een reeks beveiligingsproblemen waarvan er veel niet worden herkend of niet geheel serieus worden genomen, zegt MacDonald. En daar ligt de basis van het probleem.
We kijken hier naar de belangrijkste vijf problemen met de beveiliging van virtuele servers van dit moment.
Het overkoepelende probleem met virtuele servers is verantwoordelijkheid, zegt MacDonald. In tegenstelling tot fysieke servers (die de directe verantwoordelijkheid zijn van het datacentrum of de IT-managers in wiens fysieke domein ze zich bevinden) is de verantwoordelijkheid voor virtuele servers niet altijd even duidelijk. Moet de business unit die het heeft aangevraagd in staat zijn de boel te configureren en te beveiligen? Of is dat de taak van de IT-manager die het dichtst bij de fysieke host zit? Moet er misschien een centrale ‘master sysadmin’ komen die als taak heeft alle virtuele bezittingen binnen een bedrijf te managen en te beveiligen?
“Mensen snappen niet dat je, wanneer je virtuele servers toevoegt, te maken hebt met een extra laag technologie bovenop de applicatie, het besturingssysteem en de hardware, en dat je die moet beveiligen,” zegt MacDonald.
Het meest concrete risico dat voortkomt uit een gebrek aan verantwoordelijkheid is dat er fouten ontstaan in het constante arbeidsintensieve proces van het patchen, onderhouden en beveiligen van elke virtuele server binnen een bedrijf. In tegenstelling tot de fysieke servers waar ze op staan (die worden opgestart en geconfigureerd door alerte IT-managers die de nieuwste patches installeren) worden virtuele servers doorgaans opgestart vanaf serverimages, die soms weken of maanden eerder zijn gecreëerd, geconfigureerd en gepatched.
De meeste bedrijven houden een klein aantal “gouden” images voor algemeen gebruik apart, van waaruit nieuwe VM’s voor verschillende doeleinden worden opgestart of herstart. Maar daarnaast slaan ze nog eens tientallen of honderden serverimages op op DVD of op schijf die met veel moeite geconfigureerd zijn om specifieke applicaties of business requirements te ondersteunen, zegt MacDonald.
“Je kunt een snapshot nemen van een virtuele machine en die op schijf opslaan, voor noodherstel, of zodat je de boel de volgende keer niet helemaal opnieuw hoeft in te stellen. Het enige dat je dan nog hoeft te doen is één van deze virtuele machines opstarten die in offline libraries zijn opgeslagen. Maar meestal worden die niet up-to-date gehouden met A/V-signatures en patches,” zegt MacDonald. “Iemand zou dat moeten controleren zodra er één wordt opgestart, maar vaak wordt dat niet gedaan, en vaak is er ook geen manier om het na te gaan.”
Zowel Microsoft als VMware leveren patchmanagementprogramma’s bij hun basis infrastructuurproducten. Ze eisen allebei dat schijfimages die worden opgeslagen in libraries die periodiek worden opgestart zodat ze kunnen worden gepatched.
Helaas is dat een uiterst vervelend proces voor bedrijven die libraries hebben met wel honderden VM-images. Bovenien wordt er niks gedaan met de patchstatus van VM’s die draaien, maar misschien al weken of maanden niet gepatched zijn, of geen nieuwe antivirussignatures geïnstalleerd hebben. Natuurlijk proberen VMware, HP en veel beginnende bedrijven IT nu te helpen om met behulp van managementproducten veel van zulke taken te automatiseren.
Virtuele servers worden ontworpen om onzichtbaar dan wel erg low-profile te zijn, binnen het datacentrum tenminste. Alle opslag of bandbreedte of vloeroppervlak of electriciteit die ze nodig hebben komt van de fysieke server waarop ze staan. Voor datacentrummanagers die niet specifiek als taak hebben alle minuscule interacties van de VM’s binnen elke host bij te houden, lijken virtuele servers vaak een onzichtbaar netwerk waarin weinig gestuurd kan worden.
“Virtuele switchimplementaties stellen de VM’s in staat te communiceren met elkaar en over het netwerk,” zegt MacDonald. “Tenzij je binnen dat netwerk virtuele beveiligingscontroles inzet (virtuele sniffers, virtuele firewalls, dezelfde controles dus die je op een fysieke server zou gebruiken), zie je niet wat er gebeurt.”
“Er zijn veel compliance- en gebruiksproblemen,” aldus MacDonald. “Dat je geen sniffer hebt om die pakketjes tussen de virtuele servers te zien bewegen, betekent niet dat ze er niet zijn,” zegt hij. “Het zou kunnen dat een HIPPA-gecontroleerde workload communiceert met een non-HIPPA workload, of je krijgt PCI en non-PCI workloads die met elkaar communiceren. Dat brengt je in een lastige positie. Je zou het weten als je naar de pakketjes op dat netwerk had gekeken, maar die pakketjes komen niet zó uit de doos zodat je ernaar kunt kijken. Dus tenzij je extra stappen onderneemt, weet je het niet.”
Microsoft, VMware en Citrix bouwen allemaal een zeker niveau van zichtbaarheid van en controle over die interacties in hun basisproducten in, maar het niveau van dergelijke functies is zeker niet hoog genoeg om ervoor te zorgen dat klanten goed beveiligd zijn, aldus MacDonald.
Beginnend Silicon Valley-bedrijf
In veel gevallen zijn klanten niet op de hoogte van bepaalde risico’s, of kan het ze niet schelen. Een
“Ze boeken vooruitgang,” zegt MacDonald over VMware en Microsoft. “Maar ze zijn nog niet waar we ze moeten hebben.”
Simon Crosby, hoofdfunctionaris technologie bij Citrix Systems, zei tijdens een discussie over beveiliging op de RSA-conferentie dat beveiliging in de applicaties moet worden ingebouwd – niet in de hypervisor of virtuele infrastructuurmanagementproducten.
Hij zei dat de meeste beveiligingsproblemen kunnen worden opgelost door goed op de beveiligingsconfiguratierichtlijnen te letten en dat sectorgroepen als de
Een ander gevolg van het gebrek aan toezicht op virtuele machines is woeker – de ongecontroleerde vermenigvuldiging van het aantal virtuele machines die worden opgestart (en dan vergeten) door IT- managers, ontwikkelaars of managers van business units die voor een bepaald doel extra servers willen en ze daarna niet meer kunnen bijhouden.
VM-woeker verspilt hulpbronnen, creëert onbewaakte servers die toegang tot gevoelige informatie zouden kunnen geven en zorgt dat, als er later een probleem opduikt, een pijnlijk en nodeloos ingewikkeld opschoningsproces doorlopen moet worden, zegt Steffen.
“We proberen de VM’s op exact dezelfde wijze te behandelen als fysieke machines: met systeemscans, antivirus, enzovoorts. Daaronder valt het doorlopen van een aanschafproces voor VM’s alsof het fysieke machines zijn,” zegt Steffen.
Je dwingt managers van bedrijfseenheden op die manier aanvraagformulieren in te vullen en uit te leggen waarom ze een extra VM willen, waarvoor, en voor hoe lang. Je zou het inefficiënt kunnen noemen omdat dit het proces vertraagt, maar het geeft iedereen die ermee te maken heeft de tijd te bedenken hoe noodzakelijk elke nieuwe VM is.
“We doen dat niet als een server die ze al hebben draaien vervangen moet worden,” zegt Steffen. “Maar met VM’s loop je het risico dat de boel compleet uit de hand loopt en dat je er straks zoveel hebt dat je niet meer bij kunt houden hoe veilig ze zijn.”
De enquête van Secure Passage onder RSA-bezoekers liet zien dat 42 procent zich zorgen maakte over woeker, met name over het gebrek aan middelen om managers van bedrijfseenheden ervan te weerhouden naar wens nieuwe servers in het leven te roepen, in plaats van dit te coördineren met IT, zodat ze beheerd worden en beveiligd zijn.
Eén van de voordelen van virtuele infrastructuren is de mogelijkheid een product van een externe leverancier te kopen of te testen en het in minuten draaiende te hebben. Je hoeft geen ruimte op een testserver vrij te maken, je hoeft de software niet te installeren en het te laten communiceren met het besturingssysteem en het netwerk en dan, uren later, te kijken of het doet wat het moet doen, aldus MacDonald.
Helaas is een virtueel apparaat ook een virtuele kat in de zak. “Er zit in elk pakket een besturingssysteem en een applicatie, elk met zijn eigen configuratie en patchstatus, en je hebt geen idee wat erin zit of wie het gaat onderhouden of wat de risico’s op de lange termijn gaan worden,” zegt MacDonald. “Het heeft een volledige applicatie en besturingssysteem, geheel geconfigureerd en klaar om te draaien. Binnen vijf minuten kun je die nieuwe anti-spamserver uitproberen. Maar welk besturingssysteem zit er in het pakket en is het gepatched? En zo niet, wie gaat je de patch dan aanleveren?”
-
-
Er zijn nog geen reacties.Reageer
Preview