iPon Hírek

Újfajta veszélyek leselkednek a virtualizált környezetekre

Dátum | 2010. 09. 16.
Szerző | napi.hu
Csoport | IT VILÁG

"A virtuális környezeteket fenyegető veszélyek napjainkban egyre több problémát jelentenek a vállalatoknak. A vállalati it-rendszerek dinamikusan változnak, a gépek gyorsan hadrendbe állíthatók, így a virtuális gépek állapotának függvényében a biztonsági problémák egyik pillanatról a másikra megjelenhetnek vagy eltűnhetnek. Mindemellett a teljes informatikai rendszer biztonsága érdekében a fizikai rendszereken alkalmazott védelmet ki kell terjeszteni a virtualizációs környezetekre is, hiszen a környezet sérülése az összes rajta futó virtuális rendszer sérülését jelentheti" - mondta Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója. "A technológia mára megérett a biztonságos felhasználásra, és számos olyan megoldás érhető el, amellyel kialakíthatjuk a számunkra és ügyfeleink számára megfelelően biztonságos virtualizált környezeteket. A körültekintő tervezés, kivitelezés és üzemeltetés azonban továbbra is elengedhetetlen" - tette hozzá Kőrös.

A virtualizáció, miközben egyetlen fizikai szerveren több virtuális gépet szolgál ki, igyekszik biztonságosan konszolidálni a szervereket; logikai izolációt használva próbálja a fizikai függetlenség látszatát kelteni. Többé nem bízhatunk a jól ellenőrizhető fizikai és hálózati elkülönítésben, be kell érnünk a hypervisor és egyéb szoftver alapú eszközök nyújtotta lehetőségekkel. Ezáltal még nagyobb szerepet kap a gondos tervezés, kivitelezés és beállítás, és fokozottan, folyamatosan monitorozni kell az egész környezet azon változásait, amelyek érzékeny adatok szivárgásához vezethetnek - magyarázta Kőrös a virtualizáció egyik fontos biztonsági vonatkozását.

Hasonlóan fontos a biztonsági és egyéb javítócsomagok kezelése, valamint az, hogy a változáskezelés meghatározó tényezője az informatikai rendszerek zökkenőmentes üzemeltetésének. A virtualizálás bevezetése növeli ennek komplexitását. A szervereknek ezentúl nem kell folyamatosan futniuk, mert a virtuális szerverek bármikor megállíthatók, elindíthatók, futásuk felfüggeszthető, sőt állapotuk visszaállítható egy korábbira. A gépek beállítása és elhelyezése egyre rövidebb időt vesz igénybe. Ami korábban órákig tartott, most percek vagy másodpercek alatt elvégezhető. A mobilitás a virtualizációs szótár szerint azt jelenti, hogy egy virtuális gép képes automatikusan áthelyezni önmagát és erőforrásait egy másik helyre. Korábban egy fizikai szerverről mindig tudtuk, hogy hol található. Egy hibrid adatközpontban egy virtuális gép helye nem határozható meg ilyen könnyen. Sőt, egy erőforráskészlet részeként több fizikai szerver is osztozhat egy virtuális futtatásában. A mobilitás ilyen mértéke előnyökkel, de biztonsági következményekkel is járhat, mely utóbbiak a mobil számítógépek és a dinamikus hálózati konfiguráció (DHCP) használatához hasonlítható kérdéseket vetnek fel. A statikus szabályrendszerek és más biztonsági eljárások könnyen használhatatlanná válhatnak. A mobilitás következménye az is, hogy rendkívül egyszerűen készíthető új példány, úgynevezett másolat egy virtuális gépről, ami elektronikus úton vagy adathordozón is egyszerűen hordozható, továbbítható. Nincs nagyméretű hardver, a védett számítógéptermek fizikai biztonsági oltalma alatt, ami feltűnik a kapunál a biztonsági szolgálatnak, az értéke viszont ugyanaz. Tehát a biztonsági rendszereknek rendelkezniük kell olyan képességekkel, amelyek lehetővé teszik azok több fizikai és virtuális környezetet lefedő, valamint környezetfüggő működését, ezáltal biztosítva a különböző biztonsági zónákban lévő mobil virtuális gépek feletti teljes ellenőrzést.

A hálózatok és a szerverek többé nem alkotnak két elkülönülő, jól körülhatárolt réteget az adatközpontban. A virtualizáció lehetővé teszi a fizikai switchek és egyéb hálózati eszközök által is nyújtott lehetőségekhez hasonló, kifinomult hálózati környezetek létrehozását a szerver fizikai határain belül. Így az adatközpont egy fizikai hálózati portja, amely korábban egyetlen szerverhez tartozott, most több tíz vagy akár száz virtuális szerverhez is tartozhat. Az egy fizikai szerveren üzemelő virtuális gépek közötti hálózati forgalom nem hagyja el a szervert, így nem is ellenőrizhető a fizikai hálózaton található hagyományos hálózatbiztonsági eszközökkel. Ezeket a vakfoltokat, különösen eltérő bizalmassági szintekhez tartozó virtuális gépek között, a virtuális infrastruktúrában működő, további védelmi rétegeket biztosító eszközökkel kell megfelelően védeni.

A feladatkörök szétválasztása és a lehető legkevesebb hozzáférés szabálya fontos biztonsági princípium. A szerverek és a hálózatok menedzselését általában külön rendszergazdák végzik, míg a biztonsági szakemberek mindkét csapattal együttműködve dolgoznak saját feladataikon. A virtualizáció megváltoztatta ezeket a természetes határvonalakat, mert mind a hálózat, mind a szerverek egy közös konzolból kezelhetők. Így meg kell határozni és világosan definiálni kell a pontos azonosítási és hozzáférési szabályokat, jogosultsági szinteket.

A virtualizáció bevezetésével újabb szoftverkód is bekerül a korábbiakon felül (menedzsmentkonzoloktól a hypervisorokig). Jelenleg a virtualizációs szoftverekhez kapcsolódóan feltárt sérülékenységek számának jelentős növekedése tapasztalható, ami a virtualizáció közkedveltté és elérhetővé válásából, valamint az x86-os virtualizáció relatív kiforratlanságából adódik. Ezek közül sok a virtualizációs szoftvercsomaghoz kapcsolt, egyéb, külső gyártóktól származó kódokhoz köthető, miközben a gyártók lépéseket tesznek a szoftvereik ujjlenyomatának és az ellenőrizetlen kódokhoz kapcsolódó függőségük csökkentése érdekében.
Új hozzászólás írásához előbb jelentkezz be!