Безопасность и виртуализация

Опубликовано: 10 Апреля, 2023

По мере того, как мир виртуализации движется вперед, организации сталкиваются с вескими причинами для виртуализации: такие факторы, как консолидация серверов, высокие счета за электроэнергию, более быстрое оборудование, простота использования и технология быстрого создания моментальных снимков делают область виртуальных вычислений более привлекательной.


В некоторых организациях виртуализация уже стала значительной частью инфраструктуры. В очередной раз технологии превзошли лучшие практики безопасности. Это не обязательно так, поскольку многие компании ускоряют процесс виртуализации.


Виртуальные среды становятся все более популярными в качестве решений для аварийного восстановления и обеспечения непрерывности бизнеса, особенно в финансовой отрасли. Это важно, потому что некоторые из этих решений находятся в полуживой среде и обычно забываются в процессе обновления и защиты.


Рассмотрим подводные камни при работе с виртуализированными средами.



  • Если хост скомпрометирован, можно отключить клиентские серверы, размещенные на основном хост-компьютере.
  • Если виртуальная сеть скомпрометирована, клиент также скомпрометирован.
  • Общие ресурсы клиента и хоста должны быть защищены, поскольку эти общие ресурсы могут быть использованы в обоих экземплярах. Потенциально это может привести к копированию файлов в общую папку, которая заполнит диск.
  • Если на хост-компьютере возникла проблема, все виртуальные машины завершают работу.
  • Виртуальные машины часто воспринимаются как машины второго сорта, хотя на самом деле они имеют схожие черты и работают аналогично физическим машинам. В ближайшие несколько лет будет мало различий между виртуальными и физическими машинами.
  • Наименьшие привилегии — это техника, о которой, кажется, забывают, когда речь идет о сфере виртуализации. Этот метод уменьшает площадь поверхности атаки и должен использоваться как в физической, так и в виртуальной среде.

Что вы можете сделать, чтобы лучше защитить свою виртуальную серверную среду



  • Обновите свои операционные системы и приложения; это должно быть сделано на всех виртуальных машинах и на хосте. Хост-приложения должны быть сведены к абсолютному минимуму, устанавливайте только то, что вам нужно.
  • Защитите каждую виртуальную машину друг от друга, это, в свою очередь, изолирует каждую виртуальную машину друг от друга и обеспечит транзакцию только разрешенных протоколов.
  • Изолируйте каждую виртуальную машину друг от друга и от хоста: изоляцию следует рассматривать всеми возможными способами.
  • Установите и обновите антивирус на виртуальных машинах и хосте. Виртуальные машины могут быть заражены вирусами и червями так же, как и физические машины.
  • Используйте IPSEC или надежное шифрование между хостом и виртуальными машинами: трафик между виртуальными машинами и хост-машиной может быть перехвачен и скомпрометирован. Поставщики делают это менее вероятным, но на момент написания этой статьи это остается реальной угрозой. Передовая практика по-прежнему требует, чтобы связь между машинами была зашифрована.
  • Не выходите в Интернет с хост-компьютера, заражение, вызванное шпионскими и вредоносными программами, все еще возможно на хост-компьютере. Помните, что хост-машины управляют виртуальными машинами, и проблемы, возникающие на хостах виртуальных машин, могут привести к серьезным проблемам и возможному простою или потере обслуживания.
  • Защитите учетные записи администратора и администратора на главном компьютере: доступ к учетным записям с повышенными правами неавторизованными пользователями может привести к серьезным нарушениям безопасности. Исследования показали, что учетная запись администратора (root) на хост-компьютере значительно менее безопасна по сравнению с учетными записями и паролями виртуальной машины или физического сетевого компьютера. Помните, что ваша безопасность так же надежна, как и ваша самая слабая точка входа.
  • Усильте операционную систему хоста, остановите и отключите ненужные службы. Сохранение тонкости операционной системы гарантирует, что площадь поверхности атаки будет уменьшена.
  • Отключите неиспользуемые виртуальные машины, если они вам не нужны, не запускайте их.
  • Включите виртуальные машины в политику безопасности предприятия, ведь они машины, даже если они виртуальные.
  • Защитите хост-компьютер, чтобы гарантировать, что когда виртуальные машины находятся в автономном режиме, неавторизованные пользователи не смогут изменить файл виртуальной машины.
  • Отдайте предпочтение решениям, которые изолируют процессы, таким как реализация типа Hyper Visor, эти системы дополнительно изолируют и лучше защищают среду.
  • Убедитесь, что драйверы хоста обновлены: это гарантирует, что ваше оборудование работает с оптимальной скоростью, но, что еще лучше, последняя итерация программного обеспечения гарантирует, что старые недостатки в программном обеспечении драйвера, которые могут быть использованы и потенциально могут привести к отказу в обслуживании, будут уменьшены.
  • Отключите технологию аппаратного порта для каждой виртуальной машины, если она не используется: такие технологии, как USB, должны быть отключены для каждой виртуальной машины, если среда виртуальной машины не использует технологию порта.
  • Отслеживайте журнал событий и события безопасности как на хост-компьютере, так и на виртуальной машине. Мониторинг часто упускается из виду в виртуальных средах, причина, возможно, связана с мониторингом на основе хоста, предлагаемым программным обеспечением для виртуализации. Эти журналы должны храниться в вашем хранилище журналов, чтобы лучше защитить их и в целях аудита на более позднем этапе.
  • В будущем выберите флэш-память программного обеспечения гипервизора, магнитные носители не только устарели, но и привлекают уязвимости безопасности, которым препятствует использование флэш-технологии.
  • Ограничьте и уменьшите совместное использование аппаратных ресурсов. Безопасность и совместное использование ресурсов несовместимы. Утечка данных и остаточные данные — одна из немногих проблем, которые возникают, но DoS может возникнуть, когда ресурсы совместно используются и блокируются чередующимися виртуальными машинами. В силу того, что виртуальные машины совместно используют процессор, оперативную память, жесткий диск и другие ресурсы. Управляйте этими ресурсами консервативно и следуйте рекомендациям по безопасности, чтобы обеспечить доступность службы.
  • По возможности убедитесь, что сетевые карты выделены для каждой виртуальной машины. Опять же, это устраняет проблему совместного использования ресурсов и обеспечивает некоторую изоляцию трафика, исходящего и предназначенного для виртуальной машины.
  • Инвестируйте в аппаратное обеспечение, которое соответствует назначению и поддерживает виртуальные машины. Аппаратное обеспечение, не предназначенное для поддержки виртуальных машин, использует технические реализации мер безопасности, разделяющих ресурсы; это, в свою очередь, имеет последствия для безопасности.
  • Разделы создают границы дисков, которые можно использовать для разделения и защиты каждой виртуальной машины в выделенном разделе. Если размер виртуальной машины выходит за пределы обычных пределов, выделенные разделы ограничат влияние на другие виртуальные машины.
  • Убедитесь, что виртуальные машины не могут подключаться друг к другу, если они не нуждаются во взаимном соединении. Изоляция сети важна, как обсуждалось ранее. Для обмена данными между виртуальными машинами используйте отдельную сетевую карту в другом диапазоне сетевых адресов, это более безопасно, чем передача трафика между виртуальными машинами по «открытым» сетям.
  • Network Access Control NAC приближается к узлу виртуальной машины рядом с вами. Это особенно верно для серверов виртуальных машин на основе устройств, если эта функция может быть включена, правильно реализованный NAC может продолжаться.
  • Строго управляйте удаленным доступом к виртуальным машинам и особенно к хост-компьютеру, это снизит вероятность заражения.
  • Помните, что хост-компьютер представляет собой единую точку отказа, а такие технологии, как репликация и непрерывность, помогают снизить этот риск.
  • Избегайте совместного использования IP-адресов, опять же, это типично для совместного использования ресурса и приведет к проблемам и уязвимостям.

Начинает казаться, что виртуализация не так проста, как мы когда-то думали, поскольку теперь также необходимы многие соображения физической безопасности; кроме того, технология создает новые виртуальные проблемы, которые необходимо решать.


Вывод


Технология монолитных виртуальных машин быстро подходит к концу по мере выпуска передовых технологий, таких как Hyper Visor. Эти технологии лучше с точки зрения безопасности и производительности, поэтому имеет смысл отдавать предпочтение таким реализациям. Безопасность виртуальных машин — это инвестиция, которую необходимо сделать. Если ваша организация считает, что стоимость слишком высока, возможно, лучше придерживаться физических машин, но помните, что они также должны быть защищены.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023