Trendy v zabezpečení virtualizovaného prostředí

René Pospíšil, 06. říjen 2016 00:13 0 komentářů
Trendy v zabezpečení virtualizovaného prostředí

V současné době dochází ke značné migraci serverů z fyzického prostředí do cloudu, ať už jde o cloudy privátní nebo veřejné. Dochází k postupné virtualizaci kritické infrastruktury organizací z důvodu zvýšení efektivity správy IT a snížení samotných nákladů na provoz systémů. S tímto trendem je však nutné dbát i na fakt, že bezpečnostní řešení, která jsou jinak ve fyzickém prostředí efektivní a dostačující, nejsou přizpůsobena provozu v prostředí virtuálním.

Ochrana koncových bodů

Pokud se bavíme o tzv. ochraně koncových bodů, je využití klasického plného antimalwarového klienta velmi neefektivní a vyžaduje v datecentrech v obecném hledisku velké množství výpočetních zdrojů. Kromě toho dochází k duplicitám skenů a při současném stahování signatur či skenování jednotlivých strojů k „zamrznutí“ samotného hypervizoru, vznikají tak „antivirové bouře“.

Zastaralá je i ochrana pro VMware a Windows

Proto přicházejí výrobci v oblasti antimalwaru se specializovanými řešeními pro ochranu virtualizovaného prostředí. Většina z předních výrobců však používá pouze princip založený na využití rozhraní vShield u virtualizační platformy VMware vCenter.

Tento princip je bohužel z hlediska bezpečnosti návratem do období 90. Let, kdy jsme byli odkázáni čistě na skenování souborů. Paměť, procesy a registry nejsou tímto přístupem chráněny. Navíc vShield omezuje skenování souborů pouze v prostředí MS Windows. Dalším neduhem rozhraní vShield je, že má pouze jeden „host driver“, a tím pádem nelze docílit s vShield vysoké dostupnosti.

Multiplatformní řešení s lehkými agenty

Novějším a lepším trendem jsou řešení, která nabízí multiplatformní přístup s využitím tzv. lehkých agentů, které nabízejí nabízí plnou ochranu tak, jako tomu je u klasických agentů ve fyzickém prostředí, a navíc dokáží šetřit výpočetní zdroje samotného hypervisoru.

Takováto řešení přenášejí samotný proces skenování z lehkého klienta centrálně na speciální bezpečnostní virtuální appliance, instalované ve vysoké dostupnosti. Tyto security appliance jsou virtuální stroje, které jsou kompaktně upravené k bezpečnostním úlohám, a po jednoduché konfiguraci jsou ihned připravené k použití. Jelikož jsou již předinstalované, tak jsou také rychle nasaditelné.

Navíc tato specializovaná řešení dokáží deduplikovat skenovací procesy pomocí deduplikační globální keše. Lepší řešení pak ještě používají globální bezpečnostní síť k ochraně v reálném čase, imunizující výpočetní prostředí proti hrozbám známým či neznámým do několika sekund. Díky sdílené reputaci jednotlivých aplikací se pak vyloučí zbytečné mrhání výpočetním výkonem pro monitorování aplikací nebo procesů, které mají tzv. dobrou reputaci.

Díky takto vyladěné architektuře se pak dají významně ušetřit provozní náklady. Velmi důležitá je navíc i úspora za nepotřebné licence Windows Serveru a SQL databází, jelikož jsou takováto řešení postavena na Linuxu „hardended“ OS a databázi z dílny open source. Odpadá tak zároveň často zdlouhavá instalace softwaru třetích stran a jejich spravování a záplatování.

V neposlední řadě je důležitá i přímá integrace s hypervisory a díky jednoduché správě bezpečnostních pravidel je pak možné přímo načíst například infrastrukturu VCenter nebo třeba XenServer přímo do webového rozhraní správy. Ideální pak je, když řešení dovolí míchat více platforem VS/VDI, a zároveň i fyzickou infrastrukturu spravovat z jednoho webového rozhraní.

Útoky na datacentra a jejich odhalování

V drtivé většině všech útoků na datacentra hraje roli buď špionážní, nebo finanční motiv. Zajímavou informací je také fakt, že většina těchto útoků je odhalena až po půl roce jejich působení. Jde především o útoky, které mají za cíl převzít administrátorská práva nad daným virtuálním strojem a získat z něj informace, sabotovat systémy, ukrást identity apod.

Problémem většiny dosavadních řešení je, že útočník v případě průlomu často získává stejná práva jako administrátor, a pak útočí na samotné procesy antiviru aby ho vyřadil z provozu. Největší novou hrozbou jsou viry vytvořené za účelem kompromitovat bezpečnost celého hypervisoru, a jelikož je tento útočný kód často spuštěn na úrovni jádra, proto je tím pádem těžce odhalitelný a odstranitelný pro drtivou většinu dnešních antivirových řešení.

Nejmodernějším postupem ochrany proti takovýmto a dalším hrozbám je nahlížení do paměti, rozpoznání a blokace hrozby na úrovni analýzy paměti samotného hypervisoru; této nové metodě se říká HVI (Hypervisor Introspection).

Vyšší práva než útočník?

Představte si bezpečnostní řešení, které má vyšší práva než samotný útočník na jednotlivých strojích. Dokázali byste pak blokovat cílené útoky z pozice vyšší instance, která by byla navíc kompletně izolovaná od potenciálně infikovatelného prostoru hosta samotným hypervisorem.

Kam se ochrana virtualizovaných platforem ubírá, jsou tedy bezagentová řešení s minimálním vlivem na zdroje, které odchytává útoky na úrovni paměti samotného hypervisoru, a dále je schopné kontrolovat z této vrstvy paměť jednotlivých hostů z pohledu prostoru uživatelského a kernelu (jádra).

HVI tedy nahlíží do paměti přímo tam, kde se útočný kód nemůže skrýt ani bránit. A z bezpečné, pro útočníka neviditelné úrovně, pak odstraní známé či neznámé hrozby ve všech variantách, a to dokonce i bez znalosti toho, jakou konkrétní zranitelnost útočník využil. Jde o zcela novou bezpečnostní vrstvu, která může koexistovat s libovolným EPP řešením, a která ochrání uživatele proti prolomení přístupů do jeho Infrastruktury.

René Pospíšil působí jako Security Strategist ve společnosti Bitdefender.cz


Komentáře

RSS 

Komentujeme

Vládní čtvrť a vládní systém, tedy ten informační

Petr Zavoral , 06. leden 2018 16:15
Petr Zavoral

Jeden ze zakladatelů enterprise architektury John Zachman srovnává IT v institucích s Boeingem: Firm...

Více








RSS 

Zprávičky

Richemont nabízí 2,8 miliardy eur za zbytek internetového prodejce YNAP

ČTK , 22. leden 2018 13:21

Nabídka ohodnocuje YNAP na 5,3 miliardy eur. Spotřebitelé si zvykli kupovat přes internet i dražší z...

Více 0 komentářů

Operátor ICT chystá vznik celopražského úložiště dat

ČTK , 22. leden 2018 12:51

Na platformu budou napojeny různé senzory, např. chytré lampy. Shromažďována budou data ze záchytnýc...

Více 0 komentářů

Amazon otevírá obchod bez pokladen

ČTK , 22. leden 2018 08:00

Shora sledují kupující černé kamery a v policích jsou umístěné snímače hmotnosti....

Více 0 komentářů

Starší zprávičky

Evropská komise: Apple dál dluží Irsku 16 miliard USD, nehledě na platby v USA

ČTK , 21. leden 2018 08:00

Firma využije novou daňovou legislativu, do USA převede ze zahraničí peníze a zaplatí pak na daních ...

Více 0 komentářů

Kampaň Dark Caracal prý vede k libanonské rozvědce

ČTK , 20. leden 2018 14:24

Spyware se tváří jako oblíbené komunikační aplikace WhatsApp a Signal pro Android a Windows....

Více 2 komentářů

Google bude sdílet patenty s čínskou firmou Tencent

ČTK , 20. leden 2018 08:00

Google loni v Číně otevřel výzkumné centrum umělé inteligence, samotný vyhledávač ale čínské úřady b...

Více 0 komentářů

Eni má nejvýkonnější průmyslový počítač na světě

ČTK , 19. leden 2018 10:00

Po čtyřnásobném zvýšení výpočetního výkonu je počítač schopen provést až 22,4 kvadrilionů operací za...

Více 0 komentářů