Trendy v zabezpečení virtualizovaného prostředí

René Pospíšil, 06. říjen 2016 00:13 0 komentářů
Trendy v zabezpečení virtualizovaného prostředí

V současné době dochází ke značné migraci serverů z fyzického prostředí do cloudu, ať už jde o cloudy privátní nebo veřejné. Dochází k postupné virtualizaci kritické infrastruktury organizací z důvodu zvýšení efektivity správy IT a snížení samotných nákladů na provoz systémů. S tímto trendem je však nutné dbát i na fakt, že bezpečnostní řešení, která jsou jinak ve fyzickém prostředí efektivní a dostačující, nejsou přizpůsobena provozu v prostředí virtuálním.

Ochrana koncových bodů

Pokud se bavíme o tzv. ochraně koncových bodů, je využití klasického plného antimalwarového klienta velmi neefektivní a vyžaduje v datecentrech v obecném hledisku velké množství výpočetních zdrojů. Kromě toho dochází k duplicitám skenů a při současném stahování signatur či skenování jednotlivých strojů k „zamrznutí“ samotného hypervizoru, vznikají tak „antivirové bouře“.

Zastaralá je i ochrana pro VMware a Windows

Proto přicházejí výrobci v oblasti antimalwaru se specializovanými řešeními pro ochranu virtualizovaného prostředí. Většina z předních výrobců však používá pouze princip založený na využití rozhraní vShield u virtualizační platformy VMware vCenter.

Tento princip je bohužel z hlediska bezpečnosti návratem do období 90. Let, kdy jsme byli odkázáni čistě na skenování souborů. Paměť, procesy a registry nejsou tímto přístupem chráněny. Navíc vShield omezuje skenování souborů pouze v prostředí MS Windows. Dalším neduhem rozhraní vShield je, že má pouze jeden „host driver“, a tím pádem nelze docílit s vShield vysoké dostupnosti.

Multiplatformní řešení s lehkými agenty

Novějším a lepším trendem jsou řešení, která nabízí multiplatformní přístup s využitím tzv. lehkých agentů, které nabízejí nabízí plnou ochranu tak, jako tomu je u klasických agentů ve fyzickém prostředí, a navíc dokáží šetřit výpočetní zdroje samotného hypervisoru.

Takováto řešení přenášejí samotný proces skenování z lehkého klienta centrálně na speciální bezpečnostní virtuální appliance, instalované ve vysoké dostupnosti. Tyto security appliance jsou virtuální stroje, které jsou kompaktně upravené k bezpečnostním úlohám, a po jednoduché konfiguraci jsou ihned připravené k použití. Jelikož jsou již předinstalované, tak jsou také rychle nasaditelné.

Navíc tato specializovaná řešení dokáží deduplikovat skenovací procesy pomocí deduplikační globální keše. Lepší řešení pak ještě používají globální bezpečnostní síť k ochraně v reálném čase, imunizující výpočetní prostředí proti hrozbám známým či neznámým do několika sekund. Díky sdílené reputaci jednotlivých aplikací se pak vyloučí zbytečné mrhání výpočetním výkonem pro monitorování aplikací nebo procesů, které mají tzv. dobrou reputaci.

Díky takto vyladěné architektuře se pak dají významně ušetřit provozní náklady. Velmi důležitá je navíc i úspora za nepotřebné licence Windows Serveru a SQL databází, jelikož jsou takováto řešení postavena na Linuxu „hardended“ OS a databázi z dílny open source. Odpadá tak zároveň často zdlouhavá instalace softwaru třetích stran a jejich spravování a záplatování.

V neposlední řadě je důležitá i přímá integrace s hypervisory a díky jednoduché správě bezpečnostních pravidel je pak možné přímo načíst například infrastrukturu VCenter nebo třeba XenServer přímo do webového rozhraní správy. Ideální pak je, když řešení dovolí míchat více platforem VS/VDI, a zároveň i fyzickou infrastrukturu spravovat z jednoho webového rozhraní.

Útoky na datacentra a jejich odhalování

V drtivé většině všech útoků na datacentra hraje roli buď špionážní, nebo finanční motiv. Zajímavou informací je také fakt, že většina těchto útoků je odhalena až po půl roce jejich působení. Jde především o útoky, které mají za cíl převzít administrátorská práva nad daným virtuálním strojem a získat z něj informace, sabotovat systémy, ukrást identity apod.

Problémem většiny dosavadních řešení je, že útočník v případě průlomu často získává stejná práva jako administrátor, a pak útočí na samotné procesy antiviru aby ho vyřadil z provozu. Největší novou hrozbou jsou viry vytvořené za účelem kompromitovat bezpečnost celého hypervisoru, a jelikož je tento útočný kód často spuštěn na úrovni jádra, proto je tím pádem těžce odhalitelný a odstranitelný pro drtivou většinu dnešních antivirových řešení.

Nejmodernějším postupem ochrany proti takovýmto a dalším hrozbám je nahlížení do paměti, rozpoznání a blokace hrozby na úrovni analýzy paměti samotného hypervisoru; této nové metodě se říká HVI (Hypervisor Introspection).

Vyšší práva než útočník?

Představte si bezpečnostní řešení, které má vyšší práva než samotný útočník na jednotlivých strojích. Dokázali byste pak blokovat cílené útoky z pozice vyšší instance, která by byla navíc kompletně izolovaná od potenciálně infikovatelného prostoru hosta samotným hypervisorem.

Kam se ochrana virtualizovaných platforem ubírá, jsou tedy bezagentová řešení s minimálním vlivem na zdroje, které odchytává útoky na úrovni paměti samotného hypervisoru, a dále je schopné kontrolovat z této vrstvy paměť jednotlivých hostů z pohledu prostoru uživatelského a kernelu (jádra).

HVI tedy nahlíží do paměti přímo tam, kde se útočný kód nemůže skrýt ani bránit. A z bezpečné, pro útočníka neviditelné úrovně, pak odstraní známé či neznámé hrozby ve všech variantách, a to dokonce i bez znalosti toho, jakou konkrétní zranitelnost útočník využil. Jde o zcela novou bezpečnostní vrstvu, která může koexistovat s libovolným EPP řešením, a která ochrání uživatele proti prolomení přístupů do jeho Infrastruktury.

René Pospíšil působí jako Security Strategist ve společnosti Bitdefender.cz


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Starší zprávičky

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů