V současné době dochází ke značné migraci serverů z fyzického prostředí do cloudu, ať už jde o cloudy privátní nebo veřejné. Dochází k postupné virtualizaci kritické infrastruktury organizací z důvodu zvýšení efektivity správy IT a snížení samotných nákladů na provoz systémů. S tímto trendem je však nutné dbát i na fakt, že bezpečnostní řešení, která jsou jinak ve fyzickém prostředí efektivní a dostačující, nejsou přizpůsobena provozu v prostředí virtuálním.
Ochrana koncových bodů
Pokud se bavíme o tzv. ochraně koncových bodů, je využití klasického plného antimalwarového klienta velmi neefektivní a vyžaduje v datecentrech v obecném hledisku velké množství výpočetních zdrojů. Kromě toho dochází k duplicitám skenů a při současném stahování signatur či skenování jednotlivých strojů k „zamrznutí“ samotného hypervizoru, vznikají tak „antivirové bouře“.
Zastaralá je i ochrana pro VMware a Windows
Proto přicházejí výrobci v oblasti antimalwaru se specializovanými řešeními pro ochranu virtualizovaného prostředí. Většina z předních výrobců však používá pouze princip založený na využití rozhraní vShield u virtualizační platformy VMware vCenter.
Tento princip je bohužel z hlediska bezpečnosti návratem do období 90. Let, kdy jsme byli odkázáni čistě na skenování souborů. Paměť, procesy a registry nejsou tímto přístupem chráněny. Navíc vShield omezuje skenování souborů pouze v prostředí MS Windows. Dalším neduhem rozhraní vShield je, že má pouze jeden „host driver“, a tím pádem nelze docílit s vShield vysoké dostupnosti.
Multiplatformní řešení s lehkými agenty
Novějším a lepším trendem jsou řešení, která nabízí multiplatformní přístup s využitím tzv. lehkých agentů, které nabízejí nabízí plnou ochranu tak, jako tomu je u klasických agentů ve fyzickém prostředí, a navíc dokáží šetřit výpočetní zdroje samotného hypervisoru.
Takováto řešení přenášejí samotný proces skenování z lehkého klienta centrálně na speciální bezpečnostní virtuální appliance, instalované ve vysoké dostupnosti. Tyto security appliance jsou virtuální stroje, které jsou kompaktně upravené k bezpečnostním úlohám, a po jednoduché konfiguraci jsou ihned připravené k použití. Jelikož jsou již předinstalované, tak jsou také rychle nasaditelné.
Navíc tato specializovaná řešení dokáží deduplikovat skenovací procesy pomocí deduplikační globální keše. Lepší řešení pak ještě používají globální bezpečnostní síť k ochraně v reálném čase, imunizující výpočetní prostředí proti hrozbám známým či neznámým do několika sekund. Díky sdílené reputaci jednotlivých aplikací se pak vyloučí zbytečné mrhání výpočetním výkonem pro monitorování aplikací nebo procesů, které mají tzv. dobrou reputaci.
Díky takto vyladěné architektuře se pak dají významně ušetřit provozní náklady. Velmi důležitá je navíc i úspora za nepotřebné licence Windows Serveru a SQL databází, jelikož jsou takováto řešení postavena na Linuxu „hardended“ OS a databázi z dílny open source. Odpadá tak zároveň často zdlouhavá instalace softwaru třetích stran a jejich spravování a záplatování.
V neposlední řadě je důležitá i přímá integrace s hypervisory a díky jednoduché správě bezpečnostních pravidel je pak možné přímo načíst například infrastrukturu VCenter nebo třeba XenServer přímo do webového rozhraní správy. Ideální pak je, když řešení dovolí míchat více platforem VS/VDI, a zároveň i fyzickou infrastrukturu spravovat z jednoho webového rozhraní.
Útoky na datacentra a jejich odhalování
V drtivé většině všech útoků na datacentra hraje roli buď špionážní, nebo finanční motiv. Zajímavou informací je také fakt, že většina těchto útoků je odhalena až po půl roce jejich působení. Jde především o útoky, které mají za cíl převzít administrátorská práva nad daným virtuálním strojem a získat z něj informace, sabotovat systémy, ukrást identity apod.
Problémem většiny dosavadních řešení je, že útočník v případě průlomu často získává stejná práva jako administrátor, a pak útočí na samotné procesy antiviru aby ho vyřadil z provozu. Největší novou hrozbou jsou viry vytvořené za účelem kompromitovat bezpečnost celého hypervisoru, a jelikož je tento útočný kód často spuštěn na úrovni jádra, proto je tím pádem těžce odhalitelný a odstranitelný pro drtivou většinu dnešních antivirových řešení.
Nejmodernějším postupem ochrany proti takovýmto a dalším hrozbám je nahlížení do paměti, rozpoznání a blokace hrozby na úrovni analýzy paměti samotného hypervisoru; této nové metodě se říká HVI (Hypervisor Introspection).
Vyšší práva než útočník?
Představte si bezpečnostní řešení, které má vyšší práva než samotný útočník na jednotlivých strojích. Dokázali byste pak blokovat cílené útoky z pozice vyšší instance, která by byla navíc kompletně izolovaná od potenciálně infikovatelného prostoru hosta samotným hypervisorem.
Kam se ochrana virtualizovaných platforem ubírá, jsou tedy bezagentová řešení s minimálním vlivem na zdroje, které odchytává útoky na úrovni paměti samotného hypervisoru, a dále je schopné kontrolovat z této vrstvy paměť jednotlivých hostů z pohledu prostoru uživatelského a kernelu (jádra).
HVI tedy nahlíží do paměti přímo tam, kde se útočný kód nemůže skrýt ani bránit. A z bezpečné, pro útočníka neviditelné úrovně, pak odstraní známé či neznámé hrozby ve všech variantách, a to dokonce i bez znalosti toho, jakou konkrétní zranitelnost útočník využil. Jde o zcela novou bezpečnostní vrstvu, která může koexistovat s libovolným EPP řešením, a která ochrání uživatele proti prolomení přístupů do jeho Infrastruktury.
René Pospíšil působí jako Security Strategist ve společnosti Bitdefender.cz
