TOP

KYBEZ

Trendy v zabezpečení virtualizovaného prostředí

Trendy v zabezpečení virtualizovaného prostředí

V současné době dochází ke značné migraci serverů z fyzického prostředí do cloudu, ať už se jedná o privátní nebo veřejné cloudy. Dochází k postupné virtualizaci kritické infrastruktury organizací z důvodu zvýšení efektivity správy IT a snížení samotných nákladů na provoz systémů. S tímto trendem je však nutné dbát i na fakt, že bezpečnostní řešení, které jsou jinak ve fyzickém prostředí efektivní a dostačující, nejsou přizpůsobeny provozu v tom virtuálním. Pokud se bavíme o tzv. ochraně koncových bodů, je využití klasického plného antimalwarového klienta velmi neefektivní a vyžaduje v obecném hledisku velké množství výpočetních zdrojů v datecentrech. Kromě toho dochází k duplicitám skenů a při současném stahování signatur čí skenování jednotlivých strojů k „zamrznutí“ samotného hypervizoru, vznikají tak „antivirové bouře“.

 

Proto přichází výrobci v oblasti antimalware ochrany se specializovanými řešeními pro ochranu virtualizovaného prostředí. Většina z předních výrobců však používá pouze princip založený na využití rozhraní vShield u virtualizační platformy Vmware vCenter. Tento princip je bohužel návratem z hlediska bezpečnosti do období 90tých let kdy jsme byli odkázání čistě na skenování souborů. Pamět, procesy a registry nejsou tímto přístupem chráněny. Navíc vShield omezuje skenování souborů pouze na MS Windows . Dalším neduhem vShield rozhraní je  , že má pouze jeden „host driver“  a tím pádem nelze  docílit s vShield vysoké dostupnosti.

Novějším a lepším trendem jsou řešení , která nabízí multiplatformní přístup s využitím tzv. lehkých agentů, kteří nabízí plnou ochranu tak jako tomu je u klasických agentů ve fyzickém prostředí  a navíc dokáží šetřit výpočetní zdroje samotného hypervisoru. Takováto řešení přenáší  samotný proces skenování  z lehkého klienta centrálně na  speciální bezpečnostní  virtuální appliance  instalované ve vysoké dostupnosti. Tyto Security Appliance jsou virtuální stroje, které jsou kompaktně upravené k bezpečnostním úlohám a po jednoduché konfiguraci jsou ihned připravené k použití. Jelikož jsou již předinstalované, tak jsou také rychle nasaditelné .  Navíc dokážou tyto specializované řešení  deduplikovat skenovací procesy pomocí deduplikační globální keše. Lepší řešení pak používají globální bezpečnostní síť, k  ochraně v reálném čase imunizující proti hrozbám známým či neznámým do několika sekund. Díky sdílené reputaci jednotlivých aplikací se pak vyloučí zbytečné mrhání  výpočetním výkonem pro monitorování aplikací nebo procesů, které mají dobrou reputaci. Díky takto vyladěné  architektuře se pak dají významně ušetřit provozní náklady. Velmi důležitá je pak navíc úspora za nepotřebné licence Windows Serveru a SQL databází, jelikož jsou takováto řešení postavena na Linuxu „hardended“ OS a  opensource DB. Odpadá tak zároveň často zdlouhavá instalace software třetích stran a jejich spravování a záplatování.  V neposlední řadě je důležitá přímá integrace s  hypervisory po stránce jednoduché správy bezpečnostních pravidel je pak možné přímo načíst například VCenter nebo třeba XenServer infrastrukturu přímo do webového rozhraní správy. Ideální je pak když řešení dovolí míchat více VS/VDI platforem a zároveň i fyzickou infrastrukturu spravovat v rámci jednoho webového rozhraní.

                V drtivé většině všech útoků na datacentra hraje roli buď špionážní, nebo finanční motiv. Zajímavou informací je také fakt, že většina těchto útoků je odhalena až po půl roce jejich působení.  Jedná se především o útoky, které mají za cíl převzít administrátorská práva nad daným virtuálním strojem a získat z něj informace, sabotovat systémy, ukrást identity. Problémem většiny dosavadních řešení je, že  útočník v případě průlomu často získává stejná práva jako administrátor a pak útočí na samotné procesy antiviru, aby ho vyřadil z provozu. Největší novou hrozbou jsou viry vytvořené za účelem kompromitovat bezpečnost celého hypervisoru a jelikož je tento útočný kód  často spuštěn na úrovni jádra, tak je tím pádem těžce odhalitelný a odstranitelný  pro drtivou většinu dnešních antivirových řešení. Nejmodernějším postupem ochrany  proti takovýmto a dalším hrozbám je  nahlížení  do paměti , rozpoznání a blokace  hrozby na úrovni analýzy paměti samotného hypervisoru , této nové metodě se říká  HVI (Hypervisor Introspection).

Představte si bezpečnostní řešení, které má vyšší práva než samotný útočník na jednotlivých strojích. Dokázali byste pak blokovat cílené útoky z pozice vyšší instance, která by byla navíc kompletně izolovaná od potencionálně infikovatelného prostoru hosta samotným hypervisorem.  Kam se ochrana virtualizovaných platforem ubírá jsou tedy  bezagentová řešení s minimálním vlivem na zdroje, které  odchytává útoky na úrovni paměti samotného hypervisoru a je schopné kontrolovat  z této vrstvy paměť jednotlivých hostů z pohledu prostoru uživatelského a kernelu (jádra). HVI tedy nahlíží do paměti přímo tam, kde se útočný  kód nemůže skrýt ani bránit. A z bezpečné pro útočníka neviditelné úrovně pak odstraní známé či neznámé hrozby ve všech variantách a to dokonce i bez znalosti toho jakou konkrétní zranitelnost útočník využil. Je to zcela nová bezpečnostní vrstva která může koexistovat s libovolným EPP řešením a která vás ochrání proti unesení přístupů do vaší Infrastruktury.

René Pospíšil, Security Strategist, Bitdefender.cz