Обмен файлами между Хостами и Гостями

· В случае совместного использования файлов, взломанный гость может получить доступ к узлу файловой системы и изменить каталоги, которые используются для обмена информацией.

· Когда общий доступ к буферу обмена и перетаскивание используются и гостем и хостом, или когда для программирования используется API, существенные ошибки в этих областях могут поставить под угрозу всю инфраструктуру.


4.2 Моментальные снимки

· Если вернуть исходные настройки моментальных снимков, любые изменения конфигурации будут потеряны. Если Вы меняли политику безопасности, то теперь возможно есть доступ к определенным функциям. Журналы аудита также могут быть потеряны, что исключит запись изменений, которые вы возможно сделали на сервере. Такие неудачные результаты могут сделать сложным соответствие требованиям.

· Изображения и снимки содержат конфиденциальные данные, такие как личные данные и пароли, в том же виде как эти данные хранятся на физическом жестком диске. Любые ненужные или дополнительные изображения могут действительно причинять проблемы. Все снимки, которые были сохранены с вредоносными программами, в будущем могут быть перезагружены и станут причиной хаоса.


4.3 Сетевое Хранение

· Оптоволоконный канал и iSCSI являются четкими текстовыми протоколами и могут быть уязвимы для атак типа «человек посередине» (*тип интернет-атак, при которых злоумышленник перехватывает канал связи, получая полный доступ к передаваемой информации *). Инструменты сниффинга могут использоваться для чтения или записи данных системы хранения и это может быть использовано для пересборки для удобства взломщика в будущем.

· Как правило, существует компромисс между производительностью оптоволоконного канала и его безопасностью. Можно использовать шифрование на адаптерах главной шины, используемое в реализации оптоволоконного канала, но во многих случаях это не используется из-за отрицательной производительности.


4.4. Гипервизор

· Если гипервизор находится под угрозой, то также будут под угрозой и все подключенные к нему ВМ, а конфигурация гипервизора по-умолчанию не всегда является самой надежной.

· Гипервизор управляет всем и обеспечивает единую точку сбоя в виртуальной среде. Любое нарушение может поставить под угрозу всю виртуальную среду.

· Голое железо гипервизоров обычно имеет встроенный контроль доступа, а виртуализация хоста (гипервизор помещается на физическую ОС сервера) — нет. Виртуализация хоста подвергает систему большим угрозам из-за наличия ОС.

· Администратор может сделать все что угодно на гипервизоре (у него есть «ключи от всех дверей»). Действия на гипервизоре обычно защищены паролем, но пароль можно легко передать и другому администратору. Так что Вы никогда не узнаете какой из администраторов выполнил определенное действие.

· Гипервизоры позволяют ВМ связываться друг с другом, и такое взаимодействие даже не переходит к физической сети. Это действует как частная сеть для виртуальных машин. Такой трафик не всегда можно увидеть, так как он выполняется гипервизором, и вы не можете защитить то, о существовании чего не знаете!


4.5 Виртуальные Машины

· Виртуальные машины имеют достаточно маленький размер и их просто скопировать на удаленный компьютер или портативное устройство хранения данных. Потеря данных на ВМ будет эквивалентна проникновению в дата-центр, минуя физическую безопасность, и воровству физического сервера.

· Установленные пользователями виртуальные машины не всегда соответствуют политике безопасности организации и могут не иметь какого-либо установленного ПО для безопасности. Пробные версии продуктов и игры в настоящее время предлагается для свободного пользования игроками на ВМ — их устанавливают, и такие ВМ могут стать частью корпоративной сети с возможными уязвимостями.

· Только что созданные ВМ обычно имеют открытые порты и множество доступных протоколов.

· Каждый раз при создании ВМ, добавляется другая ОС, которую необходимо защищать, патчить, обновлять и поддерживать. Дополнительная ОС с проблемами может увеличить общий риск.

· Неактивные ВМ или ВМ, которые больше не используются, все еще могут содержать важные данные — такие как верительные данные и информацию о конфигурации.

· Любая функциональность буфера обмена, которая позволяет делиться данными между ВМ и хостом, может стать точкой проникновения для вредоносных программ, которые затем будут перенесены на виртуальные машины.

· Не изолированные виртуальные машины могут иметь полный доступ к ресурсам хоста. Любой взлом ВМ может привести ко взлому всех ресурсов.

· Виртуальные машины могут быть созданы пользователями без уведомления IT-отдела организации. Если эти виртуальные машины не заметили, то они и не будут защищены.

· Заражение ВМ может привести к заражению хранилища данных, и другие виртуальные машины могут использовать эти же хранилища.

· Виртуальные машины могут расти очень быстро, и это может вызвать напряженность в системах безопасности. Если они не будут эффективно автоматизированы, увеличится бремя администратора в связи с установкой обновлений, исправлений, и т.д.

· Могут появиться зараженные виртуальные машины, заразить другие ВМ, а затем исчезнуть прежде, чем их заметили.


4.6 Разделение Обязанностей и Права Доступа Администратора

· В обычных физических сетях администраторы сервера занимаются управлением серверами, в то время как администраторы сети управляют сетями. Персонал службы безопасности обычно сотрудничает с обоими группами администраторов. В виртуальных средах, управление сервером и сетью может происходить на единой консоли управления и это ставит новые задачи для эффективного разделения обязанностей.

· По умолчанию многие системы виртуализации дают полный доступ ко всем действиям виртуальной инфраструктуры. Эти значения по умолчанию не всегда изменяются, и взлом доступа администратора может обеспечить полный контроль над виртуальной инфраструктурой.

· 4.7 Синхронизация Времени

· Часы виртуальной машины могут смещаться, и когда это сочетается со смещением показаний обычных часов, задачи могут выполняться слишком рано или поздно, что может привести к путанице в логах и потере точности данных. Неправильное отслеживание времени будет предоставлять недостаточно данных для любых будущих расследований.


4.8 Сети VLAN

· Использование VLAN требует маршрутизации трафика ВМ, например, с хоста до межсетевого экрана. Это может привести к задержкам и сложному устройству сети, что в дальнейшем вызовет проблемы с производительностью.

· Коммуникация внутри ВМ не защищена и не исследуется на VLAN. Также, если на одном и том же VLAN находятся несколько ВМ, распространение вредоносных программ с одной виртуальной машины на другую нельзя остановить.


4.9 Разделы
Считается, что когда на одном хосте запущено несколько виртуальных машин, они изолированы друг от друга и одна ВМ не может быть использована для атаки на другую. Технически, ВМ можно разделить, но разделы на ВМ делят ресурсы памяти, процессора и пропускную способность. Если определенный раздел потребляет слишком много одного из вышеуказанных ресурсов, к примеру, из-за вируса, на других разделах может появиться ошибка DoS.

Другие Вопросы

· Иногда, безопасность хранится в голове у персонала, занимающегося безопасностью, или же в контрольных таблицах. Если такой подход распространен в организации, то будет сложно поддерживать безопасность виртуализации в связи со скоростью создания ВМ, перемещений, и т.п.

· Виртуализация сильно основана на ПО, и это обеспечивает больше потенциальных уязвимостей ПО, которые могут быть использованы злоумышленниками.

· Виртуальные диски обычно хранятся на хосте как незащищенные файлы и получить к ним доступ очень просто — не нужно ничего взламывать.

· Рабочие нагрузки с различными уровнями доверия могут быть помещены на один и тот же сервер или vswitch, и безопасность этих рабочих нагрузок будет такой же высокой, как безопасность наименее защищенной нагрузки. Если на сервере находится чувствительная информация, это может быть небезопасно.

Несмотря на множество проблем, описанных выше, не стоит считать виртуализацию заведомо небезопасной — все зависит от развертывания и примененных мер безопасности. Слабая политика безопасности, а также отсутствие обучения, могут стать куда более веской причиной возникновения проблем и уязвимостей, что в свою очередь приведет к большому риску. Теперь, когда мы знаем о проблемах с безопасностью при использовании виртуализации, самое время взглянуть на типовые атаки.

ТИПОВЫЕ АТАКИ

Ниже приведены некоторые типы атак, типичные для виртуализации:
5.1 Отказ от Обслуживания (DoS)
Успешная DoS-атака может стать причиной выключения гипервизора. Это может привести к возможности добавить лазейку для доступа к ВМ в обход гипервизора.
5.2 Неконтролируемое перемещение между ВМ
Если в гипервизоре образуется дыра в безопасности и ее находят, пользователь, вошедший на ВМ, может перепрыгнуть на другую ВМ и получить доступ к хранящейся на ней информации.
5.3 Перехват трафика хоста
Уязвимости на гипервизоре позволяют отслеживать системные вызовы, файлы подкачки и следить за памятью и активностью дисков.

Наши рекомендации