hakiranje i sigurnost vmware virtualnih mašina
DESCRIPTION
Hakiranje i sigurnost VMware virtualnih mašina. dipl . ing. Dejan Grubić S&T Hrvatska d.o.o. Partneri. Medijski pokrovitelji. Sadržaj predavanja. Kako virtualizacija utječe na sigurnost Kako zaštititi virtualno okruženje Prednosti virtualizacije sa stajališta sigurnosti - PowerPoint PPT PresentationTRANSCRIPT
Sadržaj predavanja
• Kako virtualizacija utječe na sigurnost
• Kako zaštititi virtualno okruženje
• Prednosti virtualizacije sa stajališta sigurnosti
• Sigurnosna strategija Vmware-a• VMware vShield Zones• VMware VMsafe™
Kako virtualizacija utječe na sigurnost
Konsolidacija
↑ Smanjenje troškova↓ Novi sloj koji treba osigurati↓ Veći utjecaj napada ili loše konfiguracije
Konvergencija servera i mrežnih switch-eva unutar istog uređaja
↑ Fleksibilnost↑ Smanjenje troškova↓ Smanjena kontrola i nadzor mreže↓ Nema odvojene administracije
Kako virtualizacija utječe na sigurnost
Mobilnost
↑ Poboljšano održavanje
↓ Nepovezanost s fizičkom lokacijom
Brža implementacija servera
↑ Brži odziv IT-a na potrebe Bussines-a
↓ Neusklađenost konfiguracija
↓ Nedovoljno definirane procedure
Objedinjavanje
↑ Poboljšana dostupnost usluge
↑ Neovisnost o Hardware-u
↑ Usklađenost implementacije
↓ Zastarjelost offline sustav
Kako zaštititi virtualno okruženje• Izolacija mreže za menadžment• Onemogućiti sve nepotrebne servise• Stroga kontrola pristupa• Redovna nadogradnja sustava• Ista razina zaštite za virtualne strojeve kao i za
fizičke (Patch-iranje, Anti-virus, Firewall ...)
Prednosti virtualizacije sa stajališta sigurnosti
• Jednostavno održavanje (upotreba snapshot-a i clone-ova)
• Jednostavan oporavak (vraćanje zadnjeg dobrog backup-a, vraćanje na zadnji dobar snapshot)
• Mogućnost forenzike (jednostavna izolacija napadnutog stroja)
Sigurnosna strategija Vmware-a
Nova platforma s pojačanom sigurnošću
Strategija
Thin-hypervisor-a
Integracija VMware-ovih produkata u postojeće operativne politike
Omogućavanje globalne sigurnosti za svaki virtualni stroj unutar okruženja
Samo-konfigurirajuća sigurnosna infrastrukturaUtjecaj na sigurnost pomoću prednosti VMware-ovih tehnologijaFokus na produkte i operacije
Sigurnost platforme Operativna sigurnostSigurnosni virtualni Appliance-i
Bolje od fizičkog:
Prilagodljiva sigurnosna infrastruktura
.OVF
VMware vShield ZonesMogućnosti• Bridge, firewall ili izolacija VM
zona bazirano na VI kontejnerima• Monitoriranje dozvoljenih i
nedozvoljenih aktivnosti bazirano na aplikacijskim protokolima
• Blokiranje mrežnog prometa
Prednosti Rasprostranjeno: dobro definirane
sigurnosne postavke za promet između virtualnih strojeva bilo gdje unutar virtualnog okruženja
Postojano: monitoriranje i sigurne politike za cijeli životni vijek virtualnih strojeva uključujući VMotion migraciju
Jednostavno: Zonski bazirana pravila za smanjenje grešaka
VMware vShield Zones atrhitektura
VMwarevCenter
VMwarevShield
ManagerVMware ESX
vShield
VMware ESX
vShield
VMware ESX
vShield
•vShield Host Gateway Monitoriranje virtualne
mreže Firewall za virtualne mreže Transparentno upravljanje
•vShield Manager Centralizirani nadzor Centralizirano kreiranje
politika Web bazirano sučelje
VMware vShield Zones prednosti•Centralizirano upravljanje Firewall-ima•Hijerarhijska struktura – Pravila na razini DC-a automatski se propagiraju na cluster i VLAN-ove te na virtualne strojeve.•Kontejnerski temeljen pristup – članovi istog kontejnera određuju se kao u vCenter-u. •Application-aware firewall – pokriva široki spektar protokola kao što su Windows RPC, Oracle TNS, FTP. Jednostavno otvaranje i zatvaranje dinamičkih portova u VM Wall-u prema zahtjevima.•VMotion-safe – vShield komunicira unutar Cluster-a kako bi omogućio neprekinutu sesiju bez ugrožavanja sigurnosti.
VMware VMsafe™ - zaštita aplikacija
ESX
VMsafe
ESX with VMsafe
•VMsafe API partnerski program– Zaštita virtualnih strojeva nadzorom
virtualnih komponenti (CPU, memorija, mreža i diskovi)• Odvija se izvan virtualnih strojeva • Potpuna integracija i svijest o VMotion-u,
Storage VMotion-u, HA …• Temeljne promjene u raspoloživoj zaštiti za
virtualne strojeve na VMware virtualnoj infrastrukturi u odnosu na fizičke strojeve
– Pruža neviđenu razinu sigurnosti – “Virtualno je sigurnije od fizičkog”
VMsafe™ APIs
Nadzor CPU-a/Memorije• Nadzor konkretne memorijske lokacije koja je korištena od strane virtualnog stroja ili
aplikacija• Spoznaja o statusu CPU-a• Provedba politike kroz raspodjelu resursa procesora i memorije
API-i za sve hardware-ske komponente virtualnih strojeva
Mreža• Nadzor cijelog prometa na hostu• Sposobnost za presretanje, pregled, promjenu i repliciranje IO prometa s bilo kojeg ili
svih virtualnih strojeva na jednom hostu.
Diskovi• Sposobnost za mount-anje i čitanje virtualnih diskova (VMDK)• Nadzor IO read/writes zahtjeva prema diskovima