securitatea virtualizarii

59

Upload: tudor-damian

Post on 24-May-2015

1.087 views

Category:

Technology


4 download

DESCRIPTION

Prezentarea exploreaza atat modalitati prin care putem securiza mediile virtualizate, cat si moduri prin care putem folosi virtualizarea pentru a spori securitatea infrastructurii IT existente, de la crearea de ”honeypots” sau ”application sandboxing”, pana la izolarea rolurilor pe servere.

TRANSCRIPT

Page 1: Securitatea virtualizarii
Page 2: Securitatea virtualizarii

despre mine

Page 3: Securitatea virtualizarii

Tudor DamianIT Solutions Specialist

tudy

Page 4: Securitatea virtualizarii

despre webcast

Page 5: Securitatea virtualizarii

virtualizarea ca instrument și țintăîn securitatea sistemelor informatice

Page 6: Securitatea virtualizarii

o scurtă istorie

Page 7: Securitatea virtualizarii

un SO, un user, o aplicație

Page 8: Securitatea virtualizarii

un SO, un user, mai multe aplicații

Page 9: Securitatea virtualizarii

un SO, mai mulți useri, mai multe aplicații

Page 10: Securitatea virtualizarii

mai multe SO, mai mulți useri, mai multe aplicații

Page 11: Securitatea virtualizarii

”granițe” artificiale în securitate

Page 12: Securitatea virtualizarii

securitatea nu poate fi impusă întotdeauna doar prin elemente fizice

Page 13: Securitatea virtualizarii

separarea privilegiilor utilizatorilor la nivel de aplicație

Page 14: Securitatea virtualizarii

separarea privilegiilor la nivel de SO prin intermediul kernel-ului

Page 15: Securitatea virtualizarii

separarea SO prin intermediul separării fizice a hardware-ului

Page 16: Securitatea virtualizarii

separarea la nivel de rețea prin intermediul unui firewall

Page 17: Securitatea virtualizarii

ce este virtualizarea?

Page 18: Securitatea virtualizarii

proces prin care o entitate fizică e făcută să se comporte ca mai multe

entități logice independente

Page 19: Securitatea virtualizarii

ce se poate virtualiza?

Page 20: Securitatea virtualizarii

platforme

Page 21: Securitatea virtualizarii

resurse

Page 22: Securitatea virtualizarii

aplicații

Page 23: Securitatea virtualizarii

desktop

Page 24: Securitatea virtualizarii

mituri de securitate

Page 25: Securitatea virtualizarii

”dacă îmi protejez mașina gazdă, și mașinile virtuale vor fi protejate”

Page 26: Securitatea virtualizarii

”fișierele .VHD/.VMDK sunt implicit sigure”

Page 27: Securitatea virtualizarii

”dacă expun o mașină virtuală, trebuie să-mi expun toate mașinile

virtuale, și mașina gazdă”

Page 28: Securitatea virtualizarii

”toate mașinile virtuale se <<văd>> între ele”

Page 29: Securitatea virtualizarii

tipuri de atacuri

Page 30: Securitatea virtualizarii

jailbreak attacks (escapes)

Page 31: Securitatea virtualizarii

migration attacks

Page 32: Securitatea virtualizarii

virtual/physical network service attacks

Page 33: Securitatea virtualizarii

encryption attacks

Page 34: Securitatea virtualizarii

exemple de atacuri raportate

Page 35: Securitatea virtualizarii

feb 2007, apr 2009

VMware / ESX

VMware Workstation escape attack

Page 36: Securitatea virtualizarii

oct 2007, Secunia

open-source Xen hypervisor

obținere de privilegii neautorizate

Page 37: Securitatea virtualizarii

2007

Microsoft Virtual PC & Microsoft Virtual Server

vulnerabilitate care permitea unui guest săruleze cod pe host sau pe alt guest

Page 38: Securitatea virtualizarii

câteva link-uri...

Page 39: Securitatea virtualizarii

http://searchsecurity.bitpipe.com/detail/RES/1213273947_134.html

http://www.foolmoon.net/cgi-bin/blog/index.cgi?mode=viewone&blog=1185593255

http://www.securityfocus.com/bid/29183/info

http://secunia.com/advisories/29129/

http://seclists.org/fulldisclosure/2007/Sep/0355.html

http://lists.vmware.com/pipermail/security-announce/2009/000055.html

http://www.immunityinc.com/documentation/cloudburst-vista.html

http://taviso.decsystem.org/virtsec.pdf

http://www.eecs.umich.edu/techreports/cse/2007/CSE-TR-539-07.pdf

http://www.stanford.edu/~talg/papers/HOTOS05/virtual-harder-hotos05.pdf

Page 40: Securitatea virtualizarii

soluții de securitate bazate pe virtualizare

Page 42: Securitatea virtualizarii

high availability

Page 43: Securitatea virtualizarii

disaster recovery

Page 44: Securitatea virtualizarii

forensic analysis

Page 45: Securitatea virtualizarii

honeypots / honeynets

http://en.wikipedia.org/wiki/Honeypot_(computing)

Page 46: Securitatea virtualizarii

soluțiile de virtualizare sunt într-o continuă evoluție

Page 47: Securitatea virtualizarii

exemplu concret:Hyper-V R2 și SCVMM R2

Page 48: Securitatea virtualizarii

Hyper-V Server 2008 R2 vs. Windows Server 2008 R2

CapabilitiesMicrosoft

Hyper-V Server 2008 Microsoft

Hyper-V Server 2008 R2

Windows Server 2008 R2 EE, DC

(Hyper-V)

Number of Logicalprocessors supported

24 64 64

Number of Sockets (Licensing)

Up to 4 Up to 8 Up to 8 = EE | Up to 64 = DC

Memory Up to 32 GB Up to 1 TB Up to 1TB

VM Migration None Quick and Live migration Quick and Live Migration

Number of VM’s per node in a cluster

Not applicable 32 (server workloads)64 (VDI workloads)

32 (server workloads)64 (VDI workloads)

Virtualization Rights for Windows Server 2008

guests0 0

EE = 4 VMDC = unlimited VM’s

Number of running VMGuests

Up to 192, or as many as physical resources allow

Up to 384 or as many as physical resources allow

Up to 384, or as many as physical resources allow

Windows Server 2008 CALs Required for Guest Server

OSNo No Yes

Guest OS supportWindows Server 2008 R2, Windows Server 2008 & SP2, Windows Server 2003 SP2, Windows 2000 Server, SLES

10, SLES 11, Red Hat Enterprise 5.2/5.3, Windows 7, Windows Vista SP1, SP2 & Windows XP SP3/SP2

Page 49: Securitatea virtualizarii

odată cu R2, Hyper-V™ devine cu adevărat competitiv

Page 50: Securitatea virtualizarii

Hyper-V R2 - scalabilitate în producție• Microsoft.com: ~50% Hyper-V (în creștere)

– ~1.2 miliarde de hit-uri pe lună

• MSDN/TechNet: 100% Hyper-V– ~1 milion de hit-uri pe zi, fiecare

• Connect, Codeplex, Social: 100% Hyper-V

• Microsoft IT (4 clustere, incluzând unul cu 16 noduri)

• Microsoft Global Foundation Services

– peste 1300 VM-uri pentru Windows Live games

Page 51: Securitatea virtualizarii

tehnic, soluțiile de virtualizare existente sunt oarecum echivalente

Page 52: Securitatea virtualizarii

diferența o fac instrumentele de administrare / management

Page 53: Securitatea virtualizarii

System Center Virtual Machine Manager

http://www.microsoft.com/systemcenter/virtualmachinemanager/en/us/features.aspx

Page 54: Securitatea virtualizarii

în final, un feedback din industrie (hosting / VPS)

Page 55: Securitatea virtualizarii

”From a hosting perspective, virtualization is all about control. Servers multiply fast and you

need to keep track of who has them and what they are doing with them. Customer data,

resource data and usage data are essential.”

Ross Brouse, CEO

Page 56: Securitatea virtualizarii

”I knew that would be the biggest hurdle when I started this thing, that's why I chose Parallels. Not

because the software was insecure and unstable, but because I needed to automate. Automation is what

Xen, Hyper-V, VMWare and all the other solutions out there lack. All of their solutions are built for the

enterprise, which in this day and age is a mistake. Not that its a bad market, but these companies have such

poor focus on the service provider.”

Ross Brouse, CEO

Page 57: Securitatea virtualizarii

întrebări

Page 58: Securitatea virtualizarii

mulțumesc.

Page 59: Securitatea virtualizarii

Tudor DamianIT Solutions Specialist

tudy