2. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Motivasjon for virtualisering
Sterkt
forretnings-
• Bedre utnyttelsesgrad
incentiv
Økonomi • Konsolidering og standardisering
• Effektivisering (bla. energi)
• Raskere deployment og endringstakt Fra nisjebruk
Fleksibilitet • Enklere administrasjon
• Skalerbarhet og mobilitet
til standard i
løpet av få år
• Tilgjengelighet og robusthet
Sikkerhet • Bedre kontinuitetsmuligheter
• Oppnå «en funksjon, en server» Har vi tatt
høyde for ny
risiko?
3. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Virtualisering på tvers av stacken
Presentasjon • VMware View / Terminal Services
Applikasjon • MS SoftGrid / Citrix XenApp / VMware ThinApp
Desktop • VMWare Workstation, Virtual PC
Server • VMware ESXi / Hyper-V / Xen / Solaris Zones
Nettverk • VPN / VLAN / VRF / Virtualiserte brannvegger
Storage • Virtual I/O / Virtual SAN / Virtuell tape
Datasenter • Nettsky-baserte tjenester (SaaS/PaaS/IaaS)
4. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Virtualisering i et nøtteskall
Aggregering (n:1) Partisjonering
(1:m)
Transparent abstraksjonslag mellom
en ressurs og konsumenter av denne
5. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Integritet: Isolasjon og partisjonering
Tett skott
Applikasjon(er)
Gjest Gjest Gjest
Operativsystem
Tett skott
Hypervisor eller
Virtualiseringslag Virtual Machine
Monitor (VMM)
Maskinvare
8. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Integritet: Virtualiseringslag → Gjester
(«Game Over»-scenariet)
Gjest Gjest Gjest
Herding
❺ ❺ ❺
Sikkerhetspatching
Antimalware
Tilgangskontroll
Logging og sporbarhet
Backup og Kontinuitet
Virtualiseringslag
Type 1
• VMware ESXi
Maskinvare
• Microsoft Hyper-V
❹
Primære angrepsvektorer mot virtualiseringslaget:
Administrasjon, system management, storage og backup
9. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Integritet: OS → Virtualiseringslag
Gjest Gjest Gjest
Virtualiseringslag
Herding ❼ ❼ ❼ Type 2
Sikkerhetspatching
• VMware ESX
Antimalware
Tilgangskontroll
Logging og sporbarhet
Operativsystem • Microsoft Hyper-V
• Solaris Zones
Backup og Kontinuitet
Maskinvare
❻
Samt underliggende operativsystem for Type 2-løsninger
10. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Integritet: Virtualisering i kontekst
• Avlytting av trafikk Virtualisering • Deling av ressurser på tvers
mellom gjester av sikkerhetsnivå
• Fysiske versus logiske • Virtualiseringslag deler
nettverksgrensesnitt lagring med gjester
• Synlighet for • Sikring av:
brannvegg/IDS/netflow • tankeimager
• Eksponering av • aktive gjesteimages
admingrensesnitt • sovende gjesteimages
• konfigurasjonsfiler
• Sikring av
• Administrasjonsløsninger
• ILO-type-grensesnitt Enkleste angrep mot en
• Tankeimages for gjester virtualisert infrastruktur er
• Tilgangskontroll, roller og ansvar
mot managementfunksjonene
• Eierskap
(f.eks. spearphishing mot admin)
• Separation of duties
• Logging og sporbarhet
• Strengt skille mellom front- og backend
11. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Integritet: VMware sikkerhetspatcher
25 Ny sikkerhetspatch
1-2 ganger per måned
20 • All programvare har bugs,
herunder virtualiseringsløsninger
15 • Må derfor inngå i et patcheregime
• Selv med patching, må det antas
10 at sårbarheter fortsatt eksisterer
• Den beste patchen er den som
5 ikke er nødvendig pga. herding
0
2008 2009 2010 2011
(per ultimo februar)
12. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
!Integritet: GuestStealer
• Sårbarhet i VMwares webbaserte managementløsning (2010-02):
– CVE-2009-3373: «Directory Traversal Vulnerability»
– Prepending av ../ til URL gjør at man kan hente ut valgfrie filer, inklusive fulle
VMDK-filer (gjesteimager)
– Webserver kjører som root → full kompromittering
• Understreker behovet for:
– Separasjon av frontend og management,
– Løpende sikkerhetspatching (også av mer enn bare plattformer)
– Dyp skepsis til «real world»-verdi av Common Criteria EAL 4 og desslike
perl gueststealer.pl -h <Host> -p <Web Access UI Port> -s <SSL Web Access UI>
-t <Server Type> -o <Output Directory>
Example Usage:
perl gueststealer-v1.1.pl -h 192.168.1.2 -p 8333 -s yes -t server -o /tmp
Gap på
Identifisert: 2009-05-14 Patch sluppet 2009-10-27
6 mnd
13. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Konsentrasjonrisiko: Monokultur
• «A computing monoculture is • VMwares markedsdominans
a danger on many levels»
– Dan Geer • 2008-08: Bug i lisenshåndtering
• Synliggjort av blant annet:
This product has expired
– Ormehendelser
• Conficker, Slammer, Nimda
and your virtual machine
– Sårbarheter
cannot be powered on.
• Internet Explorer
• Adobe Flash
• Adobe Reader
• Java Runtime Environment
– Antimalware fra én leverandør
14. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Konsentrasjonsrisiko
Produksjon Presentasjon Kunde A
Test Applikasjon Kunde B
Utvikling Database Kunde C
Kvalitativ vurdering Kvantitativ vurdering
Passer disse eggene sammen? Hvor mange egg vil/
tør vi legge i kurven?
21. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Modenhet i teknologianvendelse
Konkret eksempel: PCI DSS
• Sikkerhetsstandard for kortinfo
• Versjon 1.2: Oktober 2008
– Ingenting direkte om virtualisering
• Versjon 2.0: Oktober 2010
– “Note: Where virtualization techno-
logies are in use, implement only one
primary function per virtual system
component.”
Risiko for at policies, guidance og standarder ikke henger med på den teknologiske utviklingen
22. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Kontinuitet
Etablering, testing,
Deployment av ny
vedlikehold, testing
virtualisert gjest
av kontinuitetsregimer
Symantec Disaster Recovery Study, desember 2010:
• «44% of data on virtualized systems not regularly backed up»
• «60% of virtualized systems not included in disaster recovery plans»
• «20% of virtual environments protected by replication or failover technologies»
23. Motivasjon • Integritet • Konsentrasjon • Kompleksitet • Kontroll • Kompetanse • Kontinuitet • Konklusjon
Konklusjon
Ny Deling av
Støtte for bedre
teknologi ressurser
kontinuitet
Redusert Iboende Økt
risiko + + + risiko - - - risiko
Sanering Økt
Strømlinje- av gammel kompleksitet
forming infrastruktur
1. Erkjenne endringen i risikobildet
Teknologi • Definere akseptabelt risikonivå
• Identifisere sårbarheter
• Implementere (avhjelpende) tiltak Anvendt risiko-
håndtering i et
2. Gjøre bevisste designvalg fra starten av
Prosess
• Helhetstenkning
• Utnytte nye muligheter nøtteskall
Menneske • Tydelige policies og ansvarsdeling
3. Gode og fungerende driftsprosesser
4. Oppfølgning over tid
24. http://www.flickr.com/photos/florin_mogos/2523984446/
Vil ikke nettskyen befri oss fra alt dette?
• Som for virtualisering: sterke • Noen betimelige spørsmål:
forretningsmessige føringer for bruk
– Hvilken informasjon kan/bør vi
• Samme basisutfordringer som ved lagre i nettskyen?
virtualisering, men forsterket pga. – Hvor blir data lagret?
– Høyere abstraksjonsnivå
– Lignende teknologi, større skala
– Hvordan blir data sanert?
– Multikunde – Hvem er våre naboer i skyen?
– Geografisk spredning – Hvem har tilgang til infra?
– Transparens ift. sikringstiltak
• Viktigste forskjell er avtalemessig og
behov for due diligence – Innsynsrett og –muligheter i logger
• Flere eksempler på sikkerhets-hendelser
i nettskytjenester
Microsoft Azure: ‘We have four datacenters in the US, two
in Europe and two in Asia. Even though you choose to
Amazon Web Svcs VM Import store your data in Europe instead of Worldwide, your data
Virtualisert nå, i nettskyen i morgen will be stored at least three times. Two times on your main
location and one time at a secondary data center’
25. Spørsmål?
Tirsdag 15. mars 2011:
DND Faggruppe for IT-Sikkerhet, Bergen
Anvendt Logghåndtering 2.0
http://www.edbergogroup.com/
oddbjorn.steffensen@edb.com
http://www.linkedin.com/in/oddbjorn