O documento discute os desafios de segurança na nuvem e fornece orientações sobre como abordá-los. Ele descreve iniciativas de gestão como implementação de políticas de segurança, detecção e resposta a intrusões e gerenciamento de segurança da virtualização. Além disso, discute tipos de políticas de segurança e o papel das equipes de resposta a incidentes de segurança.
1. cloud Security
Um guia completopara proteger
cloud Computing
RonaldL.Krutz
VinesRussellDean
Cloud Computing Segurança desafios
A introdução deserviços de nuvemapresenta muitos desafiospara uma organização.
Quando uma organizaçãomigra paraserviços de nuvemde consumo,e, especialmente
serviços públicos denuvem,grande parte dainfra-estrutura desistema de
computaçãoagora
estar sob o controledeum terceiroprovedor deserviços de nuvem(CSP).
Muitos destes desafiospode e deve serresolvida através da gestão
de iniciativas.Estasiniciativas de gestãoexigirádelinear claramentepapéis
de propriedade e deresponsabilidadedoCSPa(que pode ou nãoser
a própria organização) e do funcionamento da organizaçãono papel decliente.
Gerentes de segurançadevem ser capazes dedeterminar o quede detetive
epreventivacontroles existemclaramentedefinea postura de segurançada organização.
Emboraos controles de segurançaapropriados devemser implementadoscom base
emativos,ameaça,e as matrizes deavaliação de vulnerabilidadede risco,e estão
subordinadas ao nível deprotecção de dadosnecessário,alguns processos de
gestãovontade geral
ser exigidoindependentemente danatureza do negócioda organização.estes
incluem o seguinte:
a implementação da políticade segurança
detecção de intrusãocomputadore resposta
gerenciamento de segurançade virtualização
Vamos olhar paracada uma dessasiniciativas de gestão
Implementação da Política deSegurança
As políticas de segurançasão a basede umaimplementação de segurançade
som.Freqüentementeorganizações vãoimplementar soluções de segurançatécnicas
semprimeirocriaressa basede políticas, normas, diretrizes e procedimentos, sem
querer
criação de controlesde segurançasem focoe ineficaz.
A política éum daqueles termosque podem significarvárias coisas.Por exemplo, há
políticas de segurança emfirewalls , que se referem ao controle de acessoe
roteamentolista de informações.Normas, procedimentose diretrizestambém são
referidoscomopolíticas nosentido mais amplode uma política globalde segurança da
informação.
Uma boapolítica debem-escritoé maisdo que um exercíciocriado embranco
papel- éum elemento essenciale fundamental daprática de segurançade som.
Apolítica, por exemplo, pode ser literalmenteum salva-vidasdurante um desastre, ou
pode ser uma exigênciade uma funçãogovernamental ou reguladora. Apolíticatambém
podefornecer proteçãode responsabilidadedevido aações de um empregado, ou pode
controlaracesso asegredos comerciais.
2. Figura 5-1 mostra como as políticas se relacionam hierarquicamente.
Figura 5-1: Segurança hierarquia política
Procedimentos detalhados
diretrizes recomendadas
Declaração de Administração Superior da Política
Gerais políticas organizacionais
Políticas funcionais
Normas imperativas Baselines
Tipos dePolítica
No mundo corporativo, quando nos referimos às políticasespecífi cas, em vez de um
grupopolítica, que geralmente significa que essaspolíticas que sãodistintos
dospadrões,procedimentos eorientações.Políticassão consideradaso primeiro nívele
mais elevada dedocumentação,a partir do qualos elementosde nível inferiordenormas,
procedimentos, e fluxo dediretrizes.
Isto não querdizer, contudo,que as políticasde nível superiorsão mais importantesdo
queos elementosinferiores.Estas políticasde alto nível, que refletemmaisgerais
políticase declarações,deve ser criadoem primeiro lugar noprocesso,por razões
estratégicas,e, em seguida, os elementos maistáticopode seguir.
Gestãodeve assegurar avisibilidadede uma políticade segurança formal.este
é porquequase todos osfuncionáriosde todos os níveis, de alguma forma ser afetados,
maior recursos organizacionaisserão abordados,e muitosnovos termos,
procedimentos, e as atividadesserão introduzidos.
Segurança, incluindocomo um temaregular emreuniões de pessoalem todos os
níveisda organizaçãopode ser útil.Além disso,fornecendo visibilidadeatravés das
avenidastaiscomo apresentaçõesde gestão, painéis de discussão, palestras, pergunta
/fórunsde resposta,e newsletterspode sersocialbeneficiário.
Declaração deAdministração Superior daPolítica
A primeira políticade qualquer processo decriação de políticasé adeclaração de
gestãosêniorda política. Esta é umamaneira geral,a políticade alto nível quereconhece
a importância dos recursos computacionaisparao modelo de negócio; estadossuporte
para obter informaçõessegurança em toda aempresa, ese compromete aautorizar
egeriradefi niçãodos padrõesde nível inferior, procedimentos e diretrizes.
Políticas Regulatórias
As políticas regulatóriassãopolíticas de segurança queuma organizaçãodeve
implementardevido à regulação, conformidade, oude outros requisitos legais. estas
empresaspode serfinanceirasinstituições, serviços públicos, ou algum outro tipode
organizaçãoque atua nointeresse público.Tais políticassão geralmente
muitodetalhadaeespecificamenteparaa indústria em quea organização opera
Políticasde consultoria
Políticasde consultoria sãoas políticas de segurançaque não sãoobrigatórios, mas
fortemente sugerido,talvez comconseqüênciasgravesdefinidospor nãosegui-las
(tais comoterminação, um aviso de acção de trabalho, e assim por diante).Uma
empresa comtalpolíticasquera maioria dos funcionáriosa consideraressas
políticasobrigatório.A maioria das políticasse enquadram nesta categoriaampla.
3. Políticasinformativos
Políticasinformativassão condiçõesque existemsimplesmente parainformar o
leitor.Temimplícita ounãoos requisitosespecificaçõesdo público para esta informação
poderia sercertaspartes internas(dentro da organização) ou externo. Istofaz
não quer dizerque as políticasestão autorizadospara o consumo público, mas que eles
sãosuficientemente geral paraser distribuído aentidades externas(fornecedoresacessar
umextranet, por exemplo), sem perda deconfidencialidade.
Computer SecurityIncident Response Team(CSIRT)
Como você leuno capítulo 7,como partede um programade tratamento de
incidentesestruturadodedetecção de intrusão eresposta, umComputer Emergency
Response Team(CERT) ou a segurança do computadorda equipede resposta a
incidentes(CSIRT) é comumente criado.
As tarefasprincipais de umCSIRTsão as seguintes:
Análisedeum catião de umevento denotificação
resposta a umacidente, sea análisegaranteque
caminhoprocedimentos de escalação
Resolução,após o incidentede acompanhamentoe emissão de relatóriospara as
partes apropriadas
Aprimeira diretrizde cadaCIRTé a gestãode resposta a incidentes, que
reflECTSrespostade uma empresa deeventosque representam um riscopara o
seuambiente de computação.
Esta gestão, muitas vezes consiste no seguinte:
Coordenação danotificaçãoe distribuição deinformações relativas
ao incidentepara as partes apropriadas(aqueles comuma necessidade de saber)
através de umcaminho de escalaçãopredefined
mitigar o riscopara a empresa, minimizando as perturbaçõesao normal
atividades de negócios eos custos associados aremediaro incidente
(incluindorelações públicas)
equipesmontagem depessoal técnico parainvestigar o potencial
vulnerabilidades eresolverintrusõesespecífi cas
Exemplos adicionais deactividadesCIRTsão:
Gestãodos logsde rede, incluindo a recolha, retenção, revisão,
e análise de dados
Gestãode resolução deum incidente, a gestão de umdevulnerabilidade
remediação epós-eventode relatóriospara as partes apropriadas
Respostainclui notificaras partesapropriadas paratomar medidas no sentido
determinar a extensão dagravidadede um incidente, e para remediarodoincidente
efeitos.De acordo com oNIST, uma organização deve abordara segurança do
computadorincidentes pordesenvolver uma capacidadede tratamento de incidentes. O
incidentede manipulação de
capacidade deveser usada parafazer o seguinte:
Fornecera capacidade deresponder rápida e eficazmente
contere repararos danos causados porincidentes.Quandonão for controlada,
software malicioso podesignifi cativamenteprejudicarcomputaçãode uma
organizaçãorecursos, dependendo da tecnologiaea sua conectividade. contendo
o incidentedeve incluir umaavaliação sobre seo incidente éparte
de um ataquedirecionadosobre a organizaçãoou umincidente isolado.
Prevenirdanos futuros.Uma capacidade detratamento deincidentedeveajudar um
4. organizaçãona prevenção(ou pelo menos minimizar) danos dafutura
incidentes.Incidentespodem ser estudadosinternamente paraobter uma melhor
compreensãode ameaçasda organizaçãoe vulnerabilidades.Gestão de Segurança
davirtualização
Embora a adoçãoglobal devirtualização éum evento relativamenterecente,ameaças
à infra-estruturavirtualizadaestão evoluindotão rapidamente.Historicamente, o
desenvolvimento e implementaçãode novas tecnologiasprecedeu opleno
compreensão de seusriscos de segurançainerentes,e sistemasvirtualizadosnão são
diferente.As seções a seguirexaminar asameaças e vulnerabilidadesinerentes
em sistemasvirtualizadose olhar paraalgumas soluçõesde gestão comuns
a essas ameaças
TIPOSDE VIRTUALIZAÇÃO
A máquina virtual(VM), gerenciador de memória virtual(VMM), e hypervisor ou
sistema operacional hospedeirosão o conjunto mínimode componentes necessários
emum ambiente virtual.
Elescompreendemambientes virtuaisde algumas maneirasdistintas:
Tipo 1ambientes virtuaissão considerados "completos" ambientes de virtualização
e termáquinas virtuais rodandoem um hypervisorque interage com o
hardware (ver Figura 5-2).
Tipo 2ambientes virtuaistambém são considerados"virtualização completa", mas
trabalhar com umsistema operacional hospedeiro, em vez de um hypervisor (ver
Figura 5-3).
Para-virtualizadosambientes oferecemganhos de desempenho, eliminando
algunsda emulaçãoque ocorreem ambientes de virtualizaçãocompletas.
designações do tipohíbridosincluemmáquinas virtuais (HVMS) e
hardwareassistidastécnicas
Estas classificações sãoum tanto ambíguana comunidade de TIem geral.
A coisa mais importantepara se lembrarde uma perspectivade segurança é que
há umimpacto significativomais significativoquandoum sistema operacionalhospedeiro
comaplicativos do usuárioe
interfaces écorrer forade uma máquina virtualem um nívelmais baixo do queasoutras
VMs(isto é, um
Tipo 2arquitetura).Por causa de suaarquitetura, otipo 2aumentaambiente
o risco potencial deataques contrao sistema operacionalhospedeiro.Por exemplo,um
laptop rodando
VMware comuma máquina virtualLinux emum sistema Windows XPherdaa superfície
de ataque
deambos os sistemas, mais o código devirtualização (VMM) 0,1Estas classificações
sãoum tanto ambíguana comunidade de TIem geral.
A coisa mais importantepara se lembrarde uma perspectivade segurança é que
há umimpacto significativomais significativoquandoum sistema operacionalhospedeiro
comaplicativos do usuárioe
interfaces écorrer forade uma máquina virtualem um nívelmais baixo do queasoutras
VMs(isto é, um
Tipo 2arquitetura).Por causa de suaarquitetura, otipo 2aumentaambiente
o risco potencial deataques contrao sistema operacionalhospedeiro.Por exemplo,um
laptop rodando
VMware comuma máquina virtualLinux emum sistema Windows XPherdaa superfície
de ataque
deambos os sistemas, mais o código devirtualização (VMM) 0,1
5. GESTÃO DEPAPÉISDE VIRTUALIZAÇÃO
Normalmente, oVMware Infrastructureé geridopor vários usuáriosexecutando
papéis diferentes.Os papéis assumidospelos administradoressão avirtualização
Server Administrator,administrador da máquinavirtual,e AdministradorVisitante.
Usuáriosdo VMware Infrastructurepodem terdiferentes funções e responsabilidades,
mas
alguma sobreposiçãofuncionaispode ocorrer.Os papéis assumidospelos
administradoressãoconfiguradoemVMSe sãodefinidospara
fornecerresponsabilidadesfunção:
Server AdministratorVirtual -Este papel éresponsável pela instalação e
configuringo hardware do servidorESX, armazenamento, redes físicase virtuais,
aplicativos de console, serviços e gestão.
administrador da máquinavirtual -Este papel éresponsável pela criação e
Ameaçasvirtuais
Algumas ameaças parasistemas virtualizadossão de natureza geral, como eles são
inerentesameaças atodos ossistemas informatizados(tais comoataques de negação
deserviço, ou DoS, ataques).
Outras ameaçase vulnerabilidades, no entanto, são exclusivas para máquinas
virtuais.MuitosVMvulnerabilidadesdecorrem do fato deque uma
vulnerabilidadeemumsistema VMpode ser exploradapara atacarsistemas de
VMoutrosou os sistemasde acolhimento,como múltiplasmáquinasvirtuais
compartilhamo mesmo hardwarefísico,como mostrado na Figura5-4.
Várias organizaçõesestão atualmente realizandoanálise de segurança eproofof-
conceito (PoC) ataques contra os sistemasvirtualizados,e publicado recentemente
pesquisa sobresegurança em ambientesvirtuaisdestaca alguns dosvulnerabilidades
expostasa qualquer indivíduomaliciosode espírito:
pranchetapartilhada -tecnologiapranchetacompartilhadapermite que os dadossejam
transferidos
entre VMse do anfitrião, fornecendo um meio dedadosmóveis
entre programasmaliciosos emmáquinas virtuaisdedomínios de segurançadiferentes.
keystroke logging-Algumas tecnologiasVMpermitiro registrode teclaseatualizações de
telapara ser passadoentre os terminaisvirtuais no
máquina virtual,escrevendo parahospedar arquivose permitindoo monitoramento de
conexões criptografadasterminaisdentro da VM.
monitoramentoVM a partir dohospedeiro -Porque todos ospacotes de redeque vem
de ouindo paraum passeVMatravés dohost, o hostpode ser capaz deafetar
a VMa seguinte redacção:
Iniciar, parar, pausar e reiniciarVMs
Monitoramento erecursosguringconfidisponível paraas VMs, incluindo
CPU,memória, discoeutilização de redede VMs
Ajustar o número deCPUs, a quantidade de quantidade de memória,e número
dediscos virtuaise número deinterfaces de rede virtualdisponível
a uma VM
monitoramento da máquina virtual de outro VM - Normalmente, as máquinas
virtuais devem
não ser capaz de acessar diretamente uns dos outros discos virtuais no host.
No entanto, se a plataforma VM utiliza uma central virtual ou um interruptor
para ligar o
6. VMs para o anfitrião, em seguida, os intrusos podem ser capazes de usar uma
técnica de hackers
conhecido como "envenenamento ARP" para redireccionar pacotes indo para
ou a partir do outro
VM para sniffi ng.
virtuais backdoors máquina - uma backdoor, encoberta canal de comunicação
entre o hóspede e anfitrião poderia permitir que invasores para executar
potencialmente
operations.2 perigosas
Tabela 5-1 mostra como vulnerabilidades ESX da VMware servidor podem ser
categorizados,
tal como interpretado pelo DoD (ver também Figura 5-5).
De acordo com as leis do Burton Group fi ve imutáveis da segurança da
virtualização
deve ser compreendido e usado para conduzir as decisões de segurança:
Lei 1: Todos os existentes OS ataques em nível de trabalhar na mesma
maneira.
Lei 2: A superfície de ataque hypervisor é aditivo a um sistema de risco de perfi
l.
Lei 3: Separar funcionalidade e / ou conteúdo em VMs vai reduzir o risco.
Lei 4: Agregando funções e recursos em uma plataforma física
aumentará o risco.
Lei 5: Um sistema que contém um "confiável" VM em um host "não confiável"
tem
um nível de risco mais elevado do que um sistema que contém um "confiável"
host com um
"Não confiável" VM.3
Os atuais fornecedores de virtualização principais são VMware, Microsoft
Hyper-V,
e Citrix Systems XenServer (baseado no Xen hypervisor de código aberto).
CATEGORIA aplicativo de servidor ESX
Categoria I - vulnerabilidades que permitir que um invasor imediata acesso em
uma máquina, permitem
super-usuário de acesso, ou ignorar um
firewall
Categoria II - Vulnerabilidades
que fornecem a informação de que
têm um elevado potencial de dar
acesso a um intruso
Categoria III - Vulnerabilidades
que fornecem informações
que potencialmente poderia levar a
compromisso
Vulnerabilidades que podem resultar em mal-intencionados
ataques sobre os recursos de infra-estrutura virtual, ou
7. serviços. Os ataques podem incluir, mas não estão limitados
para, malware no VMM, de máquina virtual baseada em
rootkit (SubVirt), Trojan, DOS, e execução de
ações potencialmente maliciosos.
Vulnerabilidades que podem resultar em não autorizado
usuários acessar e modificar infra-estrutura virtual
recursos ou serviços.
Vulnerabilidades que podem resultar em não autorizado
usuários que visualizam ou possivelmente acessando infra-estrutura virtual
recursos ou serviços.
Figura 5-6mostraabordagemda VMware parainfra-estrutura virtualizada, e
Figura5-7 mostraum pouco mais detalhadamenteemservidor VMwareESX
daarquitetura.
VMníveis de ameaça
Quandoameaçacategorizar oposoupara ambientes virtualizados, muitas vezes o
vulnerabilidade /ameaçamatriz éclassifi cadosem três níveis decompromisso:
anormalmenteterminado- Disponibilidade paraa máquina virtual
estácomprometida,como aVMé colocadaem um loopinfinitoque impede aVM
administradorde acessaro monitorVM.
VMníveis de ameaça(continuação)
parcialmentecomprometida -A máquina virtualpermite que um processohostil à
interferircom o gerentede virtualização, contaminando checkpointsstet
ou sobre-alocação de recursos.
Totalmentecomprometida -A máquina virtualé completamenteultrapassado e
direcionado paraexecutarcomandos não autorizadosem seu hospedeirocomelevada
privileges.4
hypervisorRiscos
O hypervisoré apeça de uma máquinavirtual quepermite o compartilhamento
derecursos do host
e permiteVM/ hostisolamento.Portanto, a capacidadedeohypervisor
proporcionaro isolamento necessáriodurante o
ataqueintencionaldeterminagrandemente
quão bem a máquinavirtual podesobreviverrisco.
Uma razão pela qualo hypervisoré suscetívelao risco éporque é umsoftware
programa;risco aumentaquando o volumeea complexidade docódigo do aplicativo
aumenta.Idealmente,o softwareoperacionalde códigodentro de umNeddefiVMnão seria
capaz de se comunicarou afetara executar ocódigono hostfísico em si
ou dentro de umaVM diferente, mas vários problemas, como erros no software, ou
limitações paraa implementaçãode virtualização,pode colocaresse isolamentoem risco.
Principais vulnerabilidadesinerentes aohypervisorconsistemdesonestoshypervisor
rootkits, o cátion modificaçãoexterna parao hypervisor,e escaparVM.hypervisorRiscos
O hypervisoré apeça de uma máquinavirtual quepermite o compartilhamento
derecursos do host
e permiteVM/ hostisolamento.Portanto, a capacidadedeohypervisor
proporcionaro isolamento necessáriodurante o
ataqueintencionaldeterminagrandemente
quão bem a máquinavirtual podesobreviverrisco.
Uma razão pela qualo hypervisoré suscetívelao risco éporque é umsoftware
programa;risco aumentaquando o volumeea complexidade docódigo do aplicativo
aumenta.Idealmente,o softwareoperacionalde códigodentro de umNeddefiVMnão seria
capaz de se comunicarou afetara executar ocódigono hostfísico em si
8. ou dentro de umaVM diferente, mas vários problemas, como erros no software, ou
limitações paraa implementaçãode virtualização,pode colocaresse isolamentoem risco.
Principais vulnerabilidadesinerentes aohypervisorconsistemdesonestoshypervisor
rootkits, o cátion modificaçãoexterna parao hypervisor,e escaparVM.
Hypervisorsdesonestos
Como você viunos capítulos anteriores,em umcenário de virtualizaçãonormal, o
sistema operacional convidado(o sistema operacionalque é inicializadodentro de
umavirtualizado
ambiente)funciona comoum sistema operacional tradicionalgerenciamento deI / Ode
hardware e
redetraffic,mesmo que sejacontrolado pelohipervisor.O hypervisor,
por conseguinte, tem um elevado nível decontrolo sobre o sistema, não apenas na
máquina virtual, mas
tambémna máquina hospedeira
Rootkitsque a virtualizaçãode destino, e, em particular, o hypervisor,tem
ganhando forçana comunidadehacker.VMbaseadosrootkitspode esconder
a partir de sistemasde detecçãode malwarenormaisiniciando um"rogue"hypervisor e
criar um canal detampapara despejarcódigonão autorizadoao sistema.
Prova de conceito(POC)exploitstêm demonstrado queum hypervisorrootkit
podeinserir-sena RAM, downgrade do sistema operacionalhospedeiro parauma VM,e
tornar-se
invisível.Um rootkitdevidamente projetadopoderia entãoficar "indetectável" para o
sistema operacional hospedeiro,resistindoas tentativaspordetectoresde malwarepara
descobrir eremoverit.5
Isto cria umavulnerabilidade sériaem todos os sistemasvirtualizados.detectabilidade de
código de malwareestá no coraçãode detecção de intrusãoe correção,como a
segurança
pesquisadores analisamamostras de código, executando o código e ver oresultado.
Além disso,alguns malwaretentaevitar a detecçãodo anti-vírusporprocessos
tentaridentificar se o sistemajá infectoué tradicional ouvirtual.
Se encontrado para seruma máquina virtual, ele permanece inativadae escondidoaté
que possapenetrar
o host físicoe executara sua cargaatravés de umvetor de ataquetradicional.
Modificaçãoexterna doHypervisor
Em adicional paraa execuçãoda cargarootkit,ummal protegidoou
projetadohypervisortambém pode criarum vetor de ataque. Assim,uma auto-protegida
máquina virtualpode permitircaçãomodificaçãodireta de seuhypervisorpor uma externa
intruso.Isto pode ocorreremsistemas virtualizadosque nãovalidaro hypervisor
como um processoregular.
FugaVM
Devido à posiçãoprivilegiadafundamentalmenteda máquina hostno relacionamento
para a VM, uma VMindevidamenteconfiguradopoderiapermitir que o códigoparaignorar
completamente
do ambiente virtual,e obteracesso rootou kernelcompleto para ofísico
host.Isso poderia resultar emum completo fracassodosmecanismos de segurança do
sistema,e é chamado defugaVM.
Fugamáquina virtualse refere à capacidadedo atacantepara executar código arbitrário
no hostfísicoda VM, por "fugir" do hypervisor.Às vezes chamado de
"Santo Graal"das pesquisasde segurança da virtualização, fuga VMtem sido objeto
de uma sériede CPOrealizados por investigadoresde segurança comodeTavis
Ormandy
Google,e TomListone EdSkoudisemIntelguardiansNetwork Intelligence.
ListoneOrmandymostrou queescapaVMpoderiaocorrer atravésvirtuais
9. recursos da máquinacompartilhada chamadaVMchat, VMftp, VMcat, e VMdrag-n-
sploit.6
Negaçãoaumentodo riscoServiço
A ameaça denegação deserviço (DoS) contra um sistema virtualizadoé tão
predominante, uma vez que é contrasistemasnonvirtualized, mas porqueas máquinas
virtuais
compartilhar recursosdo hospedeiro, como memória, processador, disco,dispositivos I /
O, e assim
em, um risco de ataquede negação deserviço contraoutra VM, o anfitrião, ou
umexterno
serviço é, na verdade, muito maior.
Porque oVMtem camadasmais complexos dealocação de recursosdo queum
tradicional
sistema,técnicasde negação de serviçode prevenção podemtornar-se igualmentemais
complexo.
ComoTIproteçõesaplicadas tradicionalmentecontra ataques de negaçãode serviço
ataques,
limitar o consumo derecursos do hostpor meio da alocaçãode recursospode
ajudar a diminuir aexposição a ataquesDoS.
Recomendaçõesde SegurançaVM
Como nósacabamos de descreveruma série de questõesde segurança inerentes
aocomputaçãovirtualizada,
vamos analisar algumasmaneiras de protegera máquina virtual.Primeiro vamosolhar
para
técnicas demelhores práticasde segurançaque se aplicam aocomputador tradicional
sistemas, e depois vamos examinartécnicas de segurançaque são exclusivos
paravirtualizado
sistemas.
Técnicasprática recomendada de segurança
Astécnicas de implementaçãode segurançaseguintessão necessários para amaioria
dos computadores
sistemas, eainda sãoas melhores práticas parasistemas virtualizados.estas áreas
incluemsegurança física, aplicação de patches, e técnicas de gerenciamento remoto.
Endurecimentodo sistema operacional host
Vulnerabilidadesinerentes ao sistemaoperacional do computadorhost podeowfl
para cima, parao sistemaoperacionalda máquina virtual. Enquantoum compromisso
sobre a
VMOSpoderia virsó comprometemo domínio convidado, um compromisso
do hospedeirosubjacenteOSdariaum invasor o acessoa todos os serviçosem todos os
máquinas virtuais hospedadaspela máquina.
Assim, técnicasde melhores práticasde endurecimentodevem ser implementadas
paramanter
a postura de segurançada tecnologia subjacente. Algumas dessas técnicas
incluem o seguinte:
Use senhasfortes, comodemorado, difícil de adivinhar senhascom
letras, números,símbolose combinações, e alterá-lasfrequentemente.
Desativarserviços desnecessáriosou programas, serviços especialmenteem rede.
Exigirautenticação completapara controle de acesso.
O anfitrião deveser individualmentefirewalled.
consertar e atualizaro anfitriãoregularmente, depois de testar em uma unidade
denão-produção.
Usefornecedorfornecidosguias de boas práticasde configuração, tantoo hóspede
edomíniosde acolhimento, ese referem aalguns dospadrões publicadosnesta área,
10. tais como os seguintes:
NISTComputerResource Center (http://csrc.nist.gov)
Defesade Sistemas de Informaçãoda Agência(DISA)Técnico de Segurança
Guiasde implementação (Stigs) (http://iase.disa.mil/stigs/index
.html)
Center for Internet Security(http://cisecurity.org)
SANSInstitute (http://www.sans.org)
Agência de Segurança Nacional(NSA) (http://www.nsa.gov)
Vamos descreveralgumas destas técnicasem detalhes.
Limitaro acesso físico aoanfitrião
Segurança do hostfísico básicoé necessário paraevitar que intrusosde atacar o
hardware da máquinavirtual.Quandoos atacantes podemacessar um hostque podem
faça o seguinte:
UsoOS-especificamente cteclas paramatar processos, monitorar o uso de
recursos,ou
desligar a máquina, normalmente sem a necessidade deuma conta de loginválida
e senha
Reinicie a máquina, a inicialização demídia externa comuma senha de
rootconhecidos
roubar arquivosusando meiosexternos (disquete, CD / DVD-RW, USB / flash
discos, etc)
Capturatrafficentrando ousaindo da redede interfaces
Removerum ou mais discos, montá-losemuma máquina com umconhecido
administrador ousenha de root, potencialmente provendo acesso a toda a
conteúdo dohost eVMshóspedes
Basta retirara máquina inteira
Padrãocontroles físicostambém deveser implementado emsala do servidorem si:
Exigircartão ouguardao acesso à salacom as máquinas.
Use travaspara ancoraras máquinaspara a construçãoe / oubloquear oscasos
para impedir a remoçãodos discos rígidos.
RetireflOppy edrives de CDapós a configuração inicial.
No BIOS,desativara inicializaçãode qualquer dispositivo, exceto o disco rígido
principal.
Além disso, a senha protegera BIOS paraa escolhade inicialização nãopode ser
alterado.
Controletodas as portas externasatravés dehost esistema convidadoconfi guração
ou de terceirosapplications.7
Usandocomunicações criptografadas
Tecnologias de criptografia, como o HTTP seguro(HTTPS),virtualcriptografado
Private Networks (VPNs), Transport Layer Security(TLS),SSH (Secure Shell),
e assim por diantedeve ser usada parafornecer ligaçõesde comunicações
segurasentre
domínio do host edo domínio convidado, ou de anfitriões desistemas de gestão.
Criptografiairá ajudar a evitartais façanhascomoman-in-the-middle (MITM),
ataques falsificados, e seqüestro de sessão.
Além disso,técnicas deautenticaçãotradicionais, tais como a falhade login
timeouts, senhas fortes, senhas de BIOS, bandeiras de aviso esenha
mascaramentodeve ser implementada.
DesativandoTarefas em segundo plano
Sistemas operacionais maistradicionaisdo servidor têmváriosprocessosde baixa
prioridade
queestão programadaspara funcionardepois de horasde negócios principais, quando o
servidor é
11. deverá sermenos movimentada.Incapacitante,limitandoouoff-loadingque esses
processos
outros servidorespode ser aconselhávelse a máquinaestá começandoa sofrer
derecurso
contenção.
O principal problema coma detecção defundotarefaem uma máquina virtual
é que oprocesso virtualociosonão é totalmentecientes do estadodo virtualoutro
máquinas, epode nãoser capaz de fazeruma determinação exactaquanto ao facto
o processador hosté realmenteociosoou não.Isto pode conduzir aumasituação em que
o
tarefa de fundoexigemais ciclos de processadordo quefoi inicialmentepretendidos.
Além disso,váriasexploraçõeshackerssão concebidos paraforadestespiggyback
processos, na tentativa deser menosdetectávelparadetecçãomalware.Algumas destas
processos podem incluirferramentasde indexaçãofile, ferramentas de
registro,edesfragmentadores.Atualização epatches
A maioria dasorganizações de padrõesaplicaro conceito depatchinge atualização
desistemas.Infelizmente, a proliferação de uma organizaçãoemVMs
aumenta a complexidade doprocesso de controle depatch.Isto significa quenão sódeve
o patche atualizaro sistema operacionalhospedeiroprontamente, mascada uma das
máquinasvirtuais
requera programaçãopatchingmesmo. Esta é umarazãodeumapadronização
sistema operacionalem toda a empresaé muito importante,se possível.
O cronograma depatch tambémexige que a gestãodo processo de desligamento, como
maioria dos patchesexigir a reinicializaçãoapós opatch for aplicado,eo administrador
pode teruma janela de manutençãomuito estreitaem queaplicar opatch.
Agora você estádesligandonão sóo exército, mas todo o sistemaque está naquele
acolhimento, eatualizando a cadaVMno host, bem como o próprio host.
Étambém imperativoque a correção sejatestado emum sistema representativonão
produção
dosistema a seractualizado.Embora sejaimportante queo host
eVMshóspedesrecebemo patchde segurança mais recentes, um controle de pesquisa
e testes
processo deveser implementadopara demonstraro efeito queuma atualizaçãopode ter
na suaespecificidadeconfi guraçãoc.Uma grande parte dorecurso de integraçãoé gasto
quando uma atualizaçãotemconsequências imprevisíveis, e deve ser revertidaou
resultados
em remendarexigido deoutros componentes do sistema.
Mantenha-se atualizadoatravés delistas de discussão egrupos de notíciaspara obter
informações sobre
as últimas correções paraseus sistemas,e parapesquisa de implementaçãode
atualização
questões, especialmente para organizações que possuemsistemas semelhantesao
seu.Além disso,
alguns patchesdeve serespecifi camentemodifiedpelofornecedor de virtualizaçãoantes
à implementação,de modo a manterem contatocom o seufornecedor de virtualização
através daaplicação de patches eprocesso de atualização.
AtivandoDefesaPerímetrona VM
Dispositivos de perímetrode defesa sãoalgumas das formasmais antigase mais bem
estabelecidas
de fazer cumprira política de segurança, regulando a entrada dedadostraffice saída.
Na verdade, umerro comum degestão de TIestá alocandomuitos recursos
(tempo edinheiro) parapuramenteperímetro de defesa, na forma derewallsfie
roteadoresendurecidosDMZ, negligenciando oendurecimentointerno,confiável
rede.Isso muitas vezescria o queé referido comoum M & Mde segurança de rede
postura:crocantepor fora, masmolepor dentro.A rede édifi
12. cultopara entrar,mas que carece decontroles adequados, uma vez que um
intrusoconsiga
penetrar operímetro.
Uma vantagemde permitirrewallsfiou sistemas dedetecção de intrusão por
máquinas virtuais noOSanfitrião éque o compromissode sucessodo convidado
domínio nãopode comprometer odomínioanfitrião se oVMfoiconfigurado
adequadamente.Uma vez que odomínio do hostcontrola arederealtraffice faz
fi nalde roteamentodeterminaçõesapós aVMcomunicou, baseado em rede
detecção de intrusãoouprodutosfirewallpodeser implementadocom muito sucesso
nesteponto de estrangulamento, e ainda ajuda a organização aimplementar um
"defensein-
estratégia deprofundidade ".
Implementação de verificações deintegridade de arquivos
Um dos princípiosda segurançados sistemas de informaçãoé a preservação
daintegridade de arquivos
- Isto é,agarantia de queo conteúdo de umlefinão tenham sido submetidosa
alterações não autorizadas, seja intencionalmente ou não.integridade de arquivos
verificaçãoé o processode verificação de queos ficheiros demantera consistência
apropriada,
e serve comouma verificação deintrusão nosistema.
Enquanto onível de segurançaclassifi caçãodos dados aser hospedadonoVM
determinar a intensidadee foco daverificação, é recomendado quefile
verificação de integridadeser implementadasao nível do sistemaoperativo anfitrião.
Uma maneirade implementarfileverificação de integridadeépor armazenarvalores de
hash
de núcleo OSarquivosoffline, como estes lesfinão devemudar com
freqüência.Tripwire(www
.tripwire.com), é umdos fornecedores maisestabelecidos deverificação de
integridadefile,
e recentemente começou afocaremambientes virtualizados, além
paraambientes físicos tradicionais.
backupsmantendo
Nós nãodeve mesmo ter quedizer isso,mas infelizmentenós.Realizeimagem
backupscom frequênciapara todas asVMsde produção.Isto iráajudar na
recuperaçãotanto do indivíduo
fi lesoua imagem do servidorcompleto.
Protecção dobackup físicoé também uma partedas melhores práticas.Isto inclui
protecçãoda corrente de dadosdecópia de segurança,que deveser encriptadapara
evitar
a intercepção de umaimagem do servidor, capturando os pacotes nobackup,
bem comoo controle físico dotransportede mídia de backupe armazenamento.
A superfície de ataque
Superfície de ataqueé umtermo que se refereatodos osserviços em execuçãode um
hostque
expô-lopara atacar.Aprofissão de segurançatenta reduzira superfície de ataquepara
tão pequenouma pegadapossível,mantendoa funcionalidade de negócios.
Reduzindoreduz a exposiçãoa vulnerabilidade dasuperfície de ataquefornece uma
atacante,e tem astbeneficiáagregadode reduzira complexidadee os recursos
necessária para garantirum sistema.
VMAUDITORIA
É muitoimportante que os auditoresde sistemae avaliadorescompreender ainerente
riscos de qualquersistemavirtualizado queengatauma conexão compúblico
redes (como a Internet). Muitas normase diretrizesestão sendo
construídopara orientaros auditorespara avaliar apostura de segurança deum
ambiente virtualizado,
13. incluindo orientaçõesdo Departamentode Defesa dos EUAA superfície de ataque
Superfície de ataqueé umtermo que se refereatodos osserviços em execuçãode um
hostque
expô-lopara atacar.Aprofissão de segurançatenta reduzira superfície de ataquepara
tão pequenouma pegadapossível,mantendoa funcionalidade de negócios.
Reduzindoreduz a exposiçãoa vulnerabilidade dasuperfície de ataquefornece uma
atacante,e tem astbeneficiáagregadode reduzira complexidadee os recursos
necessária para garantirum sistema.
VMAUDITORIA
É muitoimportante que os auditoresde sistemae avaliadorescompreender ainerente
riscos de qualquersistemavirtualizado queengatauma conexão compúblico
redes (como a Internet). Muitas normase diretrizesestão sendo
construídopara orientaros auditorespara avaliar apostura de segurança deum
ambiente virtualizado,
incluindo orientaçõesdo Departamentode Defesa dos EUA
VM-c especificações técnicas de segurança
Um requisito fundamental paraum processo bem sucedidode virtualizaçãode
segurança é
reconhecer anatureza dinâmicade máquinas virtuais.Portanto,muitos dos
técnicas de segurançaque se seguem sãobastante singularparasistemas virtualizados,
e
devem seraplicadas, para alémdastécnicas tradicionais deboas práticas
acabamos de descrever.
Endurecimentoda Máquina Virtual
Máquinas virtuaisprecisam serconfigurado deforma segura,de acordo com
ofornecedor, desde
oumelhores práticas da indústria. Porque esteendurecimentopode variarde acordo com
a implementação do fornecedordevirtualização, siga as recomendações do fornecedor
para as melhores práticasnesta área.
Este endurecimentopode incluirvários passos, tais como os seguintes:
limitesColocarsobre o consumode recursosda máquina virtual
Configuringainterface virtual de redee armazenamentoapropriadamente
A desativação ouremoção de dispositivose serviços desnecessários
Garantir que oscomponentesque podem sercompartilhados atravésda rede virtual
dispositivossão adequadamenteisoladoe fixado
Mantertrilhasmadeireirasgranularese detalhadosde auditoria para ovirtualizado
infra-estrutura
Éimportante o uso deboas práticasde fornecedoresfornecidoguiasparaconfi guração
tantoo hóspedee anfitriãodomínios,e referem-sea algumas dasnormas publicadas
nesta área,tais como:
NISTComputerResource Center (http://csrc.nist.gov/)
Defesade Sistemas de Informaçãoda Agência(DISA)Técnico de Segurança
Guiasde implementação (Stigs) (http://iase.disa.mil/stigs/index.html)
Center for Internet Security(http://cisecurity.org)
SANSInstitute (http://www.sans.org/)
Agência de Segurança Nacional(NSA) (http://www.nsa.gov/)
Vejamosalgumas importantestécnicas deVMendurecimento.
Hardeno Hypervisor
É fundamentalse concentrar nohypervisorcomoum vetor de ataque, e se esforçam
paragarantir
que o hypervisoré implantadode forma segura.Mesmoantes desta fase, quando você
está
avaliação das tecnologias devários fornecedoresde virtualização", coloque um
14. prêmioem um
registro de fornecedordecontrole deidentificação de vulnerabilidadesdesua tecnologia
edo
freqüência dedistribuição de patches.
Empregarmudança econtrolesconfi guraçãopara gerenciaro sistema virtual
correções emudanças deconfi guraçãoparao hypervisor,e implementar umteste
processarpara testar apublicarvulnerabilidades.Contratar umserviço de testede
terceiros
é a melhor práticapadrão também.
EnraizarFixeo Monitor
Porquea maioria dos sistemasoperacionais podemser comprometidas por meiode
elevação de privilégios,
o monitor demáquina virtualdeve ser "raiz seguro."Isso significa quenenhum nível de
privilégio dentro doambiente de convidadovirtualizadopermitea interferência com
o sistema de acolhimento.
Implementarapenas uma função principalpor VM
Enquanto os servidorese máquinas virtuaiscontemporâneossão peritos emmulti-
tasking
muitas funções, é muito mais fácilmanter o controlesegurose a máquina virtual
éconfiguradocomseparaçãodo processo.Elacomplica muito acapacidadedo hacker
comprometeros componentes do sistemamúltiplas se aVMé implementado comuma
função principal porservidor virtualou dispositivo.
Qualquer firewalladicionaisPortasVM
A máquinavirtual podeabrir várias portasligadas aoexternado hospedeiro
Endereço IP,além dos portoshabituaisaberta peloanfitrião.Essas portas são usadas
para se conectar remotamenteà camadamáquina virtual paravisualização
ouconfiguravirtuais
máquinas, unidades de partes, ou realizar outras tarefas.
Portanto, o sistemahospedeiro deveser independentementefirewalledcom um mínimo
de acesso permitido. Gerenciamento remoto dohost eVM, provavelmente,
ser exigido, masessa comunicaçãosó deverá ter lugarem uma NICseparada
para acesso administrativosó
Endurecer o domínio do host
O Center for Internet Security (CIS) publicou recentemente uma referência Xen
estudo11 que incorpora uma série de conselhos valiosos de segurança para o
endurecimento do
host de domínio: "Antes de qualquer máquinas virtuais pode ser seguro, o
domínio do host
do sistema operacional hospedeiro Linux deve ser seguro. Um compromisso da
Hóstia
Domínio faz comprometer o convidado Domínios uma tarefa simples. assim
passos
devem ser tomadas para reduzir a superfície de ataque do Domínio Host. estes
incluem
mas não estão limitados a:
Remover contas desnecessárias e grupos.
Desativar serviços desnecessários.
Retire desnecessários binários, bibliotecas e fi les.
acesso à rede de firewall para o host.
Instale monitoramento ou Host Intrusion Detection Systems.
Verifique se o domínio do host não é acessível a partir dos domínios de
Clientes.
15. Garantir que o monitoramento ou interfaces de console remoto para o
domínio do host
não são acessíveis através dos domínios de Clientes.
Garantir que os domínios de Clientes não podem afetar diretamente qualquer
armazenamento de rede
ou outros recursos que o domínio do host depende para inicialização, confi
guração,
ou autenticação.
O anfitrião Domínio Host deve ser usado apenas como um recurso para a
virtualização
outros ambientes operacionais. O sistema de domínio de acolhimento não deve
hospedar
outros serviços ou recursos em si, incluindo web, e-mail e servidores fi le. se
tais serviços são necessários, migrar os serviços para outro sistema ou
considerar
a criação de uma máquina virtual para hospedá-los dentro de um domínio
convidado. "
Useplacas de redeexclusivospara VMsSensíveis
Se possível,VMsque contêmbases de dadosconfidenciaisecriptografadosou sensíveis
informação deveter seuendereço de interfacede rede ligadaa diferentes
efísicos separadosinterfaces de rede (NICs). EsteNIC externaseria
o vetor de ataqueprimário deintrusão,e isolamentopode ajudar a protegera VM.
Desconecteos dispositivos não utilizados
É aconselháveldesligar osdesnecessáriospadrãoconexões de dispositivosde máquinas
virtuais
ao configurara máquina virtual. Porque oVMpode controlardispositivos físicos
no host,é possívelinserir a mídiacom códigoindesejadopara o dispositivo,
permitindo queo códigoa ser executado quandoas montagensVM.Permitiro acesso ao
hostpara dispositivos
somente quandoexpressamenteexigido peloVM.
RecomendaçõesadicionaisVM
TavisOrmandy12também temrecomendações adicionaispara o
endurecimentovirtualizados
sistemas:
Tratemáquinas virtuaiscomoserviços que podem sercomprometidas;usarchroot,
systrace, acls, usuários menosprivilegiados, etc
Desativarhardwareemuladoque você não precisa, e serviços externosque
não utilize(daemons DHCP, etc), para reduzir a superfície de ataqueexposto a
usuárioshostis.
Xenvale a pena assistirno futuro;domíniosde separação devemlimitar a
impactode um compromisso.
Manter a integridade dossistemas operacionais convidados, proteger o kernel usando
procedimentos padrãode módulosincapacitantes: / dev / mem, / dev / port, etc
Mantenha o softwareclienteup-to-date com vulnerabilidades publicadas.Se um
atacante
não podeelevar seus privilégiosdentrodo hóspede,a probabilidade decomprometer
o VMMésignifi cativamentereduzido.
Mantenha o softwarede máquina virtualatualizado para garantirtodas as
vulnerabilidades conhecidas
foram corrigidos.
Eviteos hóspedesque não operamem modo protegido,e fazer uso de
recursos de segurançaoferecidos,evitar a execução decódigo não
16. confiávelcomrootequivalent
privilégiosdentro doconvidado.
Protegendo o acesso remotoVM
Muitossistemas de máquinasvirtuais sãorack-montado, e pode estar localizada emum
farmfisicamentedistinto dolocal deadministração.Isto normalmente
exige que oadministrador do sistemapara acessar o sistemaremotamente
paravirtualizado
tarefas de gestão.Isto requertécnicas seguras decomunicações remotas.
Embora a implementaçãode cada fornecedorda tecnologia de virtualizaçãopode
diferem, algumas práticas recomendadas padrãogeraisexistentes ao utilizarserviços
remotos
para acessar um sistemapara administração.A maioria dos sistemasutilizam
umagestão dedicada
NIC,eexecução de processosde serviçosque são usados paracriar umseguro
conexãocom o administradorremoto.
Práticas padrãopara administraçãoremotaincluem o seguinte:
práticasde autenticação fortedeve ser empregado:
autenticaçãode dois fatores
As senhas fortes
senhas de
pares de chavesprivada / públicaPKI
Usecomunicações criptografadasapenas, como um SSH ouVPNs.
endereço MAC outecnica de filtragemfiendereço IPdeve ser empregada.
acessoTelnet paraa unidade deve sernegado,pois nãocriptografar as comunicações
canal.
VALOR DA SSH
SSH (Secure Shell) é um emulador de terminal de conexão que se assemelha
a Telnet, mas
é uma ferramenta mais segura para a execução de tarefas de gerenciamento
remotamente. O SSH é multiplataforma
e pode funcionar tanto puramente baseados em texto sessões, bem como X-
Windows
aplicações gráficas. O SSH é exível fl o suficiente para permitir que os
administradores de executar
o mesmo conjunto de ferramentas de gestão utilizadas no ambiente, Nonvirtual
tradicional,
e inclui uma riqueza de vários add-on ferramentas construídas sobre o SSH
tecnologia, como SFTP (Secure FTP) e PuTTY (ver http://www.chiark
. greenend.org.uk / ~ sgtatham / putty / download.html).
Ela é a melhor prática na implementação SSH para desativar o menos seguro
a versão 1 do protocolo SSH (SSH-1) e utilizar apenas SSH-2. Além disso,
empregam
com base na função de controle de acesso (RBAC), ou outro mecanismo de
controle de acesso, que
força os utilizadores a usar contas de login defi nidos, para fazer valer a
responsabilidade.
resumo
Com aadoção da tecnologia denuvem vemmuitos desafios parauma organização,
especialmente na áreadecomputação seguro. Gerenciandoa segurança da
nuvem privadada organização, bem como supervisionaras ações daNuvem
17. Provedor deserviçospodebem tornar-seuma tarefa monumental.
Paraajudar a diminuiro tamanho datarefa,claramentedefinediniciativasde gestão
deve ser instituídoque delineiampropriedade clara eresponsabilidade do
segurança dos dados.Portanto, nestecapítulo,analisoudetetive,preventiva,
e as melhores práticaspara garantir quecontrolaa virtualizaçãonãoquebrar a segurança
posturada empresa.
Para este fim,olhou paraa necessidadee funçãode políticas de segurança, e deu
alguns exemplos do quetipos depolíticassão normalmente desenvolvidos.
Tambémtocou
após a detecçãode intrusãode computadore de respostaea criação deum Computador
SegurançaIncident Response Team(CSIRT).
Passamos o restodo capítuloexaminara segurançade virtualizaçãovários
melhores práticas de gestão. Nósolhou primeiro paraalgumas ameaçasespecífi
caspara o virtual
ambiente,então examinadoalgumaspráticas de segurançarecomendadas gerais, e
em seguida,terminou comdetalhes das técnicasde proteção quesão únicas
paravirtualizado
sistemas.