Подписаться
Читать в телеграм
Виртуализация позволяет разделять процессор, оперативную и постоянную память, сетевые подключения. При этом каждый из этих ресурсов может иметь дополнительный вектор атаки в виртуальной среде, далеко не всегда очевидный. Безусловно, не стоит говорить об атаках, связанных, например, с модуляцией передаваемой информации через уровень использования процессора или памяти, как о весьма распространенных и актуальных для большинства. Такая экзотика с использованием скрытого канала передачи информации по времени вряд ли встретится в повседневной жизни. С другой стороны, если виртуальная инфраструктура подключена к системе мониторинга, расположенной в менее защищенной зоне или доступной из интернета, ничто не помешает передать информацию через этот канал. Пусть даже без наличия прямого сетевого соединения между скомпрометированной ВМ, с которой происходит утечка, и неким сервером во внешней сети.
Если коснуться постоянной памяти, кто может гарантировать, что виртуальные диски подключались только к одной ВМ, а их содержимое уже не было скопировано на другой? Отсутствие контроля доступа пользователей виртуальной среды к дискам ВМ может привести к утечке ВМ целиком вместе с конфиденциальной информацией на незащищенные носители, где к данным можно получить доступ в обход средств защиты. Кроме того, к проблемам с доступностью таких систем приводит отсутствие строгой политики применения в промышленной системе динамических дисков и контроля их использования, а также планирования дискового пространства.
Сетевая инфраструктура часто базируется на основе программно-аппаратных средств контроля межсетевого трафика, использование которых осложнено в виртуальной среде, поэтому эта часть функций современных систем защиты также должна ложиться на плечи самой виртуальной инфраструктуры. Возвращаясь к единому времени применительно к сетевым угрозам: сегодня растет вероятность реализации атак типа «человек посередине», например, TCP hijacking. Это обусловлено тем, что создание TCP ISN (Initial Sequence Number) зависит от функции генерации псевдослучайных чисел, т.е. атакующему ВМ из самой виртуальной среды проще подобрать TCP ISN и реализовать атаку TCP hijacking, так как они живут в «одном времени». Кроме того, допускается вероятность, что виртуальные машины (например, копии одной и той же ВМ, а это в условиях развертывания из шаблонов весьма возможно), использующие программный генератор псевдослучайных чисел, будут шифровать поток сетевых данных на одном и том же ключе. В этом случае расшифровать его можно, применяя простую операцию XOR. Развивая тему возможностей нарушителя, стоит подчеркнуть, что ключи шифрования, загруженные в оперативную память даже с защищенного носителя, могут быть извлечены из Snapshot, который администратор виртуальной инфраструктуры при желании сделает абсолютно незаметно.
Безусловно, стоит обращать внимание и на такие очевидные угрозы, связанные с суперправами администратора виртуальной среды, как атака на сервер управления или гипервизор. Она позволяет злоумышленнику получить интерфейс для обхода средств защиты, установленных на ВМ, и доступ к процессу ее загрузки.
Даже не затрагивая такие вещи, как ошибки конфигурирования, можно констатировать, что проблема обеспечения безопасности виртуальных сред существует, и она чрезвычайно актуальна ввиду все возрастающего распространения решений для виртуализации. Поэтому к вопросам защиты необходимо подходить обстоятельно и ставить их еще на этапе проектирования самой виртуальной среды. Такая практика существенно упрощает процесс защиты в будущем. Сегодня рынок информационной безопасности начал корректно реагировать на возникающие риски и предлагать решения, нивелирующие специфические угрозы виртуальных сред. Остается только шагать с ним в ногу и не ошибаться при выборе этих решений.
