Реальная безопасность виртуальных машин

На предстоящей конференции VMworld кроме множества новых продуктов будет представлен проект рекомендаций по повышению безопасности виртуальных машин, решающих одну из наиболее актуальных проблем внедрения виртуализации в вычислительном центре.

Некоммерческая организация Center for Internet Security (CIS), составляющая практические рекомендации для Windows и другого ПО, применяемого в вычислительных центрах, представит раннюю версию набора практических рекомендаций по безопасности для VMware ESX Server. По словам вице-президента CIS Дейва Шаклфорда, эти критерии составлены с учетом замечаний экспертов по безопасности, VMware, Configuresoft и крупных пользователей ПО виртуализации.

Gartner прогнозирует, что к 2009 году 60% виртуальных машин будут менее безопасными, чем их физические собратья. Причина в том, что быстрое освоение виртуальных машин приводит к нарушению некоторых устоявшихся правил безопасности вычислительного центра, а распределение обязанностей между администраторами серверов и администраторами по безопасности становится менее отчетливым. Например, VMware Virtual Center содержит функцию VMotion, которая позволяет переносить работающую виртуальную машину с одного физического севера на другой. Но на ком будет лежать основная ответственность за безопасность такой ВМ?

Многие компании не могут допустить, чтобы гипервизоры их виртуальных машин, которые находятся в непосредственном контакте со многими системными ресурсами, были хуже защищены от вторжений или вредоносных программ, чем физические серверы. Поэтому критерии CIS по безопасности ESX Server, вероятно, станут первой ласточкой в серии тщательно проработанных практических рекомендаций по внедрению технологий виртуализации.

При установке ESX Server не каждый системный администратор понимает, что он имеет дело с версией Red Hat Linux, содержащей в своем ядре каталог Red Hat VAR log, который позволяет Red Hat собирать информацию, имеющую отношение к его пользователям. Аналогично, ESX Server создает другой каталог VAR log, собирающий сведения о том, как сконфигурированы виртуальные машины, какие применяются операционные системы, какие сообщения об ошибках были переданы и как сконфигурированы хост-серверы. В этих логах много информации, которую надо защищать и доступ к которой необходимо строго ограничить только теми, кто действительно в нем нуждается, говорит Шаклфорд.

Другой пример: администраторы Linux-сервера могут принять параметры настройки по умолчанию для Net.IPv4 в ядре Linux. Но если эти параметры оставить неизменными, ESX Server становится уязвимым к атакам на отказ в обслуживании. В VMware ESX Server Benchmark Version 1.0 затрагиваются эти и другие проблемы. Рекомендации относятся к версиям ESX Server 2.5 и 3.0 и будут представлены на конференции VMworld, которая пройдет в Сан-Франциско с 11 по 13 сентября. CIS все еще собирает комментарии к проекту. Окончательные критерии будут опубликованы на веб-сайте Центра www.cisecurity.org к концу текущего месяца.

Предыдущие публикации:

2007-04-27		Sun думает о виртуализации без VMware или Xen
2007-08-01		Виртуализация — не гарантия безопасности
2007-09-07		Microsoft выпускает новое ПО для управления виртуальными машинами

В продолжение темы:

2007-10-04		Инциденты, связанные с нарушением безопасности, становятся все серьезнее
2007-10-08		VMware модернизирует гипервизор ESX и инструменты управления
2008-03-25		VMware повысит надежность виртуальных машин

← август 2007

3 4 5 6 7 10 11 12 13

октябрь 2007 →