Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------andere virtualisatie platformen beschikken over een dergelijke centrale beheerapplicatie, zoals SystemCenter van Microsoft.Een centrale beheertool als VirtualCenter biedt meer beheermogelijkheden en functionaliteit. Hetbiedt een totaal overzicht van alle (toegekende) fysieke (virtualisatie) servers. Binnen VMware kanbijvoorbeeld uitsluitend gebruik worden gemaakt van virtualisatiefunctionaliteit als Vmotion, HA enDRS, indien de centrale beheertool VirtualCenter is geïnstalleerd. De belangrijkste reden hierbij is datdergelijke functionaliteit een geïntegreerd beheer over meerdere fysieke servers vereist. Deze eis isdaarnaast kenmerkend voor virtualisatie, waarbij de infrastructuur flexibeler wordt en VM’s niet meeraan één fysieke server zijn gebonden. De Service Console daarentegen kan uitsluitend voor het beheervan één fysieke server worden gebruikt. Dergelijke beheertools als VirtualCenter zijn specifiek vanuiteen centraal beheeroogpunt ontwikkeld en bieden uitgebreide toegangsniveaus. Het beheer is vaakgrafisch en daarom zijn ook algemene beheeractiviteiten vaak eenvoudig uit te voeren. Met hetgebruik van een centrale beheertool kan hierdoor vaak efficiënter en effectiever beheer op de virtueleinfrastructuurworden uitgevoerd.Identificatie en authenticatieHet is belangrijk dat er duidelijke richtlijnen en procedures bestaan over de inrichting en inhoudelijkewerking van de beheertool. In het geval van de VMware ESX server verloopt alle communicatietussen VirtualCenter en de Service Console bijvoorbeeld middels een standaard user account(vpxuser). De rechten of wachtwoord van dit account mogen niet worden aangepast.Bij het niet gebruiken van een centrale beheerapplicatie moeten accounts voor elke fysieke server(Service Console) afzonderlijk worden ingericht. Dit betekent dat voor elke server lokalegebruikersaccount aangemaakt moeten worden voor één globaal gebruikersaccount. Er kan derhalvevoor wachtwoord en gebruikerbeheer afhankelijk van de ondersteuning veel beter gebruik wordengemaakt van een overkoepelende centrale directory service zoals LDAP of windows active directory(NSA, 2008) (VMware, 2008). In de meest ideale situatie wordt er een aparte directory service voorde virtuele-infrastructuur gebruikt (NSA, 2008). Het koppelen van een bestaande directory service aanhet beheernetwerk van de virtuele-infrastructuur introduceert de kans op een mogelijk misbruik.Hanteer in het geval van een centrale beheerapplicatie een gescheiden gebruikersadministratie voorhet beheer van de virtualisatielaag en besturingssystemen (NSA, 2008). Het beheer van devirtualisatielaag vereist specifieke kennis en ervaring en is bij voorkeur belegd bij een aparte groepbeheerders. Daarnaast is het beheer van de virtuele-infrastructuur veel omvangrijker en heeft het eengrotere impact op de beschikbaarheid van meerdere VM’s. Binnen de virtuele-infrastructuur moetenVM’s, het virtuele netwerk, opslag management, prestatie- / capaciteitsmanagement en specifiekevirtualisatiefunctionaliteit zoals Vmotion worden ingericht en beheerd. “There Is a Potential Loss ofSeparation of Duties for Network and Security Controls” (Gartner, 2010). De beheertaken zoalsbeveiliging en netwerkbeheer vragen om specifieke kennis en kunde. Het wordt daarom aanbevolenook hiervoor specifieke groepen voor te hanteren.---------------------------------------------------------------------------------------------------------------------------Pagina 50
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------ReferentieReferentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-31 DS5.2 IT Security Plan Indien er gebruik wordt gemaakt van een centale beheerapplicatie,dan bestaan er duidelijke richtlijnen en procedures over deinrichting en werking van deze applicatie.SE-32SE-33DS5.4 User AccountManagementDS5.4 User AccountManagementVMware specifiek: Wijzig niet de configuratie van het standaardaccount “vpxuser”. Alle connecties vanuit VirtualCenterworden uitgevoerd met dit generieke account.Onderscheid het beheer van de virtuele-infrastructuur ten opzichtevan het beheer van besturingssystemen. Er bestaat een duidelijkescheiding tussen de taken en verantwoordelijkheden voor beidetypen beheergroepen.Gebruik verschillende groepen beheerders binnen de virtueleinfrastructuur.Groepen zijn opgezet op basis van least privilege.Er bestaat een duidelijke beschrijving van taken enverantwoordelijkheden voor de gedefinieerde beheergroepen.4.6.5 Virtualization LayerBinnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor deVirtualization Layer beschreven. Voor meer informatie over de Virtualization Layer, zie paragraaf2.5.1De Virtualization Layer dient één doel en is volledig gericht op het aanbieden van een veiligeomgeving voor VM’s. De interface tussen de Virtualization Layer en VM’s is uitsluitend mogelijkmiddels hiertoe ontwikkelde API’s. Er bestaan conceptuele discusssies over de veiligheid vanvirtualisatie en specifieke aanvallen die op de virtualisatielaag kunnen worden uitgevoerd (Hoff,2008). Vaak hebben dergelijke discussies betrekking op zogenaamde exploits (beveiligingslekken) diemisbruikt kunnen om toegang tot een VM of de virtualization layer te bemachtigen. Dat dergelijkeaanvallen niet puur theoretisch zijn, maar daadwerkelijke risico’s vormen blijkt bijvoorbeeld uit eenBlack Hat (conferentie op het gebied van IT beveiliging) demonstratie van Kostya Kortchinskywaarin verschillende geheugenlekken worden misbruikt (Kortchinsky, 2009). Enkele door Klaver(2009) en Jolliffe (2007) geïdentificeerde aanvallen zijn:• Memory Exploitation: Een VM kan buiten zijn toegekende resources treden en geheugen vaneen andere VM benaderen.• hyperthreading exploits. Hierbij wordt misbruik gemaakt van het feit dat twee processen opéén CPU kunnen worden uitgevoerd.• Buffer overflows: door het aanbieden van een grote hoeveelheid data kan er een foutoptreden, met mogelijk een crash tot gevolg.De kans op misbruik door middel van dergelijke aanvallen kan middels beheerst patch managementzoveel mogelijk worden beperkt. Indien dergelijke kwetsbaarheden zich voordoen, mag van dedesbetreffende leverancier worden verwacht dat hier snel een noodfix voor wordt gepubliceerd. Dittoont aan dit patch management een wezenlijke controle vormt om tegen dergelijke risico’s te zijnbeschermd, zie beheerproces Manage changes (AI06)4.6.6 Virtual Network LayerBinnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor een VirtualNetwork Layer beschreven. Voor meer informatie over een Virtual Network Layer, zie paragraaf 2.5.5Netwerk segmentatieDoor gebruik te maken van netwerk virtualisatie kunnen er een drietal netwerken wordenonderscheiden (NSA, 2008)(Hoff, 2008)(Chandrasekaran e.a, 2006)(VMware, 2008):---------------------------------------------------------------------------------------------------------------------------Pagina 51
Page 1: Risico’s van een gevirtualiseerde
Page 4 and 5: Possen & UlrichRisico’s van een g
Page 84 and 85: Risico’s van een gevirtualiseerde
Page 102 and 103:
Risico’s van een gevirtualiseerde
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Possen & UlrichRisico’s van een g
Page 128:
Possen & UlrichRisico’s van een g
show all

Risico’s van een gevirtualiseerde IT-omgeving

Create successful ePaper yourself

Delete template?

Save as template?