Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Koppeling van beveiliging en vLANDe flexibiliteit van virtualisatie stelt eisen aan de manier waarop netwerken zijn ingericht. Voorheenwas een netwerk namelijk redelijk statisch, een server werd niet vaak naar een ander netwerksegmentverplaatst. Met virtualisatie worden VM’s echter flexibeler. VM’s kunnen verplaatst worden tussenfysieke servers. Dit betekent dat er beheersmaatregelen moeten worden ingericht om ingeregeldenetwerksegmenten te blijven onderhouden. Dit vergt een arbeidsintensieve beheeractiviteit, omdatvirtualisatie steeds meer naar een dynamische architectuur toe beweegt. Een architectuur waarbij nietmeer de plek van een VM bepalend is, maar de gedefinieerde criteria en beperkingen.“Enterprises are advised to evaluate the need for point solutions that are able to associate securitypolicy to virtual machines' identities and that prevent the mixing of workloads from different trustlevels on the same server” (Gartner, 2010). Zoals besproken in de sectie “Segmentering” kan op basisvan het NSA onderzoek worden geconcludeerd dat logische scheiding tussen VM’s met verschillendeBIV classificatie toereikend is. Gartner maakt wel een terechte aanvulling dat segmentatie in een zeerdynamische omgeving in stand moet worden gehouden. Verschillende (virtualisatie)softwareleveranciers en leveranciers van netwerkcomponenten bieden nieuwe netwerkfunctionaliteit aan diede mogelijkheden van virtualisatie verder ondersteunen. Voorbeeld hiervan zijn virtuele switcheswaarbij een VM kan worden verplaatst en de gedefinieerde configuratie meeverhuisd. Dit betekent dateen VM bereikbaar blijft en beveiligingsinstellingen blijvend worden afgedwongen. Een voorbeeldvan een dergelijke functionaliteit is de Citco Nexus 1000V virtual switch (Miller, 2008).ReferentieReferentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-39 DS5.10 Network Security Er bestaan duidelijke procedures voor het in stand houden van degedefinieerde netwerksegmentatie en beveiligingsinstellingen(policies) bij het migreren van VM’s over fysieke servers.Monitoren van virtuele netwerk beveiligingVMware specifiek: VMware ondersteund software matigeoplossingen die een VM en ingestelde policies aan elkaarkoppelt. Een voorbeeld van een ondersteunend beheercomponentis de Citco Nexus 1000V virtual switchGezien de ontwikkeling om steeds flexibeler te opereren, zal communicatie tussen VM’s zal steedsmeer gevirtualiseerd plaatsvinden. De directe communicatie tussen VM’s, dus zonder tussenkomstvan fysieke netwerk componenten, leidt ertoe dat deze communicatie voor bestaandebeveiligingsfunctionaliteit zoals een intrusion prevention systeem niet meer inzichtelijk is (Gartner,2010). Er zal daarom ook voor de virtuele laag beveiligingsfunctionaliteit moeten wordengeïmplementeerd, zodat een organisatie beheersing over het virtuele netwerk en het fysieke netwerkals geheel kan garanderen.Referentie Referentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-40 DS5.10 Network Security Een organisatie heeft beveiligingsfunctionaliteit geïnstalleerdvoor de beheersing van de virtuele netwerk laag in relatie methet fusieke netwerk.Misbruik van vLAN functionaliteitUit bovenstaande beheersmaatregelen blijkt een sterke voorkeur te bestaan om bij virtualisatie gebruikte maken van vLAN functionaliteit. Indien dit niet gebeurt, zijn een groot aantal voordelen van---------------------------------------------------------------------------------------------------------------------------Pagina 54
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------virtualisatie niet mogelijk als gevolg van een statische infrastructuur. Het gebruik van vLAN’sintroduceert echter nieuwe risico’s die veelal technisch van aard zijn.Jolliffe (2007) omschrijft een tweetal bedreigingen waarbij de integriteit en het gedrag van een virtualswitch wordt beïnvloed. Voor deze bedreigingen zijn binnen de ESX server waarborgendemaatregelen ingebouwd. NSA (2009) concludeert dat vLAN’s toereikende beveiliging bieden. Hierbijgelden de eerder aangedragen aanbevelingen. Natuurlijk is het mogelijk deze maatregelen te omzeilenbijvoorbeeld door middel speciale software. Door Jolliffe (2007) wordt geconcludeerd dat de kans opdergelijke risico’s onwaarschijnlijk is. De door Jolliffe beschreven risico’s zijn:• “attack via virtual switch integrity”: misbruik maken van een vSwitch om toegang tot een eenander netwerksegment te verkrijgen;• “VM or other network nodes influencing Virtual Switch behavior”: Door middel van data destuurtabel van een vSwitch beïnvloeden.Om de de twee bovenstaande bedreigingen en andere bedreigingen te voorkomen is een goed patchmanagement van belang, zie hiervoor sectie Manage changes (AI06)MAC‐adres spoofingElke virtuele netwerk adapter beschikt over een eigen MAC-adres zodra de adapter wordt gecreëerd.Dit adres wordt het initiële adres genoemd. Naast het initiële adres bestaat er een zogenaamd effectiefMAC-adres. Tijdens creatie zijn beide adressen gelijk, maar het effectieve MAC-adres kan wordengewijzigd. Indien er een wijziging van dit adres plaatsvindt zal de netwerk adapter het verkeer van ditnieuwe (lees effectieve) MAC-adres ontvangen. Kwaadwillende kunnen deze functionaliteitmisbruiken door het nabootsen van een netwerk adapter’s MAC-adres. Het wijzigen van MAC-adresinstelling dient voorkomen te worden. Binnen ESX omgeving worden hiervoor een tweetalinstellingen gehanteerd, namelijk “MAC address changes” en “forged transmissions”. Met dezeinstellingen wordt afgedwongen dat de geconfigureerde MAC-adressen niet zijn te wijzigen en eenVM niet is te misbruiken voor MAC-address spoofing (VMware, 2008)(Jolliffe, 2007).Referentie Referentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-41 DS5.10 Network Security Zorg dat MAC-adres instellingen niet voor aanvallen zijn temisbruiken en zorg voor een configuratie waarbij degeconfigureerde instellingen niet zijn te wijzigen.Promiscuous mode van netwerk interfacesVMware specifiek:Bij MAC-address spoofing probeert eenaanvaller zich te presenteren als een betrouwbare VM door hetunieke MAC-adres te imiteren. Stel onderstaande parameters alsvolgt in:MAC address changes: REJECTForged transmission: REJECTMet “promiscuous mode” van netwerk interfaces wordt een configuratie bedoeld waarbij een interface(bijvoorbeeld een virtuele switch) alle data doorstuurt in plaats van enkel de noodzakelijke frames.Indien een dergelijke configuratie wordt gehanteerd, dan kunnen de objecten die aan een dergelijkswitch zijn gekoppeld alle pakketjes die over het netwerk worden verzonden onderscheppen en lezen.Indien in het geval van een virtual switch deze switch is gekoppeld aan fysieke netwerk adapter, danis alle data verkeer van zowel VM’s als fysieke apparatuur te lezen. Het wordt aanbevolen geengebruik te maken van promiscuous mode.---------------------------------------------------------------------------------------------------------------------------Pagina 55
Page 1:
Risico’s van een gevirtualiseerde
Page 4 and 5:
Possen & UlrichRisico’s van een g
Page 6 and 7: Possen & UlrichRisico’s van een g
Page 84 and 85: Risico’s van een gevirtualiseerde
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

Create successful ePaper yourself

Delete template?

Save as template?