De 5 grootste zorgen over servervirtualisatie

In enquêtes onder IT-managers staat beveiliging consequent in de zorgen-topvijf, en dan met name de beveiliging gerelateerd aan de IT-hype van het moment. Recentelijk hebben we het dan over zorgen rond sociale netwerktechnologieën, zoals Twitter en Facebook en andere uitlaatkleppen waar werknemers vertrouwelijke bedrijfsinformatie los zouden kunnen laten. Maar de beveiliging van virtuele servers en gevirtualiseerde infrastructuren staat ook hoog op de lijst. Zo hoort het ook, vinden analysten

Niet dat virtuele servers minder veilig zijn dan enige andere server, aldus Neil MacDonald, beveiligings- en infrastructuuranalist bij Gartner. Op veel punten zijn virtuele machines veiliger dan 'normale' servers, alleen al omdat ze geïsoleerder zijn en afhankelijk zijn van één enkele hostserver. Dit maakt het fysieke beveiligingsprobleem veel eenvoudiger dan wanneer elke server op een apart stuk hardware staat, zegt hij.

"Maar elk van die virtuele servers is wel nog steeds een aparte server", zegt MacDonald. "Elk van die servers heeft zijn eigen besturingssysteem en configuratie die wel of niet de standaard heeft die door het bedrijf is ingesteld. En elk moet op dezelfde manier gepatcht en onderhouden worden als een normale server; veel mensen vergeten dat, maar het maakt de situatie een stuk lastiger."

Het is in theorie mogelijk dat hackers specifiek de hypervisorlaag aanvallen, of een VM overnemen en deze gebruiken om andere VM's aan te vallen, stelt Chris Steffen, technisch hoofdarchitect bij Kroll Factual Data, een dienstverlener voor kredietrapporten en financiële informatie in Loveland, Colorado. Maar dit is tot nu toe nooit "in het wild" gebeurd, dus vooralsnog blijft de dreiging theoretisch. "Je zou ook een virus kunnen krijgen dat op de BIOS-chip op je machine is gericht, maar we komen tegenwoordig niet veel BIOS-virussen meer tegen," zegt Steffen.

Het grootste probleem met VM's, zeggen Steffen en MacDonald, is de mogelijkheid dat IT- of beveiligingsmanagers de controle erover kwijtraken, gewoonweg omdat ze de risico's niet herkennen wanneer deze opduiken.

De National Security Agency (NSA) heeft de zorgen herkend en ze doorgespeeld aan software-ontwikkelingslabs. Het resultaat is een managementsysteem voor virtuele severs, NetTop genaamd, dat een configuratie vereist die voorkomt dat VM's die op dezelfde machine draaien elkaar in de weg staan. Het lost niet alle potentiële configuratieproblemen op, maar het concentreert wel alle beveiligingsprocessen binnen een specifieke technologielaag en ontwikkelingsproces.

In 2007 hebben de NSA en aannemer General Dynamics deze beveiliging uitgebreid met een werkstation dat het zogenaamde High-Assurance Platform draait - een gevirtualiseerd besturingssysteem met een aparte laag code die verantwoordelijk is voor de beveiliging van zowel het virtuele besturingssysteem en de applicatie als de gegevens die worden gebruikt.

De meeste bedrijven hebben die beschermingslaag, die werd ontworpen voor de Amerikaanse speciale strijdkrachten, niet nodig. Maar ze hebben wel te maken met een reeks beveiligingsproblemen waarvan er veel niet worden herkend of niet helemaal serieus worden genomen, zegt MacDonald. En daar ligt de basis van het probleem.

We kijken hier naar de belangrijkste vijf problemen met de beveiliging van virtuele servers van dit moment.

1. Het managen van toezicht en verantwoordelijkheid

Het overkoepelende probleem met virtuele servers is verantwoordelijkheid, zegt MacDonald. In tegenstelling tot fysieke servers (die de directe verantwoordelijkheid zijn van het datacentrum of de IT-managers in wiens fysieke domein ze zich bevinden) is de verantwoordelijkheid voor virtuele servers niet altijd even duidelijk. Moet de business unit die ze hebben aangevraagd de boel configureren en beveiligen? Of is dat de taak van de IT-manager die het dichtst bij de fysieke host zit? Moet er misschien een centrale 'master sysadmin' komen die als taak heeft alle virtuele bezittingen binnen een bedrijf te managen en te beveiligen?

"Mensen begrijpen niet altijd dat je, wanneer je virtuele servers toevoegt, te maken hebt met een extra laag technologie bovenop de applicatie, het besturingssysteem en de hardware, en dat je die moet beveiligen," zegt MacDonald.

Het meest concrete risico dat voortkomt uit een gebrek aan verantwoordelijkheid is dat er fouten ontstaan in het arbeidsintensieve proces van het patchen, onderhouden en beveiligen van elke virtuele server binnen een bedrijf. In tegenstelling tot de fysieke servers waar ze op staan (die worden opgestart en geconfigureerd door alerte IT-managers die de nieuwste patches installeren) worden virtuele servers doorgaans opgestart vanaf serverimages, die soms weken of maanden eerder zijn gecreëerd, geconfigureerd en gepatcht.

De meeste bedrijven houden een klein aantal 'gouden' images voor algemeen gebruik apart, van waaruit nieuwe VM's voor verschillende doeleinden worden opgestart of herstart. Maar daarnaast slaan ze nog eens tientallen of honderden serverimages op op DVD of op schijf die met veel moeite geconfigureerd zijn om specifieke applicaties of business requirements te ondersteunen, zegt MacDonald.

"Je kunt een snapshot nemen van een virtuele machine en die op schijf opslaan, voor noodherstel, of zodat je de boel de volgende keer niet helemaal opnieuw hoeft in te stellen. Het enige dat je dan nog hoeft te doen is één van deze virtuele machines opstarten die in offline libraries zijn opgeslagen. Maar meestal worden die niet up-to-date gehouden met A/V-signatures en patches", zegt MacDonald. "Iemand zou dat moeten controleren zodra er een wordt opgestart. Maar vaak wordt dat niet gedaan, en vaak is er ook geen manier om dat te controleren."

Zowel Microsoft als VMware leveren patchmanagementprogramma's bij hun basis infrastructuurproducten. Ze eisen allebei dat schijfimages die worden opgeslagen in libraries periodiek worden opgestart zodat ze kunnen worden gepatcht.

Jammer genoeg is dat een heel vervelend proces voor bedrijven die libraries hebben met vaak wel honderden VM-images. Bovenien wordt er niks gedaan met de patchstatus van VM's die draaien, maar misschien al weken of maanden niet gepatcht zijn, of geen nieuwe antivirussignatures geïnstalleerd hebben. Natuurlijk proberen VMware, HP en veel andere bedrijven IT nu te helpen met managementproducten, waarmee veel van zulke taken kunnen worden geautomatiseerd.

Virtuele servers worden ontworpen om onzichtbaar dan wel erg low-profile te zijn, binnen het datacentrum tenminste. Alle opslag of bandbreedte of vloeroppervlak of elektriciteit die ze nodig hebben komt van de fysieke server waarop ze staan. Voor datacentrummanagers die niet specifiek als taak hebben alle minuscule interacties van de VM's binnen elke host bij te houden, lijken virtuele servers vaak een onzichtbaar netwerk, waarin weinig gestuurd kan worden.

"Virtuele switchimplementaties stellen de VM's in staat om met elkaar en over het netwerk te communiceren", zegt MacDonald. "Als je dat netwerk geen virtuele beveiligingscontroles inzet (virtuele sniffers, virtuele firewalls, dezelfde controles dus die je op een fysieke server zou gebruiken), zie je niet wat er gebeurt."

"Er zijn veel compliance- en gebruiksproblemen", aldus MacDonald. "Dat je geen sniffer hebt om die pakketjes tussen de virtuele servers te zien bewegen, betekent niet dat ze er niet zijn," zegt hij. "Het zou kunnen dat een HIPPA-gecontroleerde workload communiceert met een non-HIPPA workload, of je krijgt PCI en non-PCI workloads die met elkaar communiceren. Dat brengt je in een lastige positie. Je had het kunnen weten als je naar de pakketjes op dat netwerk had gekeken, maar die pakketjes komen niet zó uit de doos zodat je ernaar kunt kijken. Dus tenzij je extra stappen onderneemt, weet je het niet."

Microsoft, VMware en Citrix bouwen allemaal een zeker niveau van zichtbaarheid van en controle over die interacties in hun basisproducten in, maar het niveau van dergelijke functies is zeker niet hoog genoeg om ervoor te zorgen dat klanten goed beveiligd zijn, aldus MacDonald.

Beginnend Silicon Valley-bedrijf Altor krijgt al wat navolging met zijn virtuele firewalls, net als Reflex Systems, dat van fysieke firewalls op virtuele firewalls overstapte om de groei in die markt bij te benen, zegt MacDonald. "Cisco en Juniper zijn nog niet zover; we hebben het omslagpunt waarop de traditionele netwerkleveranciers vinden dat ze virtuele machines moeten gaan ondersteunen nog niet bereikt", zegt hij.

In veel gevallen zijn klanten niet op de hoogte van bepaalde risico's, of kan het ze niet schelen. Een enquête onder 109 bezoekers van de RSA Conference 2009 in Las Vegas vorige maand, gehouden en gepubliceerd door software-aanbieder Secure Passage, gaf aan dat 72 procent van de respondenten geen enkele virtuele firewall gebruiken. De redenen die het meest werden genoemd: het beperkte zicht dat respondenten hadden op virtuele netwerken, de moeilijkheid van het managen van virtuele beveiliging en een gebrek aan begrip van wat een virtuele firewall inhoudt.

VMSafe, de API's die VMware ingebouwd heeft in de vSphere-versie van zijn virtuele infrastructuurproduct, maakt het externe beveiligingsleveranciers mogelijk hun applicaties toe te passen op VM's van VMware. Het bedrijf kondigde op de RSA-conferentie ook aan dat het RSA's dataverliespreventiesoftware in vSphere heeft ingebouwd ter verbetering van de veiligheid ervan.

"Ze boeken vooruitgang", zegt MacDonald over VMware en Microsoft. "Maar ze zijn nog niet waar we ze moeten hebben."

Simon Crosby, hoofdfunctionaris technologie bij Citrix Systems, zei tijdens een discussie over beveiliging op de RSA-conferentie dat beveiliging in de applicaties moet worden ingebouwd - niet in de hypervisor of virtuele infrastructuurmanagementproducten.

Hij zei dat de meeste beveiligingsproblemen kunnen worden opgelost door goed op de beveiligingsconfiguratierichtlijnen te letten en dat sectorgroepen als de Cloud Security Alliance deze begeleiding kan uitbreiden met procesmanagement- en beleidszaken.

Een ander gevolg van het gebrek aan toezicht op virtuele machines is woeker - de ongecontroleerde vermenigvuldiging van het aantal virtuele machines die worden opgestart (en dan vergeten) door IT- managers, ontwikkelaars of managers van business units die voor een bepaald doel extra servers willen en ze daarna niet meer kunnen bijhouden.

VM-woeker verspilt hulpbronnen, creëert onbewaakte servers die toegang tot gevoelige informatie zouden kunnen geven en zorgt ervoor dat, als er later een probleem opduikt, een pijnlijk en nodeloos ingewikkeld opschoningsproces doorlopen moet worden, zegt Steffen.

"We proberen de VM's op exact dezelfde wijze te behandelen als fysieke machines: met systeemscans, antivirus, enzovoorts. Daaronder valt het doorlopen van een aanschafproces voor VM's alsof het fysieke machines zijn", zegt Steffen.

Op die manier worden managers van bedrijfseenheden gedwongen om aanvraagformulieren in te vullen en uit te leggen waarom ze een extra VM willen, waarvoor, en voor hoe lang. Je zou het inefficiënt kunnen noemen omdat dit het proces vertraagt, maar het geeft iedereen die ermee te maken heeft de tijd te bedenken hoe noodzakelijk elke nieuwe VM is.

"We doen dat niet als een server die ze al hebben draaien vervangen moet worden", zegt Steffen. "Maar met VM's loop je het risico dat de boel compleet uit de hand loopt en dat je er straks zoveel hebt dat je niet meer bij kunt houden hoe veilig ze zijn."

De enquête van Secure Passage onder RSA-bezoekers liet zien dat 42 procent zich zorgen maakte over woeker, met name over het gebrek aan middelen om managers van bedrijfseenheden ervan te weerhouden naar wens nieuwe servers in het leven te roepen, in plaats van dit te coördineren met IT, zodat ze beheerd worden en beveiligd zijn.

5. Het managen van virtuele apparatuur

Eén van de voordelen van virtuele infrastructuren is de mogelijkheid een product van een externe leverancier te kopen of te testen en het binnen een paar minuten draaiende te hebben. Je hoeft geen ruimte op een testserver vrij te maken, je hoeft de software niet te installeren en het te laten communiceren met het besturingssysteem en het netwerk en dan, uren later, te kijken of het doet wat het moet doen, aldus MacDonald.

Maar is een virtuele appliance is ook een virtuele kat in de zak. "In elk pakket zit een besturingssysteem en een applicatie, elk met zijn eigen configuratie en patchstatus, en in feite heb je geen idee wat er precies in zit of wie het gaat onderhouden of wat de risico's op de lange termijn gaan worden", zegt MacDonald. "Het heeft een volledige applicatie en een compleet besturingssysteem, helemaal geconfigureerd en klaar om te draaien. Binnen vijf minuten kun je die nieuwe anti-spamserver uitproberen. Maar welk besturingssysteem heb je nu binnen de muren gehaald? En is hete gepatcht? En zo niet, wie gaat je de patch dan aanleveren?"

Bron: Techworld