Známá neznámá

Virtualizace je přitom právě z bezpečnostního hlediska specifická. V „běžném“ počítačovém světě (kde „běžném“ je synonymum pro „nevirtuálním“) má každá aplikace svůj hardware, firewall, port, prostředí, operační systém apod. Stejně jako vlastní jasně definovanou a transparentní konfiguraci či řízení.
Naproti tomu ve virtuálním světě jsou v tisících vazbách pospojované komponenty, mezi kterými zpravidla není žádný vztah. Zkrátka: všechno mohu mít na jednom kusu hardwaru. A to i aplikace či vazby, které spolu původně vůbec nesouvisely nebo by za normálních okolností byly totálně nekompatibilní.
Výsledkem je jednoduché konstatování: neznámé aspekty a vazby ve virtualizaci jsou realitou. Co a jak je přesně provázáno? Co a jak se vzájemně ovlivňuje?
Názorně to ukazuje případ z loňské konference Defcon, kde bylo prezentováno hned několik desítek (!) nových triků a způsobů, jak kompromitovat hypervizor. Přitom právě jeho kompromitace (ač vůbec není jednoduchá) se může stát největším zdrojem potíží.
Zkrátka: klasická bezpečnost je poměrně známá a její principy jsou v zásadě neměnné, virtualizace přináší nová pravidla. A aby to nebylo tak jednoduché, tato se mění a na světlo světa přicházejí jen velmi pomalu.
Z toho plyne třeba obava, že když bude napadený jeden virtuální stroj, mohou být útokem dotčené všechny. (Případný hacker by pak měl nesmírně jednoduchou „práci“, když by se zaměřil na nejslabší článek celého systému a mohl by se dostat úplně všude.) Nejkonzervativnější bezpečnostní specialisté dokonce doporučují virtualizaci zatím jen testovat a nenasazovat do ostrého provozu, dokud nebude plně pochopena.
Jistě, z určitého úhlu pohledu je to pochopitelný názor: asi jen málokdo by si pustil do systému něco, čemu stoprocentně nerozumí a nad čím nemá plnou kontrolu. Jenomže na druhé straně je zapotřebí si uvědomit, že nežijeme ve světě, kde je bezpečnost jediným kritériem. A že virtualizaci prostě musíme akceptovat.
Trochu v rozporu s tímto názorem je skutečnost, že plná třetina uživatelů virtualizace ji využívá pro zvýšení bezpečnosti. Třeba pro testování záplat a aktualizací nebo pro zkoušky nového prostředí. Ve virtuálním prostředí je jednodušší třeba i aktualizace: prostě se vypne a zapne, není potřeba provádět mnohdy komplikovaný (a vždy neoblíbený) restart.

Čistě teoretické útoky

Je pravdou, že dosud nebyl zdokumentovaný významný bezpečnostní průnik do virtualizace. Na druhé straně: musí nastat? A může vůbec masový útok ve světě virtualizace nastat? Nejsou trendem dnešní doby třeba cílené útoky, které sice nejsou masové, ale jsou vedené s o to větší chirurgickou přesností?
Ať tak či onak, musíme rozlišovat dva typy základních útoků v oblasti virtualizace. Jednak jsou to útoky reálné, jednak teoretické. Ty sice mohou nastat, ale prakticky se s nimi nelze setkat, nebo jsou vyloučené.
Scénáře o virtuálních rootkitech pro hypervizory nebo o napadení operačního systému hostujícího serveru skrze operační systém virtuálního stroje vyvolávají mrazení v zádech. Navíc když už je někdo experimentálně „prokázal“. Jistě, možné jsou – ale jsou reálné? Zatímco v jiných oblastech bezpečnosti je i teoretický koncept útoku považovaný za setření pelu nevinnosti z dotyčného systému či technologie, u virtualizace to zdaleka nemusí být pravdou. Právě díky velmi komplikovaným vazbám mezi hardwarem a softwarem je dokonce pravděpodobné, že se některé typy útoků a zranitelností nepodaří zreplikovat. Proto je zapotřebí rozlišovat mezi reálnými a teoretickými hrozbami. Nejprve se vždy věnujme těm reálným, potom se lze pustit do křížku i s těmi teoretickými.

Monitorovat a konfigurovat

Základem bezpečnosti virtualizace je schopnost prosazovat bezpečnostní politiky, které jsou již v organizaci zavedené, na všechny virtuální stroje. Jinak vznikají závažné bezpečnostní mezery, což se v konečném důsledku může nepříjemně vymstít.
Dále je ve virtuálním prostředí nezbytné implementovat nástroje pro monitoring a konfiguraci. Pokud je nemáte (podmínkou je přitom schopnost operovat právě ve virtuálním prostředí), nepřecházejte na virtualizaci. Toto už není rada paranoidního bezpečnostního specialisty, toto vám dnes řekne každý, kdo kolem virtualizace a jejích bezpečnostních otázek jen trochu prošel. Bez schopnosti spravovat a ovládat virtuální prostředí se jen dostanete do potíží – i kdyby neměly charakter cílených útoků, ale byly ryze provozního rázu. Každopádně mějte na paměti, že monitorovací a konfigurační nástroje se stále vyvíjejí a ty dnešní mají menší možnosti než ty zítřejší.
Je pravda, že třeba „vyčištění“ od viru je ve virtuálním světě jednodušší. Stačí prostě vypnout a zapnout virtuální server (máte-li jistotu, že image je čistý). Mnohem větší problém ale představuje nalezení odpovědi na otázku: Jak zjistit, že k útoku došlo? Bez monitorovacích nástrojů jen těžko.
Stejně tak nezajistíme, že nedojde ke spuštění nezáplatovaného a neaktualizovaného serveru: bez konfiguračních nástrojů k této situaci dojde raz dva.

Rady pro bezpečnější virtualizaci

Pokud bychom měli přejít do roviny konkrétních rad a věnovat se nejčastějším chybám souvisejícím s bezpečností virtualizace, pak na prvním místě je nezahrnutí bezpečnosti do TCO (total cost ownership). Virtualizace je vnímána jako technologie šetřící finanční prostředky, a tak často (záměrně i neúmyslně) bývají prvotní odhady nákladů podhodnocené.
A právě na bezpečnosti se často šetří. S tím, že jde o nezbytnost, na kterou se zdroje beztak najdou později. Jenomže to přináší několik problémů. Třeba s pokřivenými finančními výkazy a následnou sníženou důvěryhodností celého ICT. Nebo s tím, že později implementovaná bezpečnost už nebývá nedílnou součástí řešení, ale jakousi nadstavbou.
Ostatně toto je další častá chyba. A to nepracovat s bezpečností už od počátku. Peníze sice uvolněné jsou, ale bezpečnost přece počká, až to bude hotové. Bezpečnost pak stojí jaksi mimo jádro systému, se kterým není úzce provázaná. Nehledě na to, že se při provozu dříve či později objeví skutečnosti, které povedou k implementaci dalších bezpečnostních prvků. Tak proč bezpečnost oslabovat už od počátku?
Trvale monitorujte systém a celou síť. Jen tak jsme schopni mít kontrolu, jen tak budeme mít přehled a jen tak budou naše opatření účinná.
Nepodceňujte aktualizace a záplaty, a to včetně hypervizoru. Sice jde o těžce napadnutelné rozhraní, ale nemožné to není. Na to navazuje rada: chraňte si hypervizor jako oko v hlavě, protože kdo ho ovládá, ovládá vše.
Stejně tak věnujte pozornost ochraně jednotlivých image – před externími či interními útočníky. Dnes je možné na jeden USB flash disk, paměťovou kartu či třeba iPod vtěsnat několik image. A stejně tak je rychlý a jednoduchý jejich přenos po internetu. A má-li útočník image k dispozici, může si je znovu a znovu přetáčet od začátku: dokud neprolomí ochranu.
A v neposlední řadě: sledujte nové trendy. Téma bezpečnosti a virtualizace se stále vyvíjí a zdaleka není uzavřené.