Керівництво по віртуалізації PCI DSS. Частина 2

Стандарт: Стандарт безпеки даних PCI (PCI DSS)
Версія: 2.0
Дата: Червень 2011
Автор: Спеціальна група по Віртуалізації Рада Стандартів Безпеки PCI
Додаткова інформація: Керівництво по віртуалізації PCI DSS

Керівництво по віртуалізації PCI DSS. Частина 1

3 Ризики віртуалізованих середовищ



Хоча віртуалізація і дає певну кількість функціональних і оперативних переваг, перехід до віртуальної середовищі не знижує ризики, що існують у фізичних системах, а також може привнести й нові унікальні ризики. Отже, існує ряд факторів, які слід враховувати при створенні віртуальних технологій, включаючи, але не обмежуючись тими, які визначені нижче.



3.1 Уразливості фізичного середовища застосовні і в віртуальному середовищі
Віртуальні системи та мережі схильні таким атакам і вразливостей, які існують у фізичній інфраструктурі. Додаток, яке має недоліки конфігурації або є вразливим для шкідливого впливу, буде мати ті ж недоліки і уразливості при установці у віртуальному середовищі.
Аналогічним чином, погано налаштований віртуальний міжмережевий екран може ненавмисно піддати внутрішні системи для інтернет-атак таким же чином, як і невірно налаштований фізичний міжмережевий екран.
Фізичні загрози поширюються також і на застосування у віртуальних середовищах; найбільш правильно налаштовані і добре розміщені логічні розділи як і раніше вимагають адекватні фізичні заходи для захисту обладнання. З цієї причини, фізична хост-система завжди буде залишатися в сфері охоплення навіть у тих випадках, коли є логічне скорочення.

3.2 Гіпервізор створює нові простори для атаки
Ключовий фактор ризику, унікальний для віртуальних середовищ, — це гіпервізор. Якщо він зламаний або неправильно налаштовано ВМ, розташовані на цьому гипервизоре потенційно схильні до ризику. Гіпервізор надає єдину точку доступу у віртуальну середу і також потенційно є єдиною точкою відмови. Неправильно налаштовані гипервизоры стають єдиною точкою для злому безпеки всіх хостящіхся компонентів. Неважливо, наскільки безпечно налаштовані індивідуальні ВМ або компоненти, зламаний гіпервізор може перезаписати всі настройки і отримати прямий доступ до віртуальних систем.
Поряд з наданням потенційної точки проникнення до ВМ гіпервізор сам по собі створює нову поверхню для атак, яка не існує у фізичному світі і може бути вразлива для прямих атак. Слабкості в технології ізоляції гіпервізора, заходи доступу у зміцненні безпеки і при патчинге можна виявити і використовувати в своїх цілях, що дозволить зловмисникам отримати доступ до індивідуальних ВМ.
Додатково, конфігурація гіпервізора за замовчуванням часто є не самою безпечною, і якщо його не налаштувати належним чином, кожен гіпервізор потенційно можна експлуатувати метою злому.
Дуже важливо, щоб доступ до гіпервізору був обмежений у відповідності з найменшими привілеями та принципом необхідного знання, і щоб проводився обов'язковий незалежний моніторинг усіх видів діяльності. Гипервизоры не створюються однаковими, тому особливо важливо вибирати рішення, яке підтримує необхідні функції безпеки для кожної середовища.

3.3 Підвищена складність віртуалізованих систем і мереж
Віртуалізовані конфігурації можуть включати в себе як системи, так і мережі; наприклад, ВМ можуть передавати дані один одному через гіпервізор, а також через підключення до віртуальної мережі або через прилади безпеки віртуальної мережі, такі як віртуальні міжмережеві екрани. У той час як такі конфігурації можуть запропонувати значні оперативні переваги, ці додаткові рівні технологій також вносять значні складності, якими потрібно ретельно контролювати, і які можуть зажадати додаткових заходів забезпечення безпеки і застосування складної політики управління для забезпечення належної безпеки на кожному рівні. У поєднанні з потенційними уразливими у віртуальних операційних системах і додатках, це збільшення складності може також призвести до випадкового зміни конфігурації або навіть повністю новим загрозам, які не були передбачені при розробці системи. Оскільки примірники віртуальних компонентів часто дублюються в декількох системах, присутність таких вразливостей, може призвести до значного злому по всій середовищі.

3.4 Більше однієї функції на фізичну систему
Особлива стурбованість у віртуальних середовищах полягає в можливості того, що злом однієї з віртуальних функцій системи може призвести до порушення інших функцій на одній і тій же фізичній системі. Знаходиться під загрозою ВМ може використовувати механізми комунікація на рівні віртуалізації для запуску атак на інші віртуальні машини на тому ж хості або навіть на гіпервізор. Технології віртуалізації може знизити ризик цього поділу процесу між різними функціями. Навіть при цьому дотримуємося розглядати ризик, пов'язаний з розташуванням безлічі функцій або компонентів єдиної фізичної системи. Наприклад, кілька функцій, розміщених на одній фізичній системі, збільшують можливості злому, якщо зловмисник отримає фізичний доступ до хост-системі.
Дивіться також — Змішування ВМ різних рівнів довіри (там наведені описи пов'язаних ризиків).

3.5 Змішування ВМ різних рівнів довіри
Одна з проблем при плануванні розгортання віртуалізації полягає в тому, щоб визначити належні конфігурації для різних видів навантажень, розміщених всередині певної технології віртуалізації. Потрібно чітко оцінювати ризик розміщення ВМ різних рівнів довіри на одному і тому ж хості. У віртуальному контексті, ВМ з більш низькою довірою буде, як правило, мати менше заходів безпеки, ніж ВМ з більш високим рівнем довіри. Таким чином ВМ з більш низькою довірою може використовуватися для злому, потенційно надаючи місце для атаки на більш чутливі ВМ в рамках єдиної системи. Теоретично, розміщення ВМ різних рівнів довіри на одному і тому ж гипервизоре або хості може знизити загальний рівень безпеки для всіх компонентів до рівня найменш захищеного компонента (також відомий як принцип — безпека настільки сильна, наскільки сильний найменш захищений елемент).
З-за збільшення ризиків і проблем з налаштуванням, рівні довіри і ризику, пов'язаний з кожною функцією ВМ слід обов'язково розглядати при плануванні конструкції віртуальної мережі. Аналогічно, бази даних та інші системи зберігання, які зберігають дані про власників карток, вимагають більш високого рівня безпеки, ніж системи зберігання нечутливих даних. Не забувайте як слід оцінити ризик змішування вразливих даних з даними, що мають більш низький рівень довіри.

3.6 Брак поділу обов'язків
Може бути особливо складним визначити точні ролі користувачів (наприклад, відокремити адміністратора мережі від адміністратора сервера), і політику доступу в розподіленій, віртуалізованому середовищі. Ризики неправильного визначення ролей і політики доступу дуже важливі, оскільки доступ до гіпервізору потенційно може надати широкий доступ до ключових компонентів інфраструктури (включаючи свічі, міжмережеві екрани, платіжні програми, сервери збори логів, бази даних тощо). Через збільшення доступності до декількох віртуальних пристроїв і функцій з єдиного логічного розташування або користувача, контролю та забезпечення дотримання відповідного розподілу обов'язків має вирішальне значення у віртуальному середовищі.

3.7 Неактивні віртуальні машини
На багатьох віртуальних платформах віртуальні машини можуть існувати як в активному, так і в неактивному стані. ВМ, які більше не активні (неактивні або більше не використовуються) можуть містити незахищені дані, такі як дані автентифікації, ключі шифрування або критичну інформацію щодо налаштування. З-за того, що неактивні ВМ активно не використовуються, їх легко можна упустити з виду і по необачності не піддати процедур безпеки.
Так як неактивні ВМ не використовуються, їх легко можна недогледіти і ненавмисно виключити з процедур безпеки. Неактивні ВМ, швидше за все, не будуть оновлюватися з урахуванням останніх виправлень для системи безпеки, у результаті чого система піддається відомих вразливостей, які організація вважає, були вирішені. «Сплячі» ВМ також навряд чи будуть мати оновлену політику доступу, і можуть бути виключені з функції безпеки і моніторингу, можливо створюючи неперевірений
бекдор у віртуальному середовищі.
Крім того, дані в пам'яті ВМ (які можуть включати, наприклад, незашифрований PAN) часто залишаються при знаходженні ВМ в неактивному (сплячому) стані, приводячи до випадкового зберігання важливих даних. Оскільки ці дані в пам'яті, коли вона була зупинена, такі дані можуть легко бути проігноровані і залишитися незахищеними, незважаючи на те, що в даний час ВМ залишається в неактивному («сплячому» стані. Хоча вони і неактивні, але такі ВМ являють собою реальні загрози безпеки і, отже, повинні бути визначені і відслідковуватися, з тим щоб могли бути вжиті відповідні заходи безпеки.

3.8 Образи ВМ і снапшоти
Образи віртуальних машин і знімки надають кошти для швидкого розгортання або відновлення віртуальних систем на декількох серверах протягом короткого періоду часу. Особливу увагу слід приділяти підготовці образів ВМ і скріншотів, так як вони можуть відобразити незахищені дані, наявні на системі в момент знімка, включаючи вміст активної пам'яті. Це може призвести до випадкового захоплення, зберігання або навіть розгортання незахищеною інформації в середовищі.
Додатково, якщо образи не захищені від змін, атакуючий може отримати доступ і додати уразливості або шкідливий код. Шкідливий образ потім може поширитися по всій середовищі, приводячи до моментального злому множинних хостів.

3.9 Незрілість рішень з моніторингу
В той же час як віртуалізація підвищує необхідність для логгирования та моніторингу, в даний час визнано, що інструменти для моніторингу віртуальних мереж, віртуальних міжмережевих екранів, віртуальних систем відповідності і т. д., не настільки розвинені, як їх фізичних аналоги.
Порівняно з традиційними засобами моніторингу для фізичної мережі, інструменти для віртуальних систем не можуть забезпечити такий же рівень достовірності або контролю в межах повідомлень всередині хоста або потоку трафіку між ВМ у віртуальній мережі. Крім того, спеціалізовані інструменти для моніторингу та реєстрації віртуальних середовищ можуть бути необхідні для відображення рівня деталізації, необхідного від декількох компонентів, в тому числі вбудованих гіпервізора, інтерфейсів управління, віртуальних машин, хост-систем і віртуальних пристроїв.

3.10 Витік інформації між сегментами віртуальної мережі
Потрібно розуміти потенційний ризик витоку інформації між логічними сегментами мережі при розгляді віртуалізації мережі. Витік інформації в площині даних призводить до того, що конфіденційні дані тепер існують за межами відомих місцезнаходжень, в обхід заходів щодо захисту даних. Витік інформації в площині контролю площини управління може бути використана для включення витоку інформації в площині даних, або для надання впливу на мережу маршрутів і поведінку пересилання в обхід заходів з безпеки у мережі. В ідеалі, можливості віртуалізації на всіх трьох площинах мережевої інфраструктури повинні забезпечувати заходи і функції для безпечної віртуальної інфраструктури на рівні, еквівалентному окремим фізичним пристроїв.

3.11 Витік інформації між віртуальними компонентами
Витік інформації між віртуальними компонентами може відбутися в тому випадку, коли доступ до загальних ресурсів дозволяє одному з компонентів збирати інформацію про іншому компоненті на одному і тому ж хості. Наприклад, зловмисник може використовувати скомпрометований компонент для збору інформації про інших компонентах на одному і тому ж хості і потенційно отримати достатньо знань для подальшого злому і несприятливого впливу. Наприклад, зловмисник може отримати доступ до пам'яті базової операційної системі, приводячи до можливості збору конфіденційної інформації з декількох компонентів. Неправильна настройка гіпервізора також може стати каналом для витоку інформації між віртуальними приладами і мережами. Ізоляція всіх фізичних ресурсів (у тому числі пам'яті, ЦП, мережі, і т. д.) має вирішальне значення для запобігання витоку інформації між віртуальними машинами та іншими компонентами або мережами на одному і тому ж хості.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.