On the positive side:
- Easier means of systems isolation - with virtualization it's easier than ever to use dedicated (virtual) server for different services, which may be good for security.
- Better disaster recovery capabilities - it is extremely easy to make a full backup of a virtual machine and move it to another host.
- Ideal environment for malicious code analysis.
- There will certainly be vulnerabilities in virtualization software. Results would most probably be code context escalation (malicious code being able to escape virtual machine and run on the host) and management interface weaknesses (remote console access protocol vulnerabilities, management web interface vulnerabilities, etc.) Here are some examples:
- Lack of appropriate control and policies would pose a risk as always - consider situation of having internal and external virtual machines on the same host (keep in mind previous point).
- Most likely you already heard of Blue Pill . This is the type of issues that are hardly to imagine or predict before it happens.
- Modern malware has capabilities to detect virtual machines and does not run (performs self-destruction) then to make its analysis more difficult.
================================
В настоящее время технологии виртуализации получили большое распространение. Как это часто случается, мы только начинаем осознавать их влияние на безопасность. Можно выделить как положительные эффекты, так и отрицательные.
Плюсы:
- Разделение систем - виртуализация облегчает разделение систем и использование выделенных под конкретную задачу виртуальных серверов, что улучшает уровень защищенности.
- Упрощенное восстановление после сбоев – легко организовать полную резервную копию виртуальной машины и перенести ее на другой физический сервер.
- Идеальное окружение для анализа вредоносного кода.
- С уверенностью можно сказать, что в ПО виртуализации будут уязвимости. Можно ожидать ошибки типа эскалации контекста исполняемого кода (т.е. когда вредоносный код, будучи запущен в виртуальной машине, может перевести свое исполнение на физическую машину) и уязвимости в интерфейсе управления (т.е. в протоколах удаленного доступа к консоли виртуальных машин, в web-интерфейсе конфигурации сервера виртуальных машин и т.д.). Вот примеры уже обнаруженных уязвимостей:
- VMWare Escape Publicized at SANSfire 2007
- VMware ESX Server Management Interface Script Insertion
- VMware vulnerability in NAT networking
- Как обычно отсутствие политик и контроля над ИТ средой может нести риски – например в ситуации, когда на одном физическом сервере работают внутренние и внешние (доступные из Интернет) системы (учитывая предыдущий пункт).
- Скорее всего вы уже слышали про Blue Pill . Трудно предугадать появление такого рода атак до их появления.
- Современное вредоносное ПО зачастую включает функции определения факта его запуска в виртуальной машине, и при обнаружении этого перестает работать (самоуничтожается) для усложнения процесса его анализа.
