На конференции VMworld будет представлен проект рекомендаций по повышению безопасности виртуальных машин

На предстоящей конференции VMworld кроме множества новых продуктов будет представлен проект рекомендаций по повышению безопасности виртуальных машин, решающих одну из наиболее актуальных проблем внедрения виртуализации в вычислительном центре.

Некоммерческая организация Center for Internet Security (CIS), составляющая практические рекомендации для Windows и другого ПО, применяемого в вычислительных центрах, представит раннюю версию набора практических рекомендаций по безопасности для VMware ESX Server. По словам вице-президента CIS Дейва Шаклфорда, эти критерии составлены с учетом замечаний экспертов по безопасности, VMware, Configuresoft и крупных пользователей ПО виртуализации.

Gartner прогнозирует, что к 2009 году 60% виртуальных машин будут менее безопасными, чем их физические собратья. Причина в том, что быстрое освоение виртуальных машин приводит к нарушению некоторых устоявшихся правил безопасности вычислительного центра, а распределение обязанностей между администраторами серверов и администраторами по безопасности становится менее отчетливым. Например, VMware Virtual Center содержит функцию VMotion, которая позволяет переносить работающую виртуальную машину с одного физического севера на другой. Но на ком будет лежать основная ответственность за безопасность такой ВМ?

Многие компании не могут допустить, чтобы гипервизоры их виртуальных машин, которые находятся в непосредственном контакте со многими системными ресурсами, были хуже защищены от вторжений или вредоносных программ, чем физические серверы. Поэтому критерии CIS по безопасности ESX Server, вероятно, станут первой ласточкой в серии тщательно проработанных практических рекомендаций по внедрению технологий виртуализации.

При установке ESX Server не каждый системный администратор понимает, что он имеет дело с версией Red Hat Linux, содержащей в своем ядре каталог Red Hat VAR log, который позволяет Red Hat собирать информацию, имеющую отношение к его пользователям. Аналогично, ESX Server создает другой каталог VAR log, собирающий сведения о том, как сконфигурированы виртуальные машины, какие применяются операционные системы, какие сообщения об ошибках были переданы и как сконфигурированы хост-серверы. В этих логах много информации, которую надо защищать и доступ к которой необходимо строго ограничить только теми, кто действительно в нем нуждается, говорит Шаклфорд.

Другой пример: администраторы Linux-сервера могут принять параметры настройки по умолчанию для Net.IPv4 в ядре Linux. Но если эти параметры оставить неизменными, ESX Server становится уязвимым к атакам на отказ в обслуживании. В VMware ESX Server Benchmark Version 1.0 затрагиваются эти и другие проблемы. Рекомендации относятся к версиям ESX Server 2.5 и 3.0 и будут представлены на конференции VMworld, которая пройдет в Сан-Франциско с 11 по 13 сентября. CIS все еще собирает комментарии к проекту. Окончательные критерии будут опубликованы на веб-сайте Центра www.cisecurity.org к концу текущего месяца.