Gartner: 60% виртуальных серверов менее безопасны, чем физические

image

Теги: Gartner, виртуализация, безопасность

К концу 2012 года порядка 60% виртуальных серверов окажутся менее защищенными, чем физические сервера, которые они заменяют, сообщается в одном из последних исследований аналитиков компании Gartner.

К концу 2012 года порядка 60% виртуальных серверов окажутся менее защищенными, чем физические сервера, которые они заменяют, сообщается в одном из последних исследований компании Gartner.

По мнению аналитиков, к 2015 году лишь треть виртуальных серверов не смогут сравниться по защищенности с физическими аналогами.

Как считают в Gartner, несмотря на то что виртуализация сама по себе безопасна, 40% виртуальных машин устанавливаются без участия специалистов по информационной безопасности. Кроме того, угроза, направленная на виртуализованный слой, может навредить всем процессам на хосте. Действительно, гипервизоры, будучи новой платформой, содержат немало скрытых уязвимостей. Эксперты рекомендуют относиться к виртуальной прослойке в ИТ-инфраструктуре как к самой критичной по защищенности. При этом, разумеется, нельзя полностью полагаться на хост-машинные инструменты безопасности.

Прочие риски связаны с тем, что, во-первых, сетевые устройства безопасности не видят коммуникационных каналов между виртуальными машинами на одном хосте. Во-вторых, рабочие процессы в рамках различных уровней доверия консолидированы на одном хосте без достаточного разделения. В-третьих, виртуализационные технологии не обеспечивают адекватного управления административным доступом к слою гипервизоров и виртуальных машин. В-четвертых, объединение физических серверов на одной машине повышает риски несанкционированного доступа к данным.

Тем не менее, внедрение виртуализации нарастает. Если сейчас лишь 18% объемов рабочих нагрузок в центрах обработки данных преобразуется для выполнения в виртуальном окружении, то к концу 2012 года, по мнению Gartner, этот показатель затронет свыше половины нагрузок.


или введите имя

CAPTCHA
79308
17-03-2010 11:40:48
Какая чушь!!!!!
0 |
Строян
17-03-2010 11:45:48
Вспомнился анекдот про обезьяну и крокодила: "Ну, дура, не дура, а свои 100 баксов в день имею."
0 |
17-03-2010 15:29:35
"сетевые устройства безопасности не видят коммуникационных каналов между виртуальными машинами на одном хосте" - что-то я тут недопонял. Виртуалки болтают между собой по сетевым интерфейсам, а не по каким-то мистическим "только для виртуалок" каналам. Если устройство А полезло по сети к устройству Б, то уж будь уверен - оно засветится.
0 |
De Nada
17-03-2010 15:58:32
Не совсем так. Во-первых, действительно существуют совсем не мистические "каналы только для виртуалок" - например, в VMWare`вской Infrastructure у VM`ок есть возможность общаться между собой через VMCI (Virtual Machine Communication Interface - не путать с VMCI - Virtual Midi Control Interface!), не прибегая к помощи сети. Во-вторых, даже при общении по сетевым протоколам между VM`ками одного хоста весь сетевой траффик идёт между портами vSwitch (виртуального сетевого коммутатора), не выходя на физический интерфейс машины-хоста и, тем более, не попадая на "сетевые устройства безопасности", расположенные вне хоста, которые могут сканировать только рабочий траффик от клиентов к VM и обратно (впрочем, если клиенты засунуты в VMView на том же хосте, то и этот траффик выходит из-под контроля внешних устройств безопасности.
0 |
18-03-2010 20:24:36
Хм... ок, с виртуальным свичем все понятно - тут работает тот же принцип что и со свичем реальным, системы безопасности в любом случае не увидят того, что происходит между соседними мащинами, независимо от того - находятся ли они в том-же свиче или в соседнем. IDS, стоящая на шлюзе тоже не видит всего траффика в локальной сети, независимо от того - виртуалки в ней или нет. Про VMCI действительно не знал (боюсь, что в моей ESX 3.0.1. - этого еще не было), спасибо, что указали на пробел в образовании. В остальных случаях злоумышленнику придется эксплуатировать уязвимости тех-же виртуальных свичей и интерфейсов на виртуалках или долбить сами виртуалки. ....
0 |
18-03-2010 20:25:04
...Если рассматривать вопрос защищенности виртуальных машин именно в плоскости защищенности гипервизора, то тут безусловно есть над чем задуматься (заражение общеиспользуемой памяти, управление самими виртуалками и т.д.), с другой стороны - нужно быть очень неумным человеком, чтобы открывать хост куда-либо кроме станций управления. Можно предположить, что кто-то расшарил по самбе\фтп с анонимным доступом корневой каталог гипервизора (открыл анонимный полный ssh доступ) и потом подключил его к дырявой виртуалке под управлением Win95 и полез с нее по порносайтам\выпустил гипервизор в нет - тут уже ничего не поделаешь... На сегодняшний момент изолирование виртуальных машин не позволяет пробираться от одной к другой напрямую через гипервизор. Статья все-таки из темы дискусии о том, что: "принципиально (нажим на слове принципиально) двигатель внутреннего сгорания не менялся более 100 лет". Т.е., принципиально - да, скомпрометировав гипервизор, получаем возможность скомпрометировать все виртуалки в нем.
0 |
тут_рядом
18-03-2010 17:49:19
например в "Understanding XenServer Networking" подробно все расписано
0 |