仮想化セキュリティ。 パート1

Terry Komperdaによる記事「Virtualization Security」の翻訳。



仮想化セキュリティ。 パート2



1.まとめ



仮想化は短期間でITとネットワークに大きな影響を与え、データセンター、企業、クラウドのコスト削減と投資収益率にすでに貢献しています。 それほど重要ではないと思われ、現実よりもはるかに遅れているのは、セキュリティの観点から仮想化と仮想化環境を理解することです。 一部の人々は、仮想マシン（VM）間の分離について耳にし、ハイパーバイザーに対する攻撃の成功を聞いたことがないため、従来の環境よりも仮想化の方が安全であると感じています。 新しい仮想環境では、従来の物理環境と同様にセキュリティが必要であると考えているため、同じ長期的なセキュリティアプローチを採用しています。 最も重要な要因は、新しい環境がより複雑であることです。 既存のネットワークに仮想アプローチを追加すると、セキュリティに対する異なるアプローチを必要とする新しいネットワークが作成されます。 通常の対策に加えて、仮想化には特別なセキュリティ対策を適用する必要があります。 このドキュメントでは、仮想化の使用に起因する違い、問題、困難、リスクに注目し、仮想化の使用後にネットワークが安全に保たれるようにするための実用的な推奨事項と実用的なヒントを提供します。



2.はじめに



仮想化は進化しており、ここに長期間滞在する予定です。 その概念は50年以上にわたって知られていますが、このテクノロジーは、至る所に存在する分野で成長と改善を続け、さらに発展することを計画しています。 さらに、今日の全サーバーの半分は仮想マシンで実行されています。 IDCは、2014年までにすべてのワークロードの70％がVMで動作すると予測しています。 その広範なアプリケーションのために技術の進歩に遅れずについていく必要があるのは、仮想化コンポーネントと仮想環境のセキュリティです。 仮想化に伴うセキュリティ上の利点のいくつかを見てみましょう。







3.仮想化の適用時のセキュリティ分野における利点



以下は、仮想化を使用した後のセキュリティ上の利点の一部です。

• 仮想環境の中央データウェアハウスは、デバイスが紛失、盗難、またはハッキングされた場合に機密データの損失を防ぎます。
• VMとアプリケーションが安全に分離されている場合、同じOS上の1つのアプリケーションのみが攻撃の影響を受けます。
• 仮想環境は、正しく構成されていれば、システム上の重要な情報にアクセスすることなく、システムに一般的にアクセスできる柔軟性を提供します。
• VMが感染している場合、攻撃前に存在していた「保護された」状態にロールバックできます。
• 仮想化により発生するハードウェアの削減により、存在するデバイスが少なくなり、最終的にはデータセンターが少なくなるため、物理的なセキュリティが向上します。
• より優れた環境制御のためにデスクトップ仮想化を作成できます。 管理者は、ユーザーのコンピューターに送信できる「ゴールデンイメージ」（VMのテンプレート）を作成および管理できます。 このテクノロジーにより、OSの管理が改善され、組織の要件とセキュリティポリシーを確実に満たすことができます。
• サーバーを仮想化すると、攻撃の前と最中に何が起こったかを分析するためにサーバーを以前の状態に戻すことができるため、インシデント処理が改善されます。
• システムとネットワーク管理へのアクセスの制御、およびタスクの分離は、異なる人が割り当てられると改善できます。誰かがネットワーク内のVMを制御し、他の人がDMZ内のVMのみを処理します。 Windowsサーバーを担当する管理者、およびLinuxサーバーを管理する他の管理者を指定することもできます。
• ハイパーバイザーソフトウェア自体はあまり機能的ではなく、十分に複雑でもありません。ハイパーバイザー自体に対する潜在的な攻撃のための小さな領域を提供します。 潜在的な攻撃の領域が小さく、機能が少ないほど、潜在的な脆弱性は少なくなります。
• 仮想スイッチ（vswitch）は、ステーション間攻撃に必要な動的接続を実行しません。 また、ダブルパッケージパッケージも省略されているため、この種の攻撃は無効です。 また、仮想スイッチは、パケットがブロードキャストドメインを離れることを防ぐため、スイッチの過負荷に依存するブルートフォース攻撃を無効にして、パケットを他のVLANドメインに転送できます。
• 「適切に構成またはインストールされている場合」というフレーズを使用してプロを指摘したことに注意してください。 仮想化は非常に複雑なプロセスであり、上記の利点を保証するには適切に保護する必要があります。

4.仮想化を使用する際の安全分野における課題とリスク



仮想化の利点を理解したので、問題とリスクのいくつかに注意を払うことができます。



4.1ホストとゲスト間のファイル共有

• ファイル共有の場合、ハッキングされたゲストはファイルシステムノードにアクセスし、情報の交換に使用されるディレクトリを変更できます。
• クリップボードとドラッグアンドドロップがゲストとホストの両方で使用される場合、またはAPIがプログラミングに使用される場合、これらの領域での重大なエラーがインフラストラクチャ全体を危険にさらす可能性があります。

4.2スナップショット

• 元のスナップショット設定を復元すると、構成の変更は失われます。 セキュリティポリシーを変更した場合、特定の機能にアクセスできるようになりました。 監査ログも失われる可能性があり、サーバーで行った変更の記録が除外されます。 そのような悪い結果はコンプライアンスを難しくする可能性があります。
• 画像とスナップショットには、個人データやパスワードなどの機密データが、物理的なハードディスクに保存されるのと同じ形式で含まれています。 不要な画像や追加の画像は、実際に問題を引き起こす可能性があります。 マルウェアで保存されたすべての画像は、将来的に再ロードされ、混乱を引き起こす可能性があります。

4.3ネットワークストレージ

• 光ファイバーチャネルとiSCSIはクリアテキストプロトコルであり、中間者攻撃（攻撃者が通信チャネルを傍受し、送信された情報に完全にアクセスする*インターネット攻撃のタイプ）に対して脆弱です。 スニッフィングツールは、ストレージシステムデータの読み取りまたは書き込みに使用できます。これは、将来のクラッカーの利便性のために再構築に使用できます。
• 通常、ファイバチャネルのパフォーマンスとセキュリティの間にはトレードオフがあります。 ファイバチャネルの実装に使用されるホストバスアダプタで暗号化を使用できますが、多くの場合、パフォーマンスが低下するため、これは使用されません。

4.4。 ハイパーバイザー

• ハイパーバイザーが危険にさらされている場合、それに接続されているすべてのVMが危険にさらされ、デフォルトのハイパーバイザー構成が常に最も信頼できるとは限りません。
• ハイパーバイザーはすべてを管理し、仮想環境で単一障害点を提供します。 違反があると、仮想環境全体が危険にさらされる可能性があります。
• ハイパーバイザーのベアハードウェアには通常、アクセス制御が組み込まれていますが、ホスト仮想化（ハイパーバイザーは物理サーバーOS上に配置されます）は組み込まれていません。 ホストの仮想化は、OSの存在によりシステムを大きなリスクにさらします。
• 管理者はハイパーバイザー上で何でもできます（「すべてのドアへの鍵」を持っています）。 ハイパーバイザーでのアクションは通常パスワードで保護されていますが、パスワードは別の管理者に簡単に転送できます。 そのため、どの管理者が特定のアクションを実行したかはわかりません。
• ハイパーバイザーを使用すると、VMが相互に通信できるようになり、この相互作用は物理ネットワークにも行きません。 仮想マシンのプライベートネットワークとして機能します。 このようなトラフィックはハイパーバイザーによって実行されるため、常に見ることはできません。また、存在について知らないことを保護することはできません！

4.5仮想マシン

• 仮想マシンは十分に小さく、リモートコンピューターまたはポータブルストレージデバイスに簡単にコピーできます。 VMでデータを失うことは、データセンターに侵入し、物理的なセキュリティをバイパスして、物理的なサーバーを盗むことと同じです。
• ユーザーがインストールした仮想マシンは、組織のセキュリティポリシーに必ずしも準拠していないため、セキュリティソフトウェアがインストールされていない場合があります。 製品およびゲームの試用版は現在、VM上のプレーヤーが無料で使用できるように提供されています。これらはインストールされており、そのようなVMは潜在的な脆弱性を持つ企業ネットワークの一部になります。
• 新しく作成されたVMには通常、開いているポートと多くの利用可能なプロトコルがあります。
• VMを作成するたびに、保護、パッチ適用、更新、および保守が必要な別のOSが追加されます。 問題のある追加のOSは、全体的なリスクを高める可能性があります。
• 非アクティブなVMまたは使用されなくなったVMには、資格情報や構成情報などの重要なデータを含めることができます。
• VMとホスト間でデータを共有できるクリップボード機能は、マルウェアの侵入ポイントとなり、仮想マシンに転送されます。
• 分離されていない仮想マシンは、ホストリソースに完全にアクセスできます。 VMをハッキングすると、すべてのリソースがハッキングされる可能性があります。
• 仮想マシンは、組織のIT部門に通知せずにユーザーが作成できます。 これらの仮想マシンが認識されない場合、それらは保護されません。
• VMの感染はデータウェアハウスの感染につながる可能性があり、他の仮想マシンは同じストレージを使用できます。
• 仮想マシンは非常に急速に成長する可能性があり、これがセキュリティの緊張を引き起こす可能性があります。 それらが効果的に自動化されていない場合、更新プログラム、パッチなどのインストールに関連して管理者の負担が増加します。
• 感染した仮想マシンは、表示され、他のVMに感染し、その後、気付かれる前に消えます。

4.6管理者の責任とアクセス権の分離

• 通常の物理ネットワークでは、サーバー管理者がサーバーを管理し、ネットワーク管理者がネットワークを管理します。 通常、セキュリティ担当者は管理者の両方のグループと連携します。 仮想環境では、サーバーとネットワークの管理を単一の管理コンソールで実行できるため、職務を効率的に分離するための新たな課題が生じます。
• デフォルトでは、多くの仮想化システムがすべての仮想インフラストラクチャアクティビティへのフルアクセスを提供します。 これらのデフォルトは常に変更されるわけではなく、管理者アクセスをハッキングすると仮想インフラストラクチャを完全に制御できます。
• 4.7時刻同期
• 仮想マシンのクロックをシフトできます。これを通常のクロックの読み取り値のシフトと組み合わせると、タスクの実行が遅すぎたり遅すぎたりする可能性があり、ログの混乱やデータの正確性の損失につながる可能性があります。 誤った時間追跡は、今後の調​​査に十分なデータを提供しません。

4.8 VLAN

• VLANを使用するには、たとえばホストからファイアウォールへのVMトラフィックのルーティングが必要です。 これは遅延と複雑なネットワーク設計につながり、後でパフォーマンスの問題を引き起こす可能性があります。
• VM内の通信は安全ではなく、VLANで探索されません。 また、同じVLAN上に複数のVMがある場合、ある仮想マシンから別の仮想マシンへのマルウェアの拡散を止めることはできません。

4.9セクション

複数の仮想マシンが同じホストで実行されている場合、それらは相互に分離されており、1つのVMを使用して別のVMを攻撃することはできません。 技術的には、VMはパーティション化できますが、VMのパーティションはメモリ、プロセッサ、帯域幅リソースを共有します。 たとえば、ウイルスが原因で特定のセクションが上記のリソースのいずれかを大量に消費している場合、他のセクションでDoSエラーが表示される場合があります。



4.10その他の質問

• セキュリティは、セキュリティ担当者の頭、またはチェックリストに保存される場合があります。 組織でこのアプローチが一般的である場合、仮想マシンの作成、移動などの速度に関連して仮想化のセキュリティを維持することは困難です。
• 仮想化は非常にソフトウェアベースであり、これにより、サイバー犯罪者により悪用される可能性のあるソフトウェアの脆弱性がより多く提供されます。
• 仮想ディスクは通常、安全でないファイルとしてホストに保存され、それらへのアクセスは非常に簡単です-何もクラックする必要はありません。
• 信頼レベルの異なるワークロードを同じサーバーまたはvswitchに配置できます。これらのワークロードのセキュリティは、最も安全性の低いワークロードのセキュリティと同じくらい高くなります。 機密情報がサーバー上にある場合、これは安全でない可能性があります。

上記の多くの問題にもかかわらず、仮想化は安全でないと見なされるべきではありません-それはすべて、適用された展開とセキュリティ対策に依存します。 脆弱なセキュリティポリシーとトレーニング不足は、問題と脆弱性のはるかに説得力のある原因になり、その結果、より大きなリスクにつながります。 仮想化を使用する際のセキュリティの問題について理解できたので、今度は典型的な攻撃を見てみましょう。



5.標準攻撃



以下は、仮想化に典型的ないくつかのタイプの攻撃です。

5.1サービス拒否（DoS）

DoS攻撃が成功すると、ハイパーバイザーがシャットダウンする可能性があります。 これにより、ハイパーバイザーをバイパスしてVMにアクセスするための抜け穴が追加される可能性があります。

5.2 VM間の制御されない移動

ハイパーバイザーにセキュリティホールが作成され、見つかった場合、VMにログオンしているユーザーは別のVMにジャンプして、そこに保存されている情報にアクセスできます。

5.3ホストトラフィックの傍受

ハイパーバイザーの脆弱性により、システムコールを監視し、ファイルをスワップし、メモリとディスクのアクティビティを監視できます。



6.物理メディアの仮想化への安全性への従来のアプローチの適用



仮想化で発生する可能性のある問題や攻撃の多くは、既存の従業員、プロセス、およびテクノロジーを使用して解決できます。 しかし、既存のソリューションでは保護できないのは、ハイパーバイザー、制御システム、仮想スイッチで構成される仮想マトリックスです。 以下は、仮想化に対するいくつかの従来のアプローチとそれに関連する弱点です。



6.1ファイアウォール

一部のITグループは、VM間のトラフィックを標準ファイアウォールに送信します。標準ファイアウォールはトラフィックをチェックし、仮想マシンに送り返します。 従来のファイアウォールは、仮想化の前に作成され、データセンターおよび企業にインストールされていたため、仮想インフラストラクチャおよび関連する管理システムを考慮して作成されていませんでした。 これにより、手動のインストールと管理が行われ、エラーが発生する可能性があります。 また、標準のファイアウォールでは、VMを移動するときに適切なセキュリティが提供されません。



6.2ネットワークベースの侵入検知/侵入防止システム

ホスト上に複数の仮想マシンがある場合、これらのデバイスは機能しません。 これは主に、IDS / IPSシステムが仮想マシン間のトラフィックを制御できないという事実によるものです。 また、アプリケーションを転送するときに情報にアクセスできません。



6.3ホストあたりのVM数の制限/物理NICへの割り当て

このアプローチは、ホスト上の仮想マシンの数を制限するだけでなく、各仮想マシンに物理ネットワークアダプターを割り当てます。 これは安全なアプローチである可能性があり、優れたセキュリティの意図がありますが、そのようなアプローチでは、仮想化テクノロジーからすべての利点と投資収益を得ることができません。



6.4 VLAN

VLANは広く使用されています：非仮想化環境の問題であろうと、仮想化の程度の高い環境の問題であろうと。 ここでの問題は、VLANの数が増えていること、チェックリストへのアクセスに関連する複雑さを管理すること、および環境の非仮想面と仮想面の間のネットワークセキュリティポリシーの互換性を管理することがますます難しくなっていることです。



6.5エージェントウイルス対策アプローチ

これには、各VMにウイルス対策ソフトウェアの完全なコピーをダウンロードする必要があります。 このアプローチは優れた保護を提供できますが、環境内のすべての仮想マシンのウイルス対策ソフトウェアのすべてのコピーに莫大なコストがかかります。 このフル機能のソフトウェアは、機器の使用を増やし、パフォーマンスの低下につながるため、プロセッサのメモリ、ストレージ、アクティビティに悪影響を及ぼす可能性があります。

従来のセキュリティモデルを使用することの上記の欠点にもかかわらず、回答者の60％は、セキュリティを確保し、仮想環境を保護するために従来のソリューションを使用すると回答しました。 仮想環境は動的で変化が速いです。 従来のアプローチでは、単独で対処、移動、および変更することは困難です。 別のアプローチは、現在のセキュリティアプローチの優れた側面を維持しながら、仮想化に関する次のヒントとコツを確認することです。