Virtualisatie heeft in vrijwel alle datacenters vaste voet aan de grond gekregen. Virtualiseren maakt het beheer van it-omgevingen een stuk eenvoudiger en dus goedkoop, wat het enthousiasme verklaart. Maar gevirtualiseerde omgevingen zijn ingewikkeld, verre van transparant en daarom niet bevorderlijk voor de security.
Vraag het een aantal willekeurig it’ers en ze zullen hoogstwaarschijnlijk zeggen dat het helemaal niet uitmaakt of het om een virtuele of fysieke omgeving gaat, de security is hetzelfde. Daarbij baseren ze zich op het feit dat de configuratie van een Windows-machine in beide gevallen op dezelfde manier kan plaatsvinden. Ze gaan echter voorbij aan de virtualisatielaag zelf, de zogenaamde hypervisor die de virtuele omgeving controleert, en waarmee feitelijk een nieuw besturingssysteem bovenop Windows is toegevoegd.
De eerste versies van Windows hadden van zichzelf al vele kwetsbare plekken, die gevoelig waren voor inbraak, virussen en andere malware – nog voordat er andere software op draaide. Al zou die software dus zwaar beveiligd zijn geweest, de lekken in het besturingssysteem maakten de omgeving alsnog kwetsbaar. Eenzelfde beeld zien we nu in virtuele omgevingen: de Windows-omgeving is meestal volledig up-to-date en op de software hebben alle beschikbare patches gedraaid, maar er zitten lekken en barsten in de hypervisor. Daardoor kunnen ongenode gasten toegang krijgen tot het gehele virtuele netwerk, ondanks genomen beveiligingsmaatregelen op lokaal niveau. VMware, Microsofts Hyper V, Citrix: ze hebben allemaal zwakke plekken als het om de veiligheid gaat. Het toevoegen van software aan een it-omgeving maakt in het algemeen de schietschijf voor cybercriminelen groter, en dat geldt zeker ook voor virtualisatiesoftware.
Een tweede factor is complexiteit. Virtualisatie maakt alles veel flexibeler. Zo kun je twintig virtuele netwerkkaarten verbinden met twintig virtuele machines op evenzoveel verschillende netwerken; een stuk of drie virtuele kaarten zijn verbonden met fysieke kaarten en twee zijn er verbonden met andere componenten. Maar elk klein foutje in de configuratie of de set-up kan zwakke plekken veroorzaken. Een virtuele interface die per ongeluk is verbonden met het verkeerde fysieke onderdeel kan voor grote problemen zorgen. De meeste it’ers zijn immers niet gewend om de set-up van virtuele switches en virtuele kaarten te doen en ze te verbinden aan fysieke netwerken. En juist omdat het zoveel flexibiliteit heeft en het zo gemakkelijk lijkt, is een foutje snel gemaakt en blijken er onbedoeld twee netwerken met elkaar te zijn verbonden. De complexiteit brengt dus onveiligheid met zich mee.
Zwart gat
Tot slot nog dit: zelfs al zou alles op een goede, veilige manier geconfigureerd zijn, dan kunnen er alsnog gevaarlijke situaties ontstaan. Als er eenmaal een virtueel netwerk is met een groot aantal virtuele servers op een fysiek platform, dan kunnen ze onderling allemaal met elkaar communiceren via het netwerk. In de fysieke wereld heb je een koperen draad en daar kun je een security appliance tussen zetten die het netwerkverkeer monitort en zo nodig actie onderneemt. Maar in een virtueel netwerk gebeurt alles in het geheugen, een soort zwart gat waarvan het niet duidelijk is wat erin gebeurt, tenzij er een speciale virtuele security appliance wordt ingezet.
Volgens Gartner zal in 2014 ongeveer 70 procent van de workloads verwerkt worden op virtuele servers. Daarmee voorzien ze dus een onverminderde grote groei van virtualisatie. Gartner constateert ook dat ruim 60 procent van alle virtuele servers minder veilig is dan de fysieke servers die ze vervangen. We verplaatsen dus van alles naar virtuele omgevingen, omdat het flexibel, goedkoop, en zo gemakkelijk te managen is, maar de it-omgevingen worden er niet bepaald veiliger van. De it-wereld moet gaan beseffen dat virtualisatie voor grote problemen kan zorgen op het gebied van security en zodoende overgaan tot het nemen van passende maatregelen.
Klinkt allemaal heel logisch wat hier staat, maar als de hypervisor als zwakke plek wordt neergezet… waar blijven dan die artikelen dat de grote providers zijn gehackt? In mijn beleving zijn er maar zeer weinig gevallen van dat er gehackt wordt op het onderliggende systeem. Veruit de meeste hacks vinden plaats via de “internet facing” kant. Dus op de webservers, applicaties en diens OS-sen.
Natuurlijk is virtualiseren een extra laag van complexiteit. Maar zolang de vele incidenten uitblijven zal dit toch minder aandacht krijgen.
Als je met providers werkt heb je er sowieso weinig mee te maken, of kun je er niet veel aan doen. Alleen als je zelf de beheerder bent van de hyporvisors heb je een schone taal van het up-to-date houden van je farms.
IBM zVM heeft intrinsiek geen zwakke plekken. Al 45 jaar niet. Of je moet als beheerder bewust je systeem open hebben gezet.
Complexiteit is onafhankelijk van virtualisatie. Een kabeltje verkeerd steken kan zowel virtueel als fysiek. Sterker nog, virtueel kun je makkelijker profiles maken waardoor je zeker niet per ongeluk een stekkertje verkeerd steekt.
@Henry Koppen
Dat je niets leest over hypervisor hacks impliceert niet dat ze dan ook niet plaatsvinden :
http://www.secureauth.com/blog/another-hack-another-50m-passwords-time-for-secureauth-idp-for-the-enterprise/
http://www.wired.com/threatlevel/2012/04/vmware-source-code-leaked/
http://korben.info/wp-content/uploads/defcon/SpeakerPresentations/Minozhenko/DEFCON-20-Minozhenko-Hack-VMware-60-Seconds.pdf
http://resources.infosecinstitute.com/virtualization-security/
In het laatste artikel wordt de noodzaak van frequent patchen benadrukt. En laat dat nu juist iets zijn dat lastig is als je een groot aantal guests hebt draaien op eenzelfde hypervisor.
Waarom laten we het prediken voor eigen parochie niet liever over aan mensen van de kerk?
Het profiel van dhr, van der Woude toont: Werkzaam bij Watchguard.
Zoals de vorige schrijvers al gesteld hebben is er nauwelijks tot geen melding te vinden van security-breaches die specifiek door zwakke plekken in hypervisors veroorzaakt waren. De voorspellingen van Gartner mag je met een korrel zout nemen, de vraag is steeds wie betaalde voor deze “voorspelling”, dat doen ze al 30 jaar of meer, dat moet zo langzaam bij de kollega’s bekend zijn.
En was komplexiteit niet altijd een veiligheids-aspect?
Security by obscurity, om ook maar eens een dooddoener te noemen.
@Jan
Er zijn wel degelijk vulnerabilities bekend met hypervisors – VMWare brengt niet voor niks security bulletins en patches uit. Net zoals Citrix en Micrsoft met regelmaat doen voor hun hypervisors. Software heeft nu eenmaal bugs en aangezien virtualisatie gebaseerd is op software zijn er dus inderdaad risico’s maar of dat er meer of minder zijn dan een fysieke oplossing is twijfelachtig.
@Henri
Je fatalisme stelt me enigzins teleur, je lijkt te accepteren dat ongeplande wijzigingen als gevolg van patchen onvermijdelijk zijn. Terugdenkend aan de ‘downtime’ van DigiD begin dit jaar door beveiligingsproblemen met onderliggende Ruby framework vraag ik me af of we ons niet te afhankelijk maken, vaak van een beperkt aantal oplossingen. En deze zijn vaak ook nog in elkaar geknutseld waardoor complexe ketens ontstaan met steeds meer en onveilige koppelingen. Lees nog eens mijn opinie en je eigen reacties na:
https://www.computable.nl/artikel/opinie/cloud_computing/4546441/2333364/cloud-beheersbaar-maar-niet-beheerbaar.html
Betreffende de onveranderlijke wetten van beveiliging wil ik me beperken tot de laatste: Technologie is geen wondermiddel. En de stelling in de inleiding dat virtualisatie het beheer eenvoudiger maakt wil ik bij deze dus als eerste in twijfel trekken. Er is nog weleens sprake van gepantserde voordeuren met open ramen omdat functionaliteit zwaarder weegt dan beveiliging en dat geldt ook voor gemak want kijkend naar SSO oplossingen is de weg via de gebruiker steeds vaker de makkelijkste.
HOewel iedere IT-er weet dat je moet patchen is dat vaak nog geen onderdeel van het Change Management proces. En ook vastleggen van de service gebeurt niet altijd consequent, beheer processen hangen zelf namelijk ook met pleisters aan elkaar. En disconnected processen zorgen er voor dat Release Management steeds moeilijker wordt, het is namelijk nog weleens puzzelen in gevirtualiseerde omgevingen.
@Ewout
een security-breach betekent dat er ingebroken is, schade is.
Wie normaal zijn patches laadt, zijn updates laadt en de basis security-regels volgt heeft met een viruele machine net zo veel of weinig problemen als met een fysieke.
Prediken voor eigen parochie…
Ongeacht dat het misschien een preek voor eigen parochie is, er kan natuurlijk altijd wel een signaalfunctie aan worden toegekend als reminder dat… Ik heb daar op zich niet zoveel moeite mee want doen we dat allemaal niet hier? Zelfs in onze reflecties op publicaties?
Security in IT
We weten allemaal, althans, dat zouden we nu toch wel moeten weten, daar waar menen en IT samenkomen, heb je security issues. Leerdenw e dat niet met de eerste open exploiteerbare telnetdeuren die open stonden dan is het wel de politieke impotentie gedisplayed door Donner tijdens zijn opreden in de Diginotar affaire.
Securit, an ongoing game…
We kunnen er een ingewikkeld verhaal van maken, elk vanuit de individuele discipline of ervaring bezien. Feit blijft. Security is een zaak waarover vaak te weinig word nagedacht, althans, niet zo heel erg leeft bij IT professionals, en vaak al helemaal niet bij de gebruiker/Klant. Blijven er over commerciele partijen en de security nerds die heel goed dit soort publicaties doen.
Aan de andere kant
Aan de andere kant hebben we dan de (ethische) hackers die continue de grenzen en gaten van systemen opzoeken en de veiligheidsmensen onder ons telkens weer van diensten bewijzen. Het is nu eenmaal wat het is. We zullen er ons als IT professionals gewoon vaan doordrongen moeten blijven dat het nadenken over security en dat een vast onderdeel van onze discipline en acteer patroon laten zijn.
Change management
In de wijsheid en de waan van de crisis heeft men besloten afscheid te nemen van heel veel valide E2E onderdelen waardoor de kans op breaches gewoon toenemen. Ik heb dat al verschillende malen gezegd en mijn forecast voor 2014 zijn zelfs minder optimistisch dan zij voor 2012/2013 waren.
Ewout brengt een bijzonder belangrijk aspect naar voren. Men heeft Change Management vaak heel summie ringerecheld en technische changes maakten daar zelden deel vanuit. Ik heb Change/Release management vaak als kern van het E2E proces gezien omdat juist daar de registratie en validatie van menig security onderdeel thuis hoort.
Niet uit oogpunt van registratie of validatie. Juist vawege het veiligheidsaspect en de trapoverstijgende discipline die Change en Release management behoort te zijn. Niet het afvink postje zonder inhoudelijke IT kennis omdat ITIL dat stelt.
Altijd gesteld dat…
Ik hgeb altijd gesteld dat IT, als je dat zo mag stellen, een hele perfecte materie is. Waarom? Omdat elke stap in en met IT voorspelbaar is, dus ook de loop van een proces en de uitkomst. De enigen die dat telkens niet zijn? Professionals die gewoon op de verkeerde plaats zitten en (te) weinig kennis van IT hebben om van toegevoegde waarde te zijn.
Junior/medior vs Senior
Als we zien wat er heeft plaats genomen sinds 2008, dan is het namelijk niet moeilijk te voorspellen dat 2014 een desastreus jaar gaat worden met vele voorspelbare grotere en kleinere incidenten maar wel steeds met grotere impact. Zakelijk zullen wij veel naams en reputatieschade tegemoet mogen zien, nog even los van de financiele of economische schade.
Terug brengen tot….
Dit concluderende, ik blijf mezelf maar herhalen, brengt ons dan weer erug naar de eenvoud, de materie en de wetmatigheden van IT. Als we gezamenlijk terug keren naar de meest basale werking van IT, dan zie je onvermede capaciteit en mogelijkheden. Namelijk dat je met eenvoudige stappen vele malen meer nog kan bereiken dan de discussies en semi commerciele uitingen die we zo vaak lezen.
Misschien iets om over na te denken?
@NumoQuest
wat heeft je reaktie te maken met de stelling “gevirtualiseerde omgevingen zijn ingewikkeld, verre van transparant en daarom niet bevorderlijk voor de security”
Even zo goed zou ik kunnen stellen dat: “IT omgevingen ingewikkeld en verre van transparent zijn” maar dan konkluderen, dat die dus niet goed zijn voor de security is wel wat te kort door de bocht.
En een Gartner-citaat moet ik daarbij ook kunnen vinden . . . . .
@Jan van Leeuwen
Vanwege de verschillende guest omgevingen is de frequentie van patchen in de realiteit vrij laag. Een enkele klant kan dit in princiepe blokkeren voor de rest. Hoe meer actieve guests, hoe minder frequent er gepatcht wordt en hoe groter de kans op een geslaagde hack.
@Jan
Naar ik meen geef ik in eerste reactie al aan dat virtualisatie niet per definitie onveiliger of veiliger is maar dat het allemaal afhangt van het up-to-date houden, het aanbrengen van patches als deze beschikbaar zijn. Nu blijkt dit vaak in de praktijk nog weleens een probleem te zijn omdat virtuele omgevingen vaak ‘organisch’ groeien. Zeg maar oude problemen op nieuwe hardware alleen door de relatieve lage kosten dus nu in veelvoud. Het dilemma van beheerSbaar en beheerbaar waar die ene letter een heel verschil kan maken.
Tweede deel van mijn reactie geef ik aan dat alles valt of staat met deugdelijk beheer en zeker in virtuele omgevingen schort het hier nog weleens aan. Dit mede omdat het gemak van provisioning – de self-service – nog weleens voor onveilige configuraties zorgt. En waar galvanische scheiding nog de mogelijkheid biedt om verbindingen eenvoudig te controleren is dat bij virtualisatie toch wat moeilijker met alle gevolgen van dien.
Misschien is het nog wat prematuur om term security breaches te gebruiken hoewel onderzoekers aangetoond hebben dat er wel degelijk gaten zitten in sommige virtualisatie oplossingen, de patches komen niet voor niks. En uiteindelijk is het met virtualisatie niet veel anders dan met andere populaire oplossingen: Hoe groter de gemeenschap, hoe interesanter de inzet. Digitale criminaliteit is ook gewoon een business waar tijd en geld alleen in de ‘opportunities’ gestoken wordt die snel de meeste winst opleveren. En moderne malware is niet alleen in staat om de hypervisor te herkennen maar er ook steeds vaker gerichte aanvallen op te doen.
Nu gaat het bij beveiliging om de kans van optreden en de mate van impact en laatste kan bij gevirtualiseerde omgevingen nogal problematisch zijn zoals ik aangaf met voorbeeld van Ruby framework. En doordat functionaliteit en gemak zwaarder wegen dan gezond verstand zit je dus al gauw in het fatalisme van Henri. 100% veilig bestaat niet maar we worden wel 100% afhankelijker van steeds meer regels code waarmee statistisch gezien het risico dus groter wordt.