Virtualizacija i Cloud computing (2.)

Instant-On Gaps

border=Virtuelizovana okruženja ne moraju obavezno biti manje sigurna od fizičkih rešenja. Međutim u nekim slučajevima, praktično korišćenje virtuelizacije povlači sa sobom određene rizike, sem ukoliko administratori nisu upoznati sa istim i preduzmu određene korake da bi se propusti uklonili. Instant-On Gaps je primer takvog propusta.

Pored konsolidacije servera, firme koriste prednosti dinamičke prirode VM-a kao što su kloniranje, premeštanje VM, zatim stvaranje test okruženja i mašina za backup-ovanje.

Kao rezultat svega toga, kada se VM-e aktiviraju i deaktiviraju u brzim ciklusima

konstantno pružanje sigurnosti ovim VM-ama može biti veliki izazov.

Sigurnost određenih VM-a posle nekog perioda može toliko odstupati od početnog stanja da samo startovanje VM-e predstavlja bezbednosni propust. Čak i ukoliko su virtuelne mašine skrivene, napadač im i dalje može pristupiti. Može se desiti i da nove VM-e mogu biti klonirane uz pomoć VM template-a sa out-of-date bezbednošću. Čak ukoliko su nove VM-e kreirane iz template sa antivirus softverom i drugim aplikacijama za bezbednost, VM-ama je potreban security agent kako bi obezbedile antivirusnom softveru uvek ažuriranu bazu potpisa.

Kada skrivena, reaktivirana ili klonirana VM-a nema update-ovanu bazu potpisa, napadač je u mogućnosti da iskoristi propust na duže vreme. Ukoliko guest VM-a nije online u toku premeštaja ili update-ovanja antivirus softvera, biće skrivena u nezaštićenom stanju i trenutno ugrožena kada se pojavi online. Jedna od mogućnosti da se ovakav scenario predupredi je postavljanje jedne VM-e na host koja će se brinuti o tome da svaka guest VM-a koja je klonirana i aktivirana se automatski i ažurira.

Kontrola resursa

Kada se operacije koje zahtevaju tešku upotrebu resursa kao što je npr. regularno skeniranje sistema antivirusom i ažuriranje antivirus aplikacije, inače dizajnirane da se pokreću na fizičkim uređajima, pokrenu na VM-ama mogu dovesti do teškog opterećenja sistema. Kada se ove operacije istovremeno pokrenu na svim VM-ama rezultat je tzv. “antivirus storm” i povlači značajno korišćenje procesora, memorije i uređaja za skladištenje podataka.

Nasleđena bezbednosna struktura sa sobom povlači linerano povećanje alokacije memorije kako broj VM-a raste na jednom host-u. U fizičkom okruženju antivirus aplikacija mora biti instalirana na svakom operativnom sistemu. Ovaj način nije primenjiv u virtuelizovanom okruženju jer bi podrazumevao da svaka VM-a zahteva dodatne resurse da bi se zaštitila od napada što sa sobom povlači neželjeno iscrpljivanje resursa.

Ukoliko se ne uzme u obzir glavni cilj virtuelizacije neki proizvodi predlažu random-izaciju i stvaranje grupa da bi se izbeglo dodatno, nepotrebno korišćenje resursa. U slučaju random-izacije se ne poboljšava situacija jer je potrebno obezbediti veći period za kompletno skeniranje sistema, dok grupiranje odbacuje dinamičku prirodu virtuelizovanih sistema jer zahteva rekonfigurisanje VM-a posle kloniranja ili migracije.

Rešenje je dedicated-scanning VM-a koja koordinira skeniranjima na svim VM-ama.

Tzv. agent-less antivirus uklanja antivirus software sa guest VM-a i prebacuje njihovu ulogu na dedicated-scanning VM-u i samim tim smanjuje potrebu za dodatnim korišćenjem resursa.

Cloud Computing Kontrola i Bezbednost

Uvod

Cloud computing je dodatna opcija prilikom virtuelizacije sistema, dodajući automatizaciju virtuelnom okruženju. Napredak u izradi virtuelnih sistema omogućava firmama bolje iskorišćenje kapaciteta fizičkih servera čiji hardver koriste. Jedan od glavnih ciljeva je smanjenje cene poslovanja.

border=

Servis provajderi su vremenom otkrili da korišćenjem virtuelizacije mogu koristiti tzv. single-tenant sisteme kao multi-tenant na već postojećem hardveru. Private cloud sistemi generalno imaju bolje iskorišćenje resursa i lakše održavanje. Struktura ovih različitih cloud sistema – private, public i hybrid- omogućava različite nivoe kontrole i uticaja na bezbednost istih.

Private Cloud Servis Modeli

Private cloud sistemi proširuju virtuelizaciju dodajući joj automatizaciju da obezbedi samouslužni portal koji omogućava firmama on-demand pristup kompjuterskim uslugama. Virtuelizovanom infrsatrukturom različita odeljenja u firmi mogu deliti iste podatke na istom host-u.

Privatni cloud sistemi mogu biti kontrolisani kompletno in-house ili koristiti third party hardware. Međutim s obzirom da private cloud sistem se zasniva na sopstvenom hardveru i omogućava hypervisor nivo kontrole, lakši je za konfiguraciju od public cloud sistema.

Public Cloud Servis Modeli

Public cloud je multi-tennant okruženje ponuđeno od strane provajdera , sa manjom kontrolom od private cloud sistema i većom izloženošću na napade. Koriste se najčešće tri modela kontrole:

  • Infrastructure as a Service (IaaS) – Servis provajderi nude VM platformu i hardver sa CPU-om, memorijom, uređajem za skladištenje i mrežom. Firme mogu razvijati svoje VM-e u ovom okruženju. Firme imaju kontrolu nad operativnim sistemom, podacima na disku i instaliranim aplikacijama. Nemaju kontrolu nad hardverom i hypervisor-om ali zadržavaju veliku kontrolu u bezbednosti sistema.
  • Platform as a Service (PaaS) – Firme imaju kontrolu nad aplikacijama i limitiranu kontrolu nad aplikacijama za hosting konfiguraciju. Što se bezbednosti sistema tiče u potpunosti se oslanjaju na servis provajdera.
  • Software as a Service (SaaS) – Firme imaju kontrolu nad limitiranim brojem korisnika – konfiguracija opcija vezana za aplikacije, i u potpunosti se oslanja na provajdera kada je bezbednost sistema u pitanju.

U PaaS i SaaS sistemima firme se oslanjaju u potpunosti na servis provajdera. Ovo praktično znači da je odgovornost osobe zadužene za sigurnost samo ta da se zaštite šifre, korisnička imena i browser sesije zaposlenih. SaaS provajder je zadužen za svu ostalu kontrolu. U većini slučajeva SaaS provajderi nude izuzetno sigurne sisteme i dobro treniran tim koji obezbeđuje visok nivo sigurnosti sistema.

IaaS model nudi najveću fleksibilnost firmama kada je u pitanju konfiguracija bezbednosnih alata i mnogi IaaS provajderi nude samo osnovni stepen bezbednosti.

Hybrid Cloud Service Model

Hybrid cloud sistemi su kombinacija public i private cloud-a i omogućavaju da se kritični podaci obrađuju sigurno u private-cloud okruženju dok manje bitni podaci mogu biti smešteni u public cloud-u.

Samim tim hybrid cloudsistemi poseduju iste rizike kao i public i private cloud ali su fleksibilniji jer se mogu birati različiti nivoi sigurnosti u zavisnosti od značaja podataka.

Enkripcija podataka je dobar izbor u ovom slučaju iz razloga da ukoliko su podaci enkriptovani mogu se sigurno čuvati ili na public ili na private cloud-u. Ovo omogućava firmama izbor cloud-a na osnovu pruženih resursa a ne bezbednosti koji jedan od ova dva pružaju.

2084-virtualizacija-i-cloud-computing-2