Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS
Руководство по виртуализации PCI DSS. Часть 1
3 Риски виртуализированных сред
Хотя виртуализация и дает определенное количество функциональных и оперативных преимуществ, переход к виртуальной среде не снижает риски, существующие в физических системах, а также может привнести и новые уникальные риски. Следовательно, существует ряд факторов, которые следует учитывать при создании виртуальных технологий, включая, но не ограничиваясь, теми, которые определены ниже.
3.1 Уязвимости физической среды применимы и в виртуальной среде
Виртуальные системы и сети подвержены таким же атакам и уязвимостям, которые существуют в физической инфраструктуре. Приложение, которое имеет недостатки конфигурации или является уязвимым для вредоносного воздействия, будет иметь те же недостатки и уязвимости при установке в виртуальной среде.
Аналогичным образом, плохо настроенный виртуальный межсетевой экран может неумышленно подвергнуть внутренние системы для интернет-атак таким же образом, как и неверно настроенный физический межсетевой экран.
Физические угрозы распространяются также и на применение в виртуальных средах; наиболее правильно настроенные и хорошо размещенные логические разделы по-прежнему требуют адекватные физические меры для защиты оборудования. По этой причине, физическая хост-система всегда будет оставаться в сфере охвата даже в тех случаях, когда имеется логическое сокращение.
3.2 Гипервизор создает новые просторы для атаки
Ключевой фактор риска, уникальный для виртуальных сред, — это гипервизор. Если он взломан или неправильно настроен, все ВМ, располагающиеся на этом гипервизоре потенциально подвержены риску. Гипервизор предоставляет единую точку доступа в виртуальную среду и также потенциально является единой точкой отказа. Неправильно настроенные гипервизоры становятся единой точкой для взлома безопасности всех хостящихся компонентов. Неважно насколько безопасно настроены индивидуальные ВМ или компоненты, взломанный гипервизор может перезаписать все настройки и получить прямой доступ к виртуальным системам.
Наряду с предоставлением потенциальной точки проникновения к ВМ, гипервизор сам по себе создает новую поверхность для атак, которая не существует в физическом мире и может быть уязвима для прямых атак. Слабости в технологии изоляции гипервизора, мерах доступа, в укреплении безопасности и при патчинге можно выявить и применять в своих целях, что позволит злоумышленникам получить доступ к индивидуальным ВМ.
Дополнительно, конфигурация гипервизора по-умолчанию часто является не самой безопасной, и если его не настроить должным образом, каждый гипервизор можно потенциально эксплуатировать в целях взлома.
Очень важно, чтобы доступ к гипервизору был ограничен в соответствии с наименьшими привилегиями и принципом необходимого знания, и чтобы проводился обязательный независимый мониторинг всех видов деятельности. Гипервизоры не создаются одинаковыми, поэтому особенно важно выбирать решение, которое поддерживает требуемые функции безопасности для каждой среды.
3.3 Повышенная сложность виртуализированных систем и сетей
Виртуализированные конфигурации могут включать в себя как системы, так и сети; например, ВМ могут передавать данные друг другу через гипервизор, а также через подключение к виртуальной сети или через приборы безопасности виртуальной сети, такие как виртуальные межсетевые экраны. В то время как такие конфигурации могут предложить значительные оперативные преимущества, эти дополнительные уровни технологий также вносят значительные сложности, которыми нужно тщательно управлять, и которые могут потребовать дополнительных мер обеспечения безопасности и применения сложной политики управления для обеспечения надлежащей безопасности на каждом уровне. В сочетании с потенциальными уязвимостями в виртуальных операционных системах и приложениях, это увеличение сложности может также привести к случайному изменению конфигурации или даже к полностью новым угрозам, которые не были предусмотрены при разработке системы. Поскольку экземпляры виртуальных компонентов зачастую дублируются в нескольких системах, присутствие таких уязвимостей, может привести к значительному взлому во всей среде.
3.4 Более одной функции на физическую систему
Особая озабоченность в виртуальных средах заключается в возможности того, что взлом одной из виртуальных функций системы может привести к нарушению других функций на одной и той же физической системе. Находящаяся под угрозой ВМ может использовать механизмы коммуникация на уровне виртуализации для запуска атак на другие виртуальные машины на том же хосте или даже на гипервизор. Технологии виртуализации может снизить риск этого разделения процесса между различными функциями. Даже при этом следуем рассматривать риск, связанный с расположением множества функций или компонентов на единой физической системе. Например, несколько функций, размещенных на одной физической системе, увеличивают возможности взлома, если злоумышленник получит физический доступ к хост-системе.
Смотрите также — Смешивание ВМ разных уровней доверия (там приведены описания связанных рисков).
3.5 Смешивание ВМ разных уровней доверия
Одна из проблем при планировании развертывания виртуализации заключается в том, чтобы определить надлежащие конфигурации для различных видов нагрузок, размещенных внутри определенной технологии виртуализации. Нужно четко оценивать риск размещения ВМ разных уровней доверия на одном и том же хосте. В виртуальном контексте, ВМ с более низким доверием будет, как правило, иметь меньше мер безопасности, чем ВМ с более высоким уровнем доверия. Таким образом ВМ с более низким доверием может использоваться для взлома, потенциально предоставляя место для атаки на более чувствительные ВМ в рамках единой системы. Теоретически, размещение ВМ разных уровней доверия на одном и том же гипервизоре или хосте может снизить общий уровень безопасности для всех компонентов до уровня наименее защищенного компонента (также известный как принцип — безопасность настолько сильна, насколько силен наименее защищенный элемент).
Из-за увеличения рисков и проблем с настройкой, уровни доверия и риска, связанный с каждой функцией ВМ следует обязательно рассматривать при планировании конструкции виртуальной сети. Аналогично, базы данных и другие системы хранения, которые хранят данные о держателях карт, требуют более высокого уровня безопасности, чем системы хранения нечувствительных данных. Не забывайте как следует оценить риск смешения уязвимых данных с данными, имеющими более низкий уровень доверия.
3.6 Нехватка разделения обязанностей
Может быть особенно сложным определить точные роли пользователей (например, отделить администратора сети от администратора сервера), и политику доступа в распределенной, виртуализированной среде. Риски неправильного определения ролей и политики доступа очень важны, поскольку доступ к гипервизору потенциально может предоставить широкий доступ к ключевым компонентам инфраструктуры (включая свичи, межсетевые экраны, платежные приложения, серверы сборы логов, базы данных и т.д.). Из-за увеличения доступности к нескольким виртуальным устройствам и функциям с единого логического местоположения или пользователя, контроля и обеспечение соблюдения соответствующего разделения обязанностей имеет решающее значение в виртуальной среде.
3.7 Неактивные виртуальные машины
На многих виртуальных платформах виртуальные машины могут существовать как в активном, так и в неактивном состоянии. ВМ, которые больше не активны (неактивные или больше не используемые) могут все еще содержать незащищенные данные, такие как данные аутентификации, ключи шифрования или критическую информацию по настройке. Из-за того, что неактивные ВМ активно не используются, их легко можно упустить из вида и по неосмотрительности не подвергнуть процедурам безопасности.
Так как неактивные ВМ не используются, их легко можно недосмотреть и непреднамеренно исключить из процедур безопасности. Неактивные ВМ, скорее всего, не будут обновляться с учетом последних исправлений для системы безопасности, в результате чего система подвергается известным уязвимостям, которые организация считает, были решены. «Спящие» ВМ также вряд ли будут иметь обновленную политику доступа, и могут быть исключены из функции безопасности и мониторинга, возможно создавая непроверенный
бэкдор в виртуальной среде.
Кроме того, данные в памяти ВМ (которые могут включать, к примеру, незашифрованный PAN) часто остаются при нахождении ВМ в неактивном (спящем) состоянии, приводя к непреднамеренному хранению важных данных. Поскольку эти данные были в памяти, когда она была остановлена, такие данные могут легко быть проигнорированы и остаться незащищенными, несмотря на то, что в настоящее время ВМ остается в неактивном («спящем») состоянии. Хотя они и неактивны, но такие ВМ представляют собой реальные угрозы безопасности и, следовательно, должны быть определены и отслеживаться, с тем чтобы могли быть приняты соответствующие меры безопасности.
3.8 Образы ВМ и снапшоты
Образы виртуальных машин и снимки предоставляют средства для быстрого развертывания или восстановления виртуальных систем на нескольких серверах в течение короткого периода времени. Особое внимание следует уделять подготовке образов ВМ и скриншотов, так как они могут запечатлеть незащищенные данные, имеющиеся на системе в момент снимка, включая содержимое активной памяти. Это может привести к непреднамеренному захвату, хранению или даже развертыванию незащищенной информации в среде.
Дополнительно, если образы не защищены от изменений, атакующий может получить доступ и добавить уязвимости или вредоносный код. Вредоносный образ затем может распространиться по всей среде, приводя к моментальному взлому множественных хостов.
3.9 Незрелость решений по мониторингу
В то же время как виртуализация повышает необходимость для логгирования и мониторинга, в настоящее время признано, что инструменты для мониторинга виртуальных сетей, виртуальных межсетевых экранов, виртуальных систем соответствия и т.д., не столь развиты, как их физических аналоги.
По сравнению с традиционными средствами мониторинга для физической сети, инструменты для виртуальных систем не могут обеспечить такой же уровень достоверности или контроля в рамках сообщений внутри хоста или потока трафика между ВМ в виртуальной сети. Кроме того, специализированные инструменты для мониторинга и регистрации виртуальных сред могут быть необходимы для отражения уровня детализации, требуемого от нескольких компонентов, в том числе встроенных гипервизоров, интерфейсов управления, виртуальных машин, хост-систем и виртуальных устройств.
3.10 Утечка информации между сегментами виртуальной сети
Нужно понимать потенциальный риск утечки информации между логическими сегментами сети при рассмотрении виртуализации сети. Утечка информации в плоскости данных приводит к тому, что конфиденциальные данные теперь существуют за пределами известных местоположений, в обход мер по защите данных. Утечка информации в плоскости контроля или плоскости управления может быть использована для включения утечки информации в плоскости данных, или для оказания влияния на сеть маршрутов и поведение пересылки в обход мер по безопасности сети. В идеале, возможности виртуализации на всех трех плоскостях сетевой инфраструктуры должны обеспечивать меры и функции для безопасной виртуальной инфраструктуры на уровне, эквивалентном отдельным физическим устройствам.
3.11 Утечка информации между виртуальными компонентами
Утечка информации между виртуальными компонентами может произойти в том случае, когда доступ к общим ресурсам позволяет одному из компонентов собирать информацию о другом компоненте на одном и том же хосте. Например, злоумышленник может использовать скомпрометированный компонент для сбора информации о других компонентах на одном и том же хосте и потенциально получить достаточно знаний для дальнейшего взлома и неблагоприятного воздействия. Например, злоумышленник может получить доступ к памяти базовой операционной системе, приводя к возможности сбора конфиденциальной информации с нескольких компонентов. Неверная настройка гипервизора также может стать каналом для утечки информации между виртуальными приборами и сетями. Изоляция всех физических ресурсов (в том числе памяти, ЦП, сети, и т.д.) имеет решающее значение для предотвращения утечки информации между виртуальными машинами и другими компонентами или сетями на одном и том же хосте.
Автор: chemtech