Cap5e6

155 views
108 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
155
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Cap5e6

  1. 1. cloud SecurityUm guia completopara protegercloud ComputingRonaldL.KrutzVinesRussellDeanCloud Computing Segurança desafiosA introdução deserviços de nuvemapresenta muitos desafiospara uma organização.Quando uma organizaçãomigra paraserviços de nuvemde consumo,e, especialmenteserviços públicos denuvem,grande parte dainfra-estrutura desistema decomputaçãoagoraestar sob o controledeum terceiroprovedor deserviços de nuvem(CSP).Muitos destes desafiospode e deve serresolvida através da gestãode iniciativas.Estasiniciativas de gestãoexigirádelinear claramentepapéisde propriedade e deresponsabilidadedoCSPa(que pode ou nãosera própria organização) e do funcionamento da organizaçãono papel decliente.Gerentes de segurançadevem ser capazes dedeterminar o quede detetiveepreventivacontroles existemclaramentedefinea postura de segurançada organização.Emboraos controles de segurançaapropriados devemser implementadoscom baseemativos,ameaça,e as matrizes deavaliação de vulnerabilidadede risco,e estãosubordinadas ao nível deprotecção de dadosnecessário,alguns processos degestãovontade geralser exigidoindependentemente danatureza do negócioda organização.estesincluem o seguinte: a implementação da políticade segurança detecção de intrusãocomputadore resposta gerenciamento de segurançade virtualizaçãoVamos olhar paracada uma dessasiniciativas de gestãoImplementação da Política deSegurançaAs políticas de segurançasão a basede umaimplementação de segurançadesom.Freqüentementeorganizações vãoimplementar soluções de segurançatécnicassemprimeirocriaressa basede políticas, normas, diretrizes e procedimentos, semquerercriação de controlesde segurançasem focoe ineficaz.A política éum daqueles termosque podem significarvárias coisas.Por exemplo, hápolíticas de segurança emfirewalls , que se referem ao controle de acessoeroteamentolista de informações.Normas, procedimentose diretrizestambém sãoreferidoscomopolíticas nosentido mais amplode uma política globalde segurança dainformação.Uma boapolítica debem-escritoé maisdo que um exercíciocriado embrancopapel- éum elemento essenciale fundamental daprática de segurançade som.Apolítica, por exemplo, pode ser literalmenteum salva-vidasdurante um desastre, oupode ser uma exigênciade uma funçãogovernamental ou reguladora. Apolíticatambémpodefornecer proteçãode responsabilidadedevido aações de um empregado, ou podecontrolaracesso asegredos comerciais.
  2. 2. Figura 5-1 mostra como as políticas se relacionam hierarquicamente.Figura 5-1: Segurança hierarquia políticaProcedimentos detalhadosdiretrizes recomendadasDeclaração de Administração Superior da PolíticaGerais políticas organizacionaisPolíticas funcionaisNormas imperativas BaselinesTipos dePolíticaNo mundo corporativo, quando nos referimos às políticasespecífi cas, em vez de umgrupopolítica, que geralmente significa que essaspolíticas que sãodistintosdospadrões,procedimentos eorientações.Políticassão consideradaso primeiro nívelemais elevada dedocumentação,a partir do qualos elementosde nível inferiordenormas,procedimentos, e fluxo dediretrizes.Isto não querdizer, contudo,que as políticasde nível superiorsão mais importantesdoqueos elementosinferiores.Estas políticasde alto nível, que refletemmaisgeraispolíticase declarações,deve ser criadoem primeiro lugar noprocesso,por razõesestratégicas,e, em seguida, os elementos maistáticopode seguir.Gestãodeve assegurar avisibilidadede uma políticade segurança formal.esteé porquequase todos osfuncionáriosde todos os níveis, de alguma forma ser afetados,maior recursos organizacionaisserão abordados,e muitosnovos termos,procedimentos, e as atividadesserão introduzidos.Segurança, incluindocomo um temaregular emreuniões de pessoalem todos osníveisda organizaçãopode ser útil.Além disso,fornecendo visibilidadeatravés dasavenidastaiscomo apresentaçõesde gestão, painéis de discussão, palestras, pergunta/fórunsde resposta,e newsletterspode sersocialbeneficiário.Declaração deAdministração Superior daPolíticaA primeira políticade qualquer processo decriação de políticasé adeclaração degestãosêniorda política. Esta é umamaneira geral,a políticade alto nível quereconhecea importância dos recursos computacionaisparao modelo de negócio; estadossuportepara obter informaçõessegurança em toda aempresa, ese compromete aautorizaregeriradefi niçãodos padrõesde nível inferior, procedimentos e diretrizes.Políticas RegulatóriasAs políticas regulatóriassãopolíticas de segurança queuma organizaçãodeveimplementardevido à regulação, conformidade, oude outros requisitos legais. estasempresaspode serfinanceirasinstituições, serviços públicos, ou algum outro tipodeorganizaçãoque atua nointeresse público.Tais políticassão geralmentemuitodetalhadaeespecificamenteparaa indústria em quea organização operaPolíticasde consultoriaPolíticasde consultoria sãoas políticas de segurançaque não sãoobrigatórios, masfortemente sugerido,talvez comconseqüênciasgravesdefinidospor nãosegui-las(tais comoterminação, um aviso de acção de trabalho, e assim por diante).Umaempresa comtalpolíticasquera maioria dos funcionáriosa consideraressaspolíticasobrigatório.A maioria das políticasse enquadram nesta categoriaampla.
  3. 3. PolíticasinformativosPolíticasinformativassão condiçõesque existemsimplesmente parainformar oleitor.Temimplícita ounãoos requisitosespecificaçõesdo público para esta informaçãopoderia sercertaspartes internas(dentro da organização) ou externo. Istofaznão quer dizerque as políticasestão autorizadospara o consumo público, mas que elessãosuficientemente geral paraser distribuído aentidades externas(fornecedoresacessarumextranet, por exemplo), sem perda deconfidencialidade.Computer SecurityIncident Response Team(CSIRT)Como você leuno capítulo 7,como partede um programade tratamento deincidentesestruturadodedetecção de intrusão eresposta, umComputer EmergencyResponse Team(CERT) ou a segurança do computadorda equipede resposta aincidentes(CSIRT) é comumente criado.As tarefasprincipais de umCSIRTsão as seguintes: Análisedeum catião de umevento denotificação resposta a umacidente, sea análisegaranteque caminhoprocedimentos de escalação Resolução,após o incidentede acompanhamentoe emissão de relatóriospara aspartes apropriadasAprimeira diretrizde cadaCIRTé a gestãode resposta a incidentes, quereflECTSrespostade uma empresa deeventosque representam um riscopara oseuambiente de computação.Esta gestão, muitas vezes consiste no seguinte: Coordenação danotificaçãoe distribuição deinformações relativasao incidentepara as partes apropriadas(aqueles comuma necessidade de saber)através de umcaminho de escalaçãopredefined mitigar o riscopara a empresa, minimizando as perturbaçõesao normalatividades de negócios eos custos associados aremediaro incidente(incluindorelações públicas) equipesmontagem depessoal técnico parainvestigar o potencialvulnerabilidades eresolverintrusõesespecífi casExemplos adicionais deactividadesCIRTsão: Gestãodos logsde rede, incluindo a recolha, retenção, revisão,e análise de dados Gestãode resolução deum incidente, a gestão de umdevulnerabilidaderemediação epós-eventode relatóriospara as partes apropriadasRespostainclui notificaras partesapropriadas paratomar medidas no sentidodeterminar a extensão dagravidadede um incidente, e para remediarodoincidenteefeitos.De acordo com oNIST, uma organização deve abordara segurança docomputadorincidentes pordesenvolver uma capacidadede tratamento de incidentes. Oincidentede manipulação decapacidade deveser usada parafazer o seguinte: Fornecera capacidade deresponder rápida e eficazmente contere repararos danos causados porincidentes.Quandonão for controlada,software malicioso podesignifi cativamenteprejudicarcomputaçãode umaorganizaçãorecursos, dependendo da tecnologiaea sua conectividade. contendoo incidentedeve incluir umaavaliação sobre seo incidente épartede um ataquedirecionadosobre a organizaçãoou umincidente isolado. Prevenirdanos futuros.Uma capacidade detratamento deincidentedeveajudar um
  4. 4. organizaçãona prevenção(ou pelo menos minimizar) danos dafuturaincidentes.Incidentespodem ser estudadosinternamente paraobter uma melhorcompreensãode ameaçasda organizaçãoe vulnerabilidades.Gestão de SegurançadavirtualizaçãoEmbora a adoçãoglobal devirtualização éum evento relativamenterecente,ameaçasà infra-estruturavirtualizadaestão evoluindotão rapidamente.Historicamente, odesenvolvimento e implementaçãode novas tecnologiasprecedeu oplenocompreensão de seusriscos de segurançainerentes,e sistemasvirtualizadosnão sãodiferente.As seções a seguirexaminar asameaças e vulnerabilidadesinerentesem sistemasvirtualizadose olhar paraalgumas soluçõesde gestão comunsa essas ameaçasTIPOSDE VIRTUALIZAÇÃOA máquina virtual(VM), gerenciador de memória virtual(VMM), e hypervisor ousistema operacional hospedeirosão o conjunto mínimode componentes necessáriosemum ambiente virtual.Elescompreendemambientes virtuaisde algumas maneirasdistintas: Tipo 1ambientes virtuaissão considerados "completos" ambientes de virtualizaçãoe termáquinas virtuais rodandoem um hypervisorque interage com ohardware (ver Figura 5-2). Tipo 2ambientes virtuaistambém são considerados"virtualização completa", mastrabalhar com umsistema operacional hospedeiro, em vez de um hypervisor (verFigura 5-3). Para-virtualizadosambientes oferecemganhos de desempenho, eliminandoalgunsda emulaçãoque ocorreem ambientes de virtualizaçãocompletas. designações do tipohíbridosincluemmáquinas virtuais (HVMS) ehardwareassistidastécnicasEstas classificações sãoum tanto ambíguana comunidade de TIem geral.A coisa mais importantepara se lembrarde uma perspectivade segurança é quehá umimpacto significativomais significativoquandoum sistema operacionalhospedeirocomaplicativos do usuárioeinterfaces écorrer forade uma máquina virtualem um nívelmais baixo do queasoutrasVMs(isto é, umTipo 2arquitetura).Por causa de suaarquitetura, otipo 2aumentaambienteo risco potencial deataques contrao sistema operacionalhospedeiro.Por exemplo,umlaptop rodandoVMware comuma máquina virtualLinux emum sistema Windows XPherdaa superfíciede ataquedeambos os sistemas, mais o código devirtualização (VMM) 0,1Estas classificaçõessãoum tanto ambíguana comunidade de TIem geral.A coisa mais importantepara se lembrarde uma perspectivade segurança é quehá umimpacto significativomais significativoquandoum sistema operacionalhospedeirocomaplicativos do usuárioeinterfaces écorrer forade uma máquina virtualem um nívelmais baixo do queasoutrasVMs(isto é, umTipo 2arquitetura).Por causa de suaarquitetura, otipo 2aumentaambienteo risco potencial deataques contrao sistema operacionalhospedeiro.Por exemplo,umlaptop rodandoVMware comuma máquina virtualLinux emum sistema Windows XPherdaa superfíciede ataquedeambos os sistemas, mais o código devirtualização (VMM) 0,1
  5. 5. GESTÃO DEPAPÉISDE VIRTUALIZAÇÃONormalmente, oVMware Infrastructureé geridopor vários usuáriosexecutandopapéis diferentes.Os papéis assumidospelos administradoressão avirtualizaçãoServer Administrator,administrador da máquinavirtual,e AdministradorVisitante.Usuáriosdo VMware Infrastructurepodem terdiferentes funções e responsabilidades,masalguma sobreposiçãofuncionaispode ocorrer.Os papéis assumidospelosadministradoressãoconfiguradoemVMSe sãodefinidosparafornecerresponsabilidadesfunção: Server AdministratorVirtual -Este papel éresponsável pela instalação econfiguringo hardware do servidorESX, armazenamento, redes físicase virtuais,aplicativos de console, serviços e gestão. administrador da máquinavirtual -Este papel éresponsável pela criação eAmeaçasvirtuaisAlgumas ameaças parasistemas virtualizadossão de natureza geral, como eles sãoinerentesameaças atodos ossistemas informatizados(tais comoataques de negaçãodeserviço, ou DoS, ataques).Outras ameaçase vulnerabilidades, no entanto, são exclusivas para máquinasvirtuais.MuitosVMvulnerabilidadesdecorrem do fato deque umavulnerabilidadeemumsistema VMpode ser exploradapara atacarsistemas deVMoutrosou os sistemasde acolhimento,como múltiplasmáquinasvirtuaiscompartilhamo mesmo hardwarefísico,como mostrado na Figura5-4.Várias organizaçõesestão atualmente realizandoanálise de segurança eproofof-conceito (PoC) ataques contra os sistemasvirtualizados,e publicado recentementepesquisa sobresegurança em ambientesvirtuaisdestaca alguns dosvulnerabilidadesexpostasa qualquer indivíduomaliciosode espírito: pranchetapartilhada -tecnologiapranchetacompartilhadapermite que os dadossejamtransferidosentre VMse do anfitrião, fornecendo um meio dedadosmóveisentre programasmaliciosos emmáquinas virtuaisdedomínios de segurançadiferentes. keystroke logging-Algumas tecnologiasVMpermitiro registrode teclaseatualizações detelapara ser passadoentre os terminaisvirtuais nomáquina virtual,escrevendo parahospedar arquivose permitindoo monitoramento deconexões criptografadasterminaisdentro da VM. monitoramentoVM a partir dohospedeiro -Porque todos ospacotes de redeque vemde ouindo paraum passeVMatravés dohost, o hostpode ser capaz deafetara VMa seguinte redacção: Iniciar, parar, pausar e reiniciarVMs Monitoramento erecursosguringconfidisponível paraas VMs, incluindoCPU,memória, discoeutilização de redede VMs Ajustar o número deCPUs, a quantidade de quantidade de memória,e númerodediscos virtuaise número deinterfaces de rede virtualdisponívela uma VM monitoramento da máquina virtual de outro VM - Normalmente, as máquinasvirtuais devemnão ser capaz de acessar diretamente uns dos outros discos virtuais no host.No entanto, se a plataforma VM utiliza uma central virtual ou um interruptorpara ligar o
  6. 6. VMs para o anfitrião, em seguida, os intrusos podem ser capazes de usar umatécnica de hackersconhecido como "envenenamento ARP" para redireccionar pacotes indo paraou a partir do outroVM para sniffi ng. virtuais backdoors máquina - uma backdoor, encoberta canal de comunicaçãoentre o hóspede e anfitrião poderia permitir que invasores para executarpotencialmenteoperations.2 perigosasTabela 5-1 mostra como vulnerabilidades ESX da VMware servidor podem sercategorizados,tal como interpretado pelo DoD (ver também Figura 5-5).De acordo com as leis do Burton Group fi ve imutáveis da segurança davirtualizaçãodeve ser compreendido e usado para conduzir as decisões de segurança:Lei 1: Todos os existentes OS ataques em nível de trabalhar na mesmamaneira.Lei 2: A superfície de ataque hypervisor é aditivo a um sistema de risco de perfil.Lei 3: Separar funcionalidade e / ou conteúdo em VMs vai reduzir o risco.Lei 4: Agregando funções e recursos em uma plataforma físicaaumentará o risco.Lei 5: Um sistema que contém um "confiável" VM em um host "não confiável"temum nível de risco mais elevado do que um sistema que contém um "confiável"host com um"Não confiável" VM.3Os atuais fornecedores de virtualização principais são VMware, MicrosoftHyper-V,e Citrix Systems XenServer (baseado no Xen hypervisor de código aberto).CATEGORIA aplicativo de servidor ESXCategoria I - vulnerabilidades que permitir que um invasor imediata acesso emuma máquina, permitemsuper-usuário de acesso, ou ignorar umfirewallCategoria II - Vulnerabilidadesque fornecem a informação de quetêm um elevado potencial de daracesso a um intrusoCategoria III - Vulnerabilidadesque fornecem informaçõesque potencialmente poderia levar acompromissoVulnerabilidades que podem resultar em mal-intencionadosataques sobre os recursos de infra-estrutura virtual, ou
  7. 7. serviços. Os ataques podem incluir, mas não estão limitadospara, malware no VMM, de máquina virtual baseada emrootkit (SubVirt), Trojan, DOS, e execução deações potencialmente maliciosos.Vulnerabilidades que podem resultar em não autorizadousuários acessar e modificar infra-estrutura virtualrecursos ou serviços.Vulnerabilidades que podem resultar em não autorizadousuários que visualizam ou possivelmente acessando infra-estrutura virtualrecursos ou serviços.Figura 5-6mostraabordagemda VMware parainfra-estrutura virtualizada, eFigura5-7 mostraum pouco mais detalhadamenteemservidor VMwareESXdaarquitetura.VMníveis de ameaçaQuandoameaçacategorizar oposoupara ambientes virtualizados, muitas vezes ovulnerabilidade /ameaçamatriz éclassifi cadosem três níveis decompromisso: anormalmenteterminado- Disponibilidade paraa máquina virtualestácomprometida,como aVMé colocadaem um loopinfinitoque impede aVMadministradorde acessaro monitorVM.VMníveis de ameaça(continuação) parcialmentecomprometida -A máquina virtualpermite que um processohostil àinterferircom o gerentede virtualização, contaminando checkpointsstetou sobre-alocação de recursos. Totalmentecomprometida -A máquina virtualé completamenteultrapassado edirecionado paraexecutarcomandos não autorizadosem seu hospedeirocomelevadaprivileges.4hypervisorRiscosO hypervisoré apeça de uma máquinavirtual quepermite o compartilhamentoderecursos do hoste permiteVM/ hostisolamento.Portanto, a capacidadedeohypervisorproporcionaro isolamento necessáriodurante oataqueintencionaldeterminagrandementequão bem a máquinavirtual podesobreviverrisco.Uma razão pela qualo hypervisoré suscetívelao risco éporque é umsoftwareprograma;risco aumentaquando o volumeea complexidade docódigo do aplicativoaumenta.Idealmente,o softwareoperacionalde códigodentro de umNeddefiVMnão seriacapaz de se comunicarou afetara executar ocódigono hostfísico em siou dentro de umaVM diferente, mas vários problemas, como erros no software, oulimitações paraa implementaçãode virtualização,pode colocaresse isolamentoem risco.Principais vulnerabilidadesinerentes aohypervisorconsistemdesonestoshypervisorrootkits, o cátion modificaçãoexterna parao hypervisor,e escaparVM.hypervisorRiscosO hypervisoré apeça de uma máquinavirtual quepermite o compartilhamentoderecursos do hoste permiteVM/ hostisolamento.Portanto, a capacidadedeohypervisorproporcionaro isolamento necessáriodurante oataqueintencionaldeterminagrandementequão bem a máquinavirtual podesobreviverrisco.Uma razão pela qualo hypervisoré suscetívelao risco éporque é umsoftwareprograma;risco aumentaquando o volumeea complexidade docódigo do aplicativoaumenta.Idealmente,o softwareoperacionalde códigodentro de umNeddefiVMnão seriacapaz de se comunicarou afetara executar ocódigono hostfísico em si
  8. 8. ou dentro de umaVM diferente, mas vários problemas, como erros no software, oulimitações paraa implementaçãode virtualização,pode colocaresse isolamentoem risco.Principais vulnerabilidadesinerentes aohypervisorconsistemdesonestoshypervisorrootkits, o cátion modificaçãoexterna parao hypervisor,e escaparVM.HypervisorsdesonestosComo você viunos capítulos anteriores,em umcenário de virtualizaçãonormal, osistema operacional convidado(o sistema operacionalque é inicializadodentro deumavirtualizadoambiente)funciona comoum sistema operacional tradicionalgerenciamento deI / Odehardware eredetraffic,mesmo que sejacontrolado pelohipervisor.O hypervisor,por conseguinte, tem um elevado nível decontrolo sobre o sistema, não apenas namáquina virtual, mastambémna máquina hospedeiraRootkitsque a virtualizaçãode destino, e, em particular, o hypervisor,temganhando forçana comunidadehacker.VMbaseadosrootkitspode escondera partir de sistemasde detecçãode malwarenormaisiniciando um"rogue"hypervisor ecriar um canal detampapara despejarcódigonão autorizadoao sistema.Prova de conceito(POC)exploitstêm demonstrado queum hypervisorrootkitpodeinserir-sena RAM, downgrade do sistema operacionalhospedeiro parauma VM,etornar-seinvisível.Um rootkitdevidamente projetadopoderia entãoficar "indetectável" para osistema operacional hospedeiro,resistindoas tentativaspordetectoresde malwareparadescobrir eremoverit.5Isto cria umavulnerabilidade sériaem todos os sistemasvirtualizados.detectabilidade decódigo de malwareestá no coraçãode detecção de intrusãoe correção,como asegurançapesquisadores analisamamostras de código, executando o código e ver oresultado.Além disso,alguns malwaretentaevitar a detecçãodo anti-vírusporprocessostentaridentificar se o sistemajá infectoué tradicional ouvirtual.Se encontrado para seruma máquina virtual, ele permanece inativadae escondidoatéque possapenetraro host físicoe executara sua cargaatravés de umvetor de ataquetradicional.Modificaçãoexterna doHypervisorEm adicional paraa execuçãoda cargarootkit,ummal protegidoouprojetadohypervisortambém pode criarum vetor de ataque. Assim,uma auto-protegidamáquina virtualpode permitircaçãomodificaçãodireta de seuhypervisorpor uma externaintruso.Isto pode ocorreremsistemas virtualizadosque nãovalidaro hypervisorcomo um processoregular.FugaVMDevido à posiçãoprivilegiadafundamentalmenteda máquina hostno relacionamentopara a VM, uma VMindevidamenteconfiguradopoderiapermitir que o códigoparaignorarcompletamentedo ambiente virtual,e obteracesso rootou kernelcompleto para ofísicohost.Isso poderia resultar emum completo fracassodosmecanismos de segurança dosistema,e é chamado defugaVM.Fugamáquina virtualse refere à capacidadedo atacantepara executar código arbitráriono hostfísicoda VM, por "fugir" do hypervisor.Às vezes chamado de"Santo Graal"das pesquisasde segurança da virtualização, fuga VMtem sido objetode uma sériede CPOrealizados por investigadoresde segurança comodeTavisOrmandyGoogle,e TomListone EdSkoudisemIntelguardiansNetwork Intelligence.ListoneOrmandymostrou queescapaVMpoderiaocorrer atravésvirtuais
  9. 9. recursos da máquinacompartilhada chamadaVMchat, VMftp, VMcat, e VMdrag-n-sploit.6Negaçãoaumentodo riscoServiçoA ameaça denegação deserviço (DoS) contra um sistema virtualizadoé tãopredominante, uma vez que é contrasistemasnonvirtualized, mas porqueas máquinasvirtuaiscompartilhar recursosdo hospedeiro, como memória, processador, disco,dispositivos I /O, e assimem, um risco de ataquede negação deserviço contraoutra VM, o anfitrião, ouumexternoserviço é, na verdade, muito maior.Porque oVMtem camadasmais complexos dealocação de recursosdo queumtradicionalsistema,técnicasde negação de serviçode prevenção podemtornar-se igualmentemaiscomplexo.ComoTIproteçõesaplicadas tradicionalmentecontra ataques de negaçãode serviçoataques,limitar o consumo derecursos do hostpor meio da alocaçãode recursospodeajudar a diminuir aexposição a ataquesDoS.Recomendaçõesde SegurançaVMComo nósacabamos de descreveruma série de questõesde segurança inerentesaocomputaçãovirtualizada,vamos analisar algumasmaneiras de protegera máquina virtual.Primeiro vamosolharparatécnicas demelhores práticasde segurançaque se aplicam aocomputador tradicionalsistemas, e depois vamos examinartécnicas de segurançaque são exclusivosparavirtualizadosistemas.Técnicasprática recomendada de segurançaAstécnicas de implementaçãode segurançaseguintessão necessários para amaioriados computadoressistemas, eainda sãoas melhores práticas parasistemas virtualizados.estas áreasincluemsegurança física, aplicação de patches, e técnicas de gerenciamento remoto.Endurecimentodo sistema operacional hostVulnerabilidadesinerentes ao sistemaoperacional do computadorhost podeowflpara cima, parao sistemaoperacionalda máquina virtual. Enquantoum compromissosobre aVMOSpoderia virsó comprometemo domínio convidado, um compromissodo hospedeirosubjacenteOSdariaum invasor o acessoa todos os serviçosem todos osmáquinas virtuais hospedadaspela máquina.Assim, técnicasde melhores práticasde endurecimentodevem ser implementadasparamantera postura de segurançada tecnologia subjacente. Algumas dessas técnicasincluem o seguinte: Use senhasfortes, comodemorado, difícil de adivinhar senhascomletras, números,símbolose combinações, e alterá-lasfrequentemente. Desativarserviços desnecessáriosou programas, serviços especialmenteem rede. Exigirautenticação completapara controle de acesso. O anfitrião deveser individualmentefirewalled. consertar e atualizaro anfitriãoregularmente, depois de testar em uma unidadedenão-produção.Usefornecedorfornecidosguias de boas práticasde configuração, tantoo hóspedeedomíniosde acolhimento, ese referem aalguns dospadrões publicadosnesta área,
  10. 10. tais como os seguintes: NISTComputerResource Center (http://csrc.nist.gov) Defesade Sistemas de Informaçãoda Agência(DISA)Técnico de SegurançaGuiasde implementação (Stigs) (http://iase.disa.mil/stigs/index.html) Center for Internet Security(http://cisecurity.org) SANSInstitute (http://www.sans.org) Agência de Segurança Nacional(NSA) (http://www.nsa.gov)Vamos descreveralgumas destas técnicasem detalhes.Limitaro acesso físico aoanfitriãoSegurança do hostfísico básicoé necessário paraevitar que intrusosde atacar ohardware da máquinavirtual.Quandoos atacantes podemacessar um hostque podemfaça o seguinte: UsoOS-especificamente cteclas paramatar processos, monitorar o uso derecursos,oudesligar a máquina, normalmente sem a necessidade deuma conta de loginválidae senha Reinicie a máquina, a inicialização demídia externa comuma senha derootconhecidos roubar arquivosusando meiosexternos (disquete, CD / DVD-RW, USB / flashdiscos, etc) Capturatrafficentrando ousaindo da redede interfaces Removerum ou mais discos, montá-losemuma máquina com umconhecidoadministrador ousenha de root, potencialmente provendo acesso a toda aconteúdo dohost eVMshóspedes Basta retirara máquina inteiraPadrãocontroles físicostambém deveser implementado emsala do servidorem si: Exigircartão ouguardao acesso à salacom as máquinas. Use travaspara ancoraras máquinaspara a construçãoe / oubloquear oscasospara impedir a remoçãodos discos rígidos. RetireflOppy edrives de CDapós a configuração inicial. No BIOS,desativara inicializaçãode qualquer dispositivo, exceto o disco rígidoprincipal.Além disso, a senha protegera BIOS paraa escolhade inicialização nãopode seralterado. Controletodas as portas externasatravés dehost esistema convidadoconfi guraçãoou de terceirosapplications.7Usandocomunicações criptografadasTecnologias de criptografia, como o HTTP seguro(HTTPS),virtualcriptografadoPrivate Networks (VPNs), Transport Layer Security(TLS),SSH (Secure Shell),e assim por diantedeve ser usada parafornecer ligaçõesde comunicaçõessegurasentredomínio do host edo domínio convidado, ou de anfitriões desistemas de gestão.Criptografiairá ajudar a evitartais façanhascomoman-in-the-middle (MITM),ataques falsificados, e seqüestro de sessão.Além disso,técnicas deautenticaçãotradicionais, tais como a falhade logintimeouts, senhas fortes, senhas de BIOS, bandeiras de aviso esenhamascaramentodeve ser implementada.DesativandoTarefas em segundo planoSistemas operacionais maistradicionaisdo servidor têmváriosprocessosde baixaprioridadequeestão programadaspara funcionardepois de horasde negócios principais, quando oservidor é
  11. 11. deverá sermenos movimentada.Incapacitante,limitandoouoff-loadingque essesprocessosoutros servidorespode ser aconselhávelse a máquinaestá começandoa sofrerderecursocontenção.O principal problema coma detecção defundotarefaem uma máquina virtualé que oprocesso virtualociosonão é totalmentecientes do estadodo virtualoutromáquinas, epode nãoser capaz de fazeruma determinação exactaquanto ao factoo processador hosté realmenteociosoou não.Isto pode conduzir aumasituação em queotarefa de fundoexigemais ciclos de processadordo quefoi inicialmentepretendidos.Além disso,váriasexploraçõeshackerssão concebidos paraforadestespiggybackprocessos, na tentativa deser menosdetectávelparadetecçãomalware.Algumas destasprocessos podem incluirferramentasde indexaçãofile, ferramentas deregistro,edesfragmentadores.Atualização epatchesA maioria dasorganizações de padrõesaplicaro conceito depatchinge atualizaçãodesistemas.Infelizmente, a proliferação de uma organizaçãoemVMsaumenta a complexidade doprocesso de controle depatch.Isto significa quenão sódeveo patche atualizaro sistema operacionalhospedeiroprontamente, mascada uma dasmáquinasvirtuaisrequera programaçãopatchingmesmo. Esta é umarazãodeumapadronizaçãosistema operacionalem toda a empresaé muito importante,se possível.O cronograma depatch tambémexige que a gestãodo processo de desligamento, comomaioria dos patchesexigir a reinicializaçãoapós opatch for aplicado,eo administradorpode teruma janela de manutençãomuito estreitaem queaplicar opatch.Agora você estádesligandonão sóo exército, mas todo o sistemaque está naqueleacolhimento, eatualizando a cadaVMno host, bem como o próprio host.Étambém imperativoque a correção sejatestado emum sistema representativonãoproduçãodosistema a seractualizado.Embora sejaimportante queo hosteVMshóspedesrecebemo patchde segurança mais recentes, um controle de pesquisae testesprocesso deveser implementadopara demonstraro efeito queuma atualizaçãopode terna suaespecificidadeconfi guraçãoc.Uma grande parte dorecurso de integraçãoé gastoquando uma atualizaçãotemconsequências imprevisíveis, e deve ser revertidaouresultadosem remendarexigido deoutros componentes do sistema.Mantenha-se atualizadoatravés delistas de discussão egrupos de notíciaspara obterinformações sobreas últimas correções paraseus sistemas,e parapesquisa de implementaçãodeatualizaçãoquestões, especialmente para organizações que possuemsistemas semelhantesaoseu.Além disso,alguns patchesdeve serespecifi camentemodifiedpelofornecedor de virtualizaçãoantesà implementação,de modo a manterem contatocom o seufornecedor de virtualizaçãoatravés daaplicação de patches eprocesso de atualização.AtivandoDefesaPerímetrona VMDispositivos de perímetrode defesa sãoalgumas das formasmais antigase mais bemestabelecidasde fazer cumprira política de segurança, regulando a entrada dedadostraffice saída.Na verdade, umerro comum degestão de TIestá alocandomuitos recursos(tempo edinheiro) parapuramenteperímetro de defesa, na forma derewallsfieroteadoresendurecidosDMZ, negligenciando oendurecimentointerno,confiávelrede.Isso muitas vezescria o queé referido comoum M & Mde segurança de redepostura:crocantepor fora, masmolepor dentro.A rede édifi
  12. 12. cultopara entrar,mas que carece decontroles adequados, uma vez que umintrusoconsigapenetrar operímetro.Uma vantagemde permitirrewallsfiou sistemas dedetecção de intrusão pormáquinas virtuais noOSanfitrião éque o compromissode sucessodo convidadodomínio nãopode comprometer odomínioanfitrião se oVMfoiconfiguradoadequadamente.Uma vez que odomínio do hostcontrola arederealtraffice fazfi nalde roteamentodeterminaçõesapós aVMcomunicou, baseado em rededetecção de intrusãoouprodutosfirewallpodeser implementadocom muito sucessonesteponto de estrangulamento, e ainda ajuda a organização aimplementar um"defensein-estratégia deprofundidade ".Implementação de verificações deintegridade de arquivosUm dos princípiosda segurançados sistemas de informaçãoé a preservaçãodaintegridade de arquivos- Isto é,agarantia de queo conteúdo de umlefinão tenham sido submetidosaalterações não autorizadas, seja intencionalmente ou não.integridade de arquivosverificaçãoé o processode verificação de queos ficheiros demantera consistênciaapropriada,e serve comouma verificação deintrusão nosistema.Enquanto onível de segurançaclassifi caçãodos dados aser hospedadonoVMdeterminar a intensidadee foco daverificação, é recomendado quefileverificação de integridadeser implementadasao nível do sistemaoperativo anfitrião.Uma maneirade implementarfileverificação de integridadeépor armazenarvalores dehashde núcleo OSarquivosoffline, como estes lesfinão devemudar comfreqüência.Tripwire(www.tripwire.com), é umdos fornecedores maisestabelecidos deverificação deintegridadefile,e recentemente começou afocaremambientes virtualizados, alémparaambientes físicos tradicionais.backupsmantendoNós nãodeve mesmo ter quedizer isso,mas infelizmentenós.Realizeimagembackupscom frequênciapara todas asVMsde produção.Isto iráajudar narecuperaçãotanto do indivíduofi lesoua imagem do servidorcompleto.Protecção dobackup físicoé também uma partedas melhores práticas.Isto incluiprotecçãoda corrente de dadosdecópia de segurança,que deveser encriptadaparaevitara intercepção de umaimagem do servidor, capturando os pacotes nobackup,bem comoo controle físico dotransportede mídia de backupe armazenamento.A superfície de ataqueSuperfície de ataqueé umtermo que se refereatodos osserviços em execuçãode umhostqueexpô-lopara atacar.Aprofissão de segurançatenta reduzira superfície de ataqueparatão pequenouma pegadapossível,mantendoa funcionalidade de negócios.Reduzindoreduz a exposiçãoa vulnerabilidade dasuperfície de ataquefornece umaatacante,e tem astbeneficiáagregadode reduzira complexidadee os recursosnecessária para garantirum sistema.VMAUDITORIAÉ muitoimportante que os auditoresde sistemae avaliadorescompreender ainerenteriscos de qualquersistemavirtualizado queengatauma conexão compúblicoredes (como a Internet). Muitas normase diretrizesestão sendoconstruídopara orientaros auditorespara avaliar apostura de segurança deumambiente virtualizado,
  13. 13. incluindo orientaçõesdo Departamentode Defesa dos EUAA superfície de ataqueSuperfície de ataqueé umtermo que se refereatodos osserviços em execuçãode umhostqueexpô-lopara atacar.Aprofissão de segurançatenta reduzira superfície de ataqueparatão pequenouma pegadapossível,mantendoa funcionalidade de negócios.Reduzindoreduz a exposiçãoa vulnerabilidade dasuperfície de ataquefornece umaatacante,e tem astbeneficiáagregadode reduzira complexidadee os recursosnecessária para garantirum sistema.VMAUDITORIAÉ muitoimportante que os auditoresde sistemae avaliadorescompreender ainerenteriscos de qualquersistemavirtualizado queengatauma conexão compúblicoredes (como a Internet). Muitas normase diretrizesestão sendoconstruídopara orientaros auditorespara avaliar apostura de segurança deumambiente virtualizado,incluindo orientaçõesdo Departamentode Defesa dos EUAVM-c especificações técnicas de segurançaUm requisito fundamental paraum processo bem sucedidode virtualizaçãodesegurança éreconhecer anatureza dinâmicade máquinas virtuais.Portanto,muitos dostécnicas de segurançaque se seguem sãobastante singularparasistemas virtualizados,edevem seraplicadas, para alémdastécnicas tradicionais deboas práticasacabamos de descrever.Endurecimentoda Máquina VirtualMáquinas virtuaisprecisam serconfigurado deforma segura,de acordo comofornecedor, desdeoumelhores práticas da indústria. Porque esteendurecimentopode variarde acordo coma implementação do fornecedordevirtualização, siga as recomendações do fornecedorpara as melhores práticasnesta área.Este endurecimentopode incluirvários passos, tais como os seguintes: limitesColocarsobre o consumode recursosda máquina virtual Configuringainterface virtual de redee armazenamentoapropriadamente A desativação ouremoção de dispositivose serviços desnecessários Garantir que oscomponentesque podem sercompartilhados atravésda rede virtualdispositivossão adequadamenteisoladoe fixado Mantertrilhasmadeireirasgranularese detalhadosde auditoria para ovirtualizadoinfra-estruturaÉimportante o uso deboas práticasde fornecedoresfornecidoguiasparaconfi guraçãotantoo hóspedee anfitriãodomínios,e referem-sea algumas dasnormas publicadasnesta área,tais como: NISTComputerResource Center (http://csrc.nist.gov/) Defesade Sistemas de Informaçãoda Agência(DISA)Técnico de SegurançaGuiasde implementação (Stigs) (http://iase.disa.mil/stigs/index.html) Center for Internet Security(http://cisecurity.org) SANSInstitute (http://www.sans.org/) Agência de Segurança Nacional(NSA) (http://www.nsa.gov/)Vejamosalgumas importantestécnicas deVMendurecimento.Hardeno HypervisorÉ fundamentalse concentrar nohypervisorcomoum vetor de ataque, e se esforçamparagarantirque o hypervisoré implantadode forma segura.Mesmoantes desta fase, quando vocêestáavaliação das tecnologias devários fornecedoresde virtualização", coloque um
  14. 14. prêmioem umregistro de fornecedordecontrole deidentificação de vulnerabilidadesdesua tecnologiaedofreqüência dedistribuição de patches.Empregarmudança econtrolesconfi guraçãopara gerenciaro sistema virtualcorreções emudanças deconfi guraçãoparao hypervisor,e implementar umtesteprocessarpara testar apublicarvulnerabilidades.Contratar umserviço de testedeterceirosé a melhor práticapadrão também.EnraizarFixeo MonitorPorquea maioria dos sistemasoperacionais podemser comprometidas por meiodeelevação de privilégios,o monitor demáquina virtualdeve ser "raiz seguro."Isso significa quenenhum nível deprivilégio dentro doambiente de convidadovirtualizadopermitea interferência como sistema de acolhimento.Implementarapenas uma função principalpor VMEnquanto os servidorese máquinas virtuaiscontemporâneossão peritos emmulti-taskingmuitas funções, é muito mais fácilmanter o controlesegurose a máquina virtualéconfiguradocomseparaçãodo processo.Elacomplica muito acapacidadedo hackercomprometeros componentes do sistemamúltiplas se aVMé implementado comumafunção principal porservidor virtualou dispositivo.Qualquer firewalladicionaisPortasVMA máquinavirtual podeabrir várias portasligadas aoexternado hospedeiroEndereço IP,além dos portoshabituaisaberta peloanfitrião.Essas portas são usadaspara se conectar remotamenteà camadamáquina virtual paravisualizaçãoouconfiguravirtuaismáquinas, unidades de partes, ou realizar outras tarefas.Portanto, o sistemahospedeiro deveser independentementefirewalledcom um mínimode acesso permitido. Gerenciamento remoto dohost eVM, provavelmente,ser exigido, masessa comunicaçãosó deverá ter lugarem uma NICseparadapara acesso administrativosóEndurecer o domínio do hostO Center for Internet Security (CIS) publicou recentemente uma referência Xenestudo11 que incorpora uma série de conselhos valiosos de segurança para oendurecimento dohost de domínio: "Antes de qualquer máquinas virtuais pode ser seguro, odomínio do hostdo sistema operacional hospedeiro Linux deve ser seguro. Um compromisso daHóstiaDomínio faz comprometer o convidado Domínios uma tarefa simples. assimpassosdevem ser tomadas para reduzir a superfície de ataque do Domínio Host. estesincluemmas não estão limitados a: Remover contas desnecessárias e grupos. Desativar serviços desnecessários. Retire desnecessários binários, bibliotecas e fi les. acesso à rede de firewall para o host. Instale monitoramento ou Host Intrusion Detection Systems. Verifique se o domínio do host não é acessível a partir dos domínios deClientes.
  15. 15. Garantir que o monitoramento ou interfaces de console remoto para odomínio do hostnão são acessíveis através dos domínios de Clientes. Garantir que os domínios de Clientes não podem afetar diretamente qualquerarmazenamento de redeou outros recursos que o domínio do host depende para inicialização, configuração,ou autenticação.O anfitrião Domínio Host deve ser usado apenas como um recurso para avirtualizaçãooutros ambientes operacionais. O sistema de domínio de acolhimento não devehospedaroutros serviços ou recursos em si, incluindo web, e-mail e servidores fi le. setais serviços são necessários, migrar os serviços para outro sistema ouconsiderara criação de uma máquina virtual para hospedá-los dentro de um domínioconvidado. "Useplacas de redeexclusivospara VMsSensíveisSe possível,VMsque contêmbases de dadosconfidenciaisecriptografadosou sensíveisinformação deveter seuendereço de interfacede rede ligadaa diferentesefísicos separadosinterfaces de rede (NICs). EsteNIC externaseriao vetor de ataqueprimário deintrusão,e isolamentopode ajudar a protegera VM.Desconecteos dispositivos não utilizadosÉ aconselháveldesligar osdesnecessáriospadrãoconexões de dispositivosde máquinasvirtuaisao configurara máquina virtual. Porque oVMpode controlardispositivos físicosno host,é possívelinserir a mídiacom códigoindesejadopara o dispositivo,permitindo queo códigoa ser executado quandoas montagensVM.Permitiro acesso aohostpara dispositivossomente quandoexpressamenteexigido peloVM.RecomendaçõesadicionaisVMTavisOrmandy12também temrecomendações adicionaispara oendurecimentovirtualizadossistemas: Tratemáquinas virtuaiscomoserviços que podem sercomprometidas;usarchroot,systrace, acls, usuários menosprivilegiados, etc Desativarhardwareemuladoque você não precisa, e serviços externosquenão utilize(daemons DHCP, etc), para reduzir a superfície de ataqueexposto ausuárioshostis. Xenvale a pena assistirno futuro;domíniosde separação devemlimitar aimpactode um compromisso. Manter a integridade dossistemas operacionais convidados, proteger o kernel usandoprocedimentos padrãode módulosincapacitantes: / dev / mem, / dev / port, etc Mantenha o softwareclienteup-to-date com vulnerabilidades publicadas.Se umatacantenão podeelevar seus privilégiosdentrodo hóspede,a probabilidade decomprometero VMMésignifi cativamentereduzido. Mantenha o softwarede máquina virtualatualizado para garantirtodas asvulnerabilidades conhecidasforam corrigidos. Eviteos hóspedesque não operamem modo protegido,e fazer uso derecursos de segurançaoferecidos,evitar a execução decódigo não
  16. 16. confiávelcomrootequivalentprivilégiosdentro doconvidado. Protegendo o acesso remotoVMMuitossistemas de máquinasvirtuais sãorack-montado, e pode estar localizada emumfarmfisicamentedistinto dolocal deadministração.Isto normalmenteexige que oadministrador do sistemapara acessar o sistemaremotamenteparavirtualizadotarefas de gestão.Isto requertécnicas seguras decomunicações remotas.Embora a implementaçãode cada fornecedorda tecnologia de virtualizaçãopodediferem, algumas práticas recomendadas padrãogeraisexistentes ao utilizarserviçosremotospara acessar um sistemapara administração.A maioria dos sistemasutilizamumagestão dedicadaNIC,eexecução de processosde serviçosque são usados paracriar umseguroconexãocom o administradorremoto.Práticas padrãopara administraçãoremotaincluem o seguinte: práticasde autenticação fortedeve ser empregado: autenticaçãode dois fatores As senhas fortes senhas de pares de chavesprivada / públicaPKI Usecomunicações criptografadasapenas, como um SSH ouVPNs. endereço MAC outecnica de filtragemfiendereço IPdeve ser empregada. acessoTelnet paraa unidade deve sernegado,pois nãocriptografar as comunicaçõescanal.VALOR DA SSHSSH (Secure Shell) é um emulador de terminal de conexão que se assemelhaa Telnet, masé uma ferramenta mais segura para a execução de tarefas de gerenciamentoremotamente. O SSH é multiplataformae pode funcionar tanto puramente baseados em texto sessões, bem como X-Windowsaplicações gráficas. O SSH é exível fl o suficiente para permitir que osadministradores de executaro mesmo conjunto de ferramentas de gestão utilizadas no ambiente, Nonvirtualtradicional,e inclui uma riqueza de vários add-on ferramentas construídas sobre o SSHtecnologia, como SFTP (Secure FTP) e PuTTY (ver http://www.chiark. greenend.org.uk / ~ sgtatham / putty / download.html).Ela é a melhor prática na implementação SSH para desativar o menos seguroa versão 1 do protocolo SSH (SSH-1) e utilizar apenas SSH-2. Além disso,empregamcom base na função de controle de acesso (RBAC), ou outro mecanismo decontrole de acesso, queforça os utilizadores a usar contas de login defi nidos, para fazer valer aresponsabilidade.resumoCom aadoção da tecnologia denuvem vemmuitos desafios parauma organização,especialmente na áreadecomputação seguro. Gerenciandoa segurança danuvem privadada organização, bem como supervisionaras ações daNuvem
  17. 17. Provedor deserviçospodebem tornar-seuma tarefa monumental.Paraajudar a diminuiro tamanho datarefa,claramentedefinediniciativasde gestãodeve ser instituídoque delineiampropriedade clara eresponsabilidade dosegurança dos dados.Portanto, nestecapítulo,analisoudetetive,preventiva,e as melhores práticaspara garantir quecontrolaa virtualizaçãonãoquebrar a segurançaposturada empresa.Para este fim,olhou paraa necessidadee funçãode políticas de segurança, e deualguns exemplos do quetipos depolíticassão normalmente desenvolvidos.Tambémtocouapós a detecçãode intrusãode computadore de respostaea criação deum ComputadorSegurançaIncident Response Team(CSIRT).Passamos o restodo capítuloexaminara segurançade virtualizaçãováriosmelhores práticas de gestão. Nósolhou primeiro paraalgumas ameaçasespecíficaspara o virtualambiente,então examinadoalgumaspráticas de segurançarecomendadas gerais, eem seguida,terminou comdetalhes das técnicasde proteção quesão únicasparavirtualizadosistemas.

×