Zabezpečenie virtuálnych počítačov v podnikovom prostredí

Virtuálne počítače a servery (VM) sú vďaka svojej flexibilite, škálovateľnosti a efektívnemu využívaniu zdrojov neoddeliteľnou súčasťou moderných IT infraštruktúr. Zároveň však predstavujú nové bezpečnostné výzvy, ktoré si vyžadujú špecifické prístupy a technológie. Virtuálne počítače fungujú na vrstve hypervízora, ktorá umožňuje prevádzku viacerých izolovaných systémov na jednom fyzickom hardvéri. Táto architektúra prináša nové „plochy“ pre prípadný útok.

Hrozby pre virtuálne počítače

Virtuálne prostredia sú vystavené širokému spektru hrozieb, ktoré sa často líšia od tradičných útokov na fyzické servery. Jednoduché vytváranie virtuálnych strojov vedie k strate prehľadu. Neaktualizované alebo zabudnuté VM predstavujú ideálny cieľ pre útočníkov. Rovnako aj používanie starých obrazov VM znamená, že systém môže obsahovať známe zraniteľnosti alebo slabé konfigurácie. Využíva sa špecifický malvér navrhnutý na detekciu a obchádzanie bezpečnostných mechanizmov vo virtuálnych prostrediach. Útoky sú najčastejšie zamerané na hypervízor, teda prostredie, v ktorom bežia virtuálne servery a počítače. Cieľom útokov na hypervízor je získanie kontroly nad všetkými hosťovanými systémami. Útočníci takisto využívajú slabé izolácie medzi VM na presun vo vnútri virtuálneho prostredia, na takzvané bočné prieniky (lateral movement), čím ohrozujú viacero systémov naraz. Stačí jediný kompromitovaný virtuálny počítač – či už v dôsledku ukradnutých prihlasovacích údajov, nesprávnej konfigurácie, alebo neaktualizovaných služieb – a incident sa môže rýchlo rozšíriť naprieč celým prostredím. Za zmienku stoja tzv. escape útoky na virtuálne počítače, pri ktorých útočníci prinútia programy „uniknúť“ z virtuálnych počítačov a komunikovať s hostiteľským operačným systémom. Svedkami takýchto situácií sme boli nedávno pri niektorých zero‑day zraniteľnostiach v službe VMware ESXi.

Cloudové riešenie vs. DORA

Riešenia postavené na verejných cloudoch, napríklad virtuálne počítače, nie sú nezraniteľné. Rovnaké riziká predstavujú aj súvisiace vrstvy, ako sú cloudové služby správy identít. Regulačné orgány si tieto aj ďalšie externé riziká uvedomujú, preto vydávajú nariadenia, ktoré stanovujú základný štandard odolnosti a zodpovednosti pre finančné inštitúcie a niektorých ich poskytovateľov. DORA (The EU Digital Operational Resilience Act) čiže akt EÚ o digitálnej prevádzkovej odolnosti kladie veľký dôraz na prevádzkovú odolnosť vrátane riadenia externých rizík, hlavne v prípade poskytovateľov cloudových služieb. Nariadenie stanovuje, že iniciátor zmluvného vzťahu nesie zodpovednosť za posúdenie a monitorovanie odolnosti svojich dodávateľov. Inými slovami, ak prevádzkujete virtuálne počítače vo verejnom cloudovom prostredí a vaša služba je zneužitá, zodpovednosť za prípadné zverejnenie citlivých údajov, ktoré sa na týchto kompromitovaných virtuálnych počítačoch nachádzajú, nesiete vy.

Nedodržanie predpisov môže viesť k pokute až do výšky 2 % celkového ročného globálneho obratu firmy alebo 10 miliónov eur – podľa toho, ktorá suma je vyššia. V prípade jednotlivca (napríklad člena vedenia podniku) môže sankcia dosiahnuť až 1 milión eur.

Firmy sa ocitajú medzi dvoma mlynskými kameňmi: Na jednej strane čelia čoraz rafinovanejším útočníkom, na druhej prísnym regulačným orgánom, ktoré trestajú každé zlyhanie pri reakcii na incident. Najmä stredne veľké firmy majú čo stratiť. Riešením je zjednodušiť, zefektívniť a sprístupniť ochranu cloudových prostriedkov a služieb rozšírením základného zabezpečenia so všetkými jeho výhodami (optimalizované zobrazenie, bezproblémová správa) aj do cloudového prostredia.

Bezpečnostné riešenia pre virtuálne prostredia

Účinná ochrana VM vyžaduje kombináciu technických a organizačných opatrení. Bezpečnostný model sa musí prispôsobiť nielen samotným VM, ale aj hypervízoru, orchestrácii a sieťovej vrstve. Využívajú sa antimalvérové riešenia navrhnuté pre VM, ktoré dokážu detegovať špecifické hrozby virtuálneho prostredia. Riziko už spomenutých bočných prienikov minimalizuje segmentácia siete, teda oddelenie VM do samostatných sieťových segmentov, ako aj šifrovanie dát uložených a prenášaných medzi VM. Použitie segmentácie obmedzuje pohyb útočníka medzi VM. Každý systém by mal komunikovať len s nevyhnutnými službami. Pravidelný monitoring aktivity VM a audit konfigurácií pomáhajú včas odhaliť anomálie. Veľmi dôležitá je včasná aplikácia bezpečnostných záplat na VM, hypervízor a softvérové komponenty.

Klasické riešenia môžu spôsobiť „antivírusovú búrku“

Napriek tomu, že moderné bezpečnostné riešenia sa snažia počítač, ktorý chránia, zaťažovať čo najmenej, na základe naplánovaných harmonogramov sa vykonávajú kontroly a aktualizácie, ktoré si pre seba ukroja niekoľko málo percent výpočtovej kapacity, čo sotva postrehnete. A teraz si predstavte, že takéto riešenie je nasadené na desiatkach či stovkách virtuálnych počítačov bežiacich na jednom výkonnom serveri. Ak riešenie nebolo navrhnuté na beh vo virtualizovanom prostredí, tieto akcie sa začnú na všetkých virtuálnych strojoch súčasne. Pre tento stav sa zaužívalo označenie antivírusová búrka. Paralelné skenovanie na viacerých VM vygeneruje záťaž, počas ktorej dochádza k súpereniu virtuálnych strojov o prostriedky.

Na základe skúseností sa za optimum považuje beh šiestich virtuálnych desktopov na jeden logický procesor. Na serveri so 64 jadrami by sme teda mohli teoreticky vytvoriť 384 virtuálnych desktopov pre vysokú záťaž. Bežných používateľov zvládne server dvoj- až štvornásobok, teda 500 až 1000. Ak sa však na 500 virtuálnych počítačoch rozbehne súčasne antivírusová kontrola, môže to spôsobiť problém.

Preto moderné bezpečnostné riešenia určené do virtuálneho prostredia využívajú rôzne sofistikované metódy, ktorých cieľom je dosiahnuť rovnomernejšie rozdelenie záťaže.

ESET Cloud Workload Protection

Dobrá správa pre spoločnosti s obmedzenými znalosťami v oblasti IT bezpečnosti či menšími bezpečnostnými tímami je, že komplexná odolnosť nemusí byť komplikovaná.

Keď zohľadníme všetky uvedené výzvy od nepríjemných cloudových hrozieb až po predpisy vyžadujúce dôsledné riadenie prevádzkovej odolnosti, je jasné, že spoliehať sa len na existujúce prístupy už nestačí. Preto ESET rozširuje ochranu za hranice koncových zariadení prostredníctvom nového modulu ESET Cloud Workload Protection (ECWP), ktorý chráni virtuálne počítače vo verejných cloudových prostrediach, integruje ich údaje do konzoly ESET PROTECT s možnosťami XDR, výrazne obohacuje telemetriu na účely detekcie a reakcie na incidenty a zároveň zjednocuje správu zabezpečenia naprieč koncovými a cloudovými prostrediami v jednom prehľadnom rozhraní.

Hlavná výhoda ECWP je ochrana pred ďalším významným vektorom útokov a zároveň možnosť pravidelne overovať kontrolné mechanizmy či generovať dôkazy o audite v súlade s regulačnými rámcami, ako sú NIST, CIS, HIPAA alebo PCI DSS, teda nielen v súlade s nariadením DORA.

Na rozdiel od konkurencie, ktorá zvyčajne ponúka ochranu cloudových prostriedkov a služieb ako samostatný produkt, ESET prináša ochranu virtuálnych počítačov v rámci bežných úrovní predplatného, počnúc úrovňou ESET PROTECT Advanced, aby bola dostupná aj pre tie najmenšie firmy.

Resumé

Zabezpečenie virtuálnych počítačov je nevyhnutný predpoklad na ochranu dát, prevádzkovú kontinuitu a splnenie legislatívnych požiadaviek. Kombinácia technických riešení, správnych zásad a moderných bezpečnostných produktov, ako je ESET Cloud Workload Protection, výrazne zvyšuje úroveň ochrany VM v podnikovom prostredí. Odporúča sa pravidelne hodnotiť bezpečnostné opatrenia, investovať do automatizácie a školení a využiť pokročilé technológie na detekciu a prevenciu hrozieb. Iba komplexný prístup zabezpečí, že virtuálne prostredie bude odolné proti aktuálnym aj budúcim bezpečnostným výzvam.