Sicherheit in virtualisierten Betriebssystemumgebungen

Ähnliche Dokumente
IRS in virtualisierten Umgebungen

Virtualisierung. Virtualisierung im Heimgebrauch - Sinn oder Unsinn? Markus Anton & Martin Beier

Lösung von Übungsblatt 11. (Virtualisierung und Emulation)

Betriebssysteme. Tutorium 2. Philipp Kirchhofer

Servervirtualisierung bei der GWDG GWDG IK,

Virtualisierung unter GNU/Linux für Einsteiger

Cloud Computing Übung 2 Fragen & Inhalte (1)

Übersicht. Virtuelle Maschinen Erlaubnisse (Rechte) (Protection-)Ringe. AVS SS Teil 12/Protection

Profitieren Sie von einer offenen und flexiblen Clouddienstplattform

Meine Datenbank läuft auf Vmware Was sagt der Enterprise Manager dazu?

Ist nur Appliance ODA schon Rechenzentrum in der Kiste?

Virtualisierter Terminalserver

Überblick. Virtualisierung Motivation Grundlagen Paravirtualisierung mit Xen Betriebssystemvirtualisierung mit Linux-VServer

Betriebssystem-basierte Virtualisierung

Übersicht. Virtuelle Maschinen Erlaubnisse (Permission, Rechte) Ringe. AVS SS Teil 12/Protection

IT-Sachverständigen-Gemeinschaft. Virtualisierungstechnologien aus forensischer Sicht in Kempten,

CyPhyControl. Virtualisierte Ausführungsplattform für die zuverlässige Steuerung cyber-physikalischer Systeme

Schlank in die Zukunft - Virtualisierte Leitsysteme. Stefan Messerschmidt Key Account Manager

Informatikdienste Virtualisierung im Datacenter mit VMware vsphere

Bibliotheks-basierte Virtualisierung

» Sicherheit in virtualisierten Umgebungen Sandkästen, Klone und Mythen

Effizienz Flexibilität und Agilität Kosten senken Betriebsaufwand Konsolidierung Mobilität und Zeit für sich

Sichere Virtualisierung mit KVM

Prof. Dr. Udo Hönig, Prof. Dr. Wolfram Schiffmann. Kurs Virtuelle Maschinen LESEPROBE

Virtual Machines. Peter Schmid Hochschule für Technik Zürich Master of Advanced Studies, Informatik

W H I T E P A P E R. Dynamische IT-Dimensionierung mit Virtualisierung von VMware zur Senkung des Stromverbrauchs

Just-In-Time-Compiler (2)

Hardware Virtualisierungs Support für PikeOS

DOSEMU. Vortrag im Hauptseminar Konzepte und Techniken virtueller Maschinen und Emulatoren. Matthias Felix FAU. 13.

Grundlagen der Rechnerarchitektur. Ein und Ausgabe

Ob physisch, virtuell oder als Cloud so schützen Sie Ihre IT Referent: Christian Klein

bwsecurity day

Windows Server 2008 Virtualisierung

M5000 einfach ablösen durch T4/T5 LDoms und Solaris Zonen

IaaS und Virtualisierung

Vorlesung: Virtualisierung und Rechenzentrumsinfrastrukturen. Lars Göbel & Christian Müller VL04: Einführung in die Virtualisierung

11 Dinge, die Hyper-V übel nimmt. Nils Kaczenski MVP Hyper-V faq-o-matic.net

Calogero Fontana Fachseminar WS09/10. Virtualisierung

LDom Performance optimieren

Virtualisierung einer KMU-Infrastruktur

Virtual Machines. Peter Schmid Hochschule für Technik Zürich Master of Advanced Studies, Informatik

Überblick. Virtualisierung Motivation Grundlagen Xen Linux-VServer Zusammenfassung. c td MWCC (WS13/14) Virtualisierung 4 1

Just-In-Time-Compiler (2)

Hochverfügbarkeit und virtualisierte Umgebungen

Sicherheitsanalyse von Private Clouds

Systemvirtualisierungen in der IT-Forensik

Teil 3: Konzepte von Betriebssystemen

shype: Hypervisor Security Architecture

Aufgabe 1: Begriffswelt /10 Punkte

Leistungsbeschreibung vserver. Stand: 09/2018

Isolierte Umgebungen für Python Anwendungen Teil 2. Christine Koppelt, Jürgen Schackmann, Stefan Seelmann

Inhaltsverzeichnis. Bibliografische Informationen digitalisiert durch

Was machen wir heute? Betriebssysteme Tutorium 2. Organisatorisches. Frage 2.1.a. Theorieblätter Abgabe. Antwort. Probleme mit OS/161?

EU Referendum Brexit und die Folgen für deutsche Unternehmen. Juni 2016

Bastian Nowak. Warum? Wie? Wer? Wann? Handlungsempfehlungen für Ihre it-sicherheit. Roadshow: "Cybercrime Eine Bedrohung auch für KMUs"

Oracle Database Appliance und Virtualisierung: OVM oder KVM?

Sicherer Einsatz von Smartphones

Konzepte von Betriebssystemkomponenten Referat am Thema: Adressräume, Page Faults, Demand Paging, Copy on Write Referent: Johannes Werner

Mobile Honeypot. Theodor Nolte. Hochschule für Angewandte Wissenschaften Hamburg Fakultät Technik und Informatik Department Informatik

Virtuelle Maschinen. Serbest Hammade / Resh. Do, 13. Dezember 2012

Virtualisierung und Hochverfügbarkeit

SAFE HARBOR STATEMENT

Neues aus Redmond: Windows Server 2016 in der Praxis

Die Nutzung virtualisierter Umgebungen bringt nicht nur Vorteile, sondern auch beträchtlich Risiken für die IT-Sicherheit.

Die Lage der IT-Sicherheit

Virtuelle Maschinen. von Markus Köbele

{Verwalten von virtualisierten

Echtzeit-Multitasking

/ Mich u. Laurent

Echtzeit-Multitasking

Die Wartung und Betreuung folgender Software-Applikationen ist bei der Variante Managed inkludiert:

An der Cloud führt kein Weg vorbei. Darauf sollten Sie sich vorbereiten! Dieter Rehfeld Bremen

Der IT-Security Dschungel im Krankenhaus. Ein möglicher Ausweg

» Hyper-V Best Practice Microsofts Virtualisierung professionell einsetzen

Martin Stiller, Fakultät Informatik, Institut für Technische Informatik. LLVA: Eine virtuelle Befehlssatzarchitektur

Active Directory reloaded in Windows Server 8

Malte Hesse

Impressum: Rechnungshof Rheinland-Pfalz Gerhart-Hauptmann-Straße Speyer

VMware als virtuelle Plattform

Was passiert wenn Arbeitsprozesse unterbrochen werden?

IT-Symposium C01 - Virtualisieren mit dem Windows Server 2008

Scale your IT. DevOps und Netzwerk für IPv6. Wie DevOps den Röstigraben zwischen Systemen und Netzwerk überwindet

oder von 0 zu IaaS mit Windows Server, Hyper-V, Virtual Machine Manager und Azure Pack

Proseminar Technische Informatik A survey of virtualization technologies

Netzwerkkonzepte in System Center 2012 R2 Virtual Machine Manager

Penetrationstests Risiko Sicherheitslücken in IT-Netzwerken

Mein Garten, mein Haus und meine Uhren

Betriebssysteme Vorstellung

Die Dienstleistung Servermanagement umfasst die Bereitstellung und den Betrieb von Servern an der ETH.

IT- und Medientechnik

Wirkung von IT-Sicherheitsmaßnahmen Die neue Herausforderung

Big Brother is watching

Vulnerability Management in der Cloud

Systemsoftware (SYS)

Copyright

Vorlesung: Virtualisierung und Rechenzentrumsinfrastrukturen. Lars Göbel & Christian Müller VL02: Einführung in die Virtualisierung

Sicherheit komplexer Informationssysteme

Transkript:

Sicherheit in virtualisierten Betriebssystemumgebungen Benjamin Vetter, bv@tonim.com Hochschule für Angewandte Wissenschaften Hamburg Fakultät Technik und Informatik Department Informatik 8. Februar 2010 1 / 32

Gliederung 1 Zweck der Virtualisierung 2 3 4 2 / 32

Zweck der Virtualisierung Bessere Auslastung der Server Kostenersparnis durch Wegfall von Servern Höhere Flexibilität beim Umgang mit virtuellen Maschinen 3 / 32

Gliederung 1 Zweck der Virtualisierung 2 3 4 4 / 32

Der Virtual Machine Monitor (VMM) stellt eine Schnittstelle in Software bereit, die von außen der Hardware-Schnittstelle entspricht Der Zugriff einer virtuellen Maschine auf die virtuelle Schnittstelle mündet im Zugriff auf die Hardware-Schnittstelle Die Koordination der Zugriffe ermöglicht mehrere virtuelle Maschinen auf nur 1 realen Maschine 5 / 32

Trap & Emulate: Die sensitiven Instruktionen (Zugriff auf sensitive Register oder Arbeitsspeicherbereiche) lösen Traps (Interrupts) aus Der VMM erhält die Kontrolle und emuliert das gewünschte Verhalten Aber: Die Architektur muss geeignet sein 6 / 32

x86-architektur: Nicht alle sensitiven Instruktionen lösen Traps aus Ausweg 1: Binary Translation Den Binärcode vor der Ausführung umschreiben Die Traps manuell einbauen Ausweg 2: Paravirtualisierung Die Betriebssysteme arbeiten mit dem VMM zusammen Die Betriebssysteme müssen angepasst werden 7 / 32

x86-architektur: Nicht alle sensitiven Instruktionen lösen Traps aus Ausweg 1: Binary Translation Den Binärcode vor der Ausführung umschreiben Die Traps manuell einbauen Ausweg 2: Paravirtualisierung Die Betriebssysteme arbeiten mit dem VMM zusammen Die Betriebssysteme müssen angepasst werden 7 / 32

Gliederung 1 Zweck der Virtualisierung 2 3 4 8 / 32

Der VMM sorgt für Isolation Virtualisierung bedeutet: logische Isolation Ein Verlust logischer Isolation bedeutet: Sicherheitsvorfall 9 / 32

Normalerweise gilt: 1 Dienst = 1 Betriebssystem = 1 Server Jetzt gilt: Die virtuellen Maschinen teilen sich die Hardware Physische Isolation ist stärker als logische Isolation Die Physische Isolation geht durch Virtualisierung verloren 10 / 32

Der VMM erhöht die Sicherheit nicht Serverkonsolidierung: Die logische Isolation steigt nicht (war schon maximal) Die physische Isolation geht verloren Das Sicherheitsniveau sinkt bei einer Serverkonsolidierung grundsätzlich 11 / 32

Gliederung 1 Zweck der Virtualisierung 2 3 4 12 / 32

Mobility: Die Trusted Computing Base von virtuellen Maschinen ist ggf. wesentlich größer Statt 1 Host: alle Hosts auf denen die virtuelle Maschine jemals lief 13 / 32

Software-Lifecycle: Rollback und Kopieren von virtuellen Maschinen Widerspruch zu linearer Lebenslinie Sicherheitslücken und gesperrte Accounts werden ggf. wieder geöffnet, Zufallszahlen sind ggf. weniger frisch Vertrauenswürdigkeit der Administratoren: Ein VMM-Administrator hat ggf. uneingeschränkten Zugriff Probleme bei hoher Mobilität Die Komplexität der Sicherheitsstrategie steigt 14 / 32

Software-Lifecycle: Rollback und Kopieren von virtuellen Maschinen Widerspruch zu linearer Lebenslinie Sicherheitslücken und gesperrte Accounts werden ggf. wieder geöffnet, Zufallszahlen sind ggf. weniger frisch Vertrauenswürdigkeit der Administratoren: Ein VMM-Administrator hat ggf. uneingeschränkten Zugriff Probleme bei hoher Mobilität Die Komplexität der Sicherheitsstrategie steigt 14 / 32

Gliederung 1 Zweck der Virtualisierung 2 3 4 15 / 32

Komplexität des VMM Die Sicherheit des VMM ist entscheidend, denn: Das Sicherheitsniveau sinkt bei einer Serverkonsolidierung grundsätzlich Virtualisierung bereitet organisatorische Probleme Der VMM muss die logische Isolation garantieren Hohe Komplexität (viel Programmcode) des VMM ist schlecht, denn: Die Wahrscheinlichkeit von Programmierfehlern steigt Die Verifizierbarkeit des VMM sinkt Ein VMM muss möglichst wenig Komplexität (wenig Programmcode) aufweisen um dennoch ein hohes Maß an Sicherheit garantieren zu können! 16 / 32

Komplexität der CPU-Virtualisierung Trap & Emulate weist geringe Komplexität auf Kein Trap & Emulate auf der x86-architektur möglich Binary Translation weist hohe Komplexität auf Paravirtualisierung ist besser geeignet, aber bedeutet Portierungsaufwand bzgl. Sicherheitspatches Eine CPU-unterstützte Virtualisierung entspricht dem Trap & Emulate 17 / 32

Komplexität der IO-Virtualisierung Aufgrund von Direct Memory Access (x86) muss der VMM die vielen Treiber für die x86-io aufnehmen Der VMM muss IO-Komponenten emulieren: fehleranfällig und komplex Der VMM setzt ggf. auf einem herkömmlichen OS auf. Die TCB des VMM steigt explosionsartig. 18 / 32

Komplexität der Netzwerk-Virtualisierung Ein Netzwerkpaket muss den physischen Host nicht mehr verlassen IDS, IPS, Firewalls, etc sehen den Traffic nicht mehr Komponenten müssten in den VMM verlagert werden: hohe Komplexität 19 / 32

Gliederung 1 Zweck der Virtualisierung 2 3 4 20 / 32

Es resultieren Sicherheitslücken und Angriffe aus den konzeptionellen Bedrohungen: VM-Escape (CVE-2007-4993, CVE-2008-0923, CVE-2007-1744,...) Privilege Escalation (CVE-2008-4915, CVE-2008-4279) DoS (CVE-2008-4914, CVE-2008-1340, CVE-2007-2491,...) Weitere typische Sicherheitslücken (CVE-2007-1320, CVE-2008-4279,...) Thrashing, Sniffing, Inter-VM-Angriffe 21 / 32

Es resultieren Sicherheitslücken und Angriffe aus den konzeptionellen Bedrohungen: VM-Escape (CVE-2007-4993, CVE-2008-0923, CVE-2007-1744,...) Privilege Escalation (CVE-2008-4915, CVE-2008-4279) DoS (CVE-2008-4914, CVE-2008-1340, CVE-2007-2491,...) Weitere typische Sicherheitslücken (CVE-2007-1320, CVE-2008-4279,...) Thrashing, Sniffing, Inter-VM-Angriffe 21 / 32

Es resultieren Sicherheitslücken und Angriffe aus den konzeptionellen Bedrohungen: VM-Escape (CVE-2007-4993, CVE-2008-0923, CVE-2007-1744,...) Privilege Escalation (CVE-2008-4915, CVE-2008-4279) DoS (CVE-2008-4914, CVE-2008-1340, CVE-2007-2491,...) Weitere typische Sicherheitslücken (CVE-2007-1320, CVE-2008-4279,...) Thrashing, Sniffing, Inter-VM-Angriffe 21 / 32

Es resultieren Sicherheitslücken und Angriffe aus den konzeptionellen Bedrohungen: VM-Escape (CVE-2007-4993, CVE-2008-0923, CVE-2007-1744,...) Privilege Escalation (CVE-2008-4915, CVE-2008-4279) DoS (CVE-2008-4914, CVE-2008-1340, CVE-2007-2491,...) Weitere typische Sicherheitslücken (CVE-2007-1320, CVE-2008-4279,...) Thrashing, Sniffing, Inter-VM-Angriffe 21 / 32

Es resultieren Sicherheitslücken und Angriffe aus den konzeptionellen Bedrohungen: VM-Escape (CVE-2007-4993, CVE-2008-0923, CVE-2007-1744,...) Privilege Escalation (CVE-2008-4915, CVE-2008-4279) DoS (CVE-2008-4914, CVE-2008-1340, CVE-2007-2491,...) Weitere typische Sicherheitslücken (CVE-2007-1320, CVE-2008-4279,...) Thrashing, Sniffing, Inter-VM-Angriffe 21 / 32

Gliederung 1 Zweck der Virtualisierung 2 3 4 22 / 32

Maßnahmen um Risiken der Virtualisierung zu reduzieren Index Maßnahme M.1 VMs mit unterschiedlichem Schutzbedarf nicht oberhalb des gleichen VMM konsolidieren M.2 Die Komplexität von Virtualisierungstechnologien minimieren M.3 Das Schutzniveau des VMM bzgl. Angriffen maximieren M.4 Das Konsolidierungspotential eines VMM einschränken M.5 Die bestehenden Schutzmaßnahmen aufrecht erhalten M.6 Den Kreis der Administratoren eines VMM reduzieren M.7 Die Mobilität von VMs einschränken M.8 Prozesse für die Inbetriebnahme, den Betrieb und die Wartung von VMs definieren und einrichten 23 / 32

M.1: VMs mit unterschiedlichem Schutzbedarf nicht oberhalb des gleichen VMM konsolidieren Die Risiken gelten nur noch innerhalb einer Schutzbedarfskategorie Es sind nur noch Systeme des gleichen Schutzbedarfs gefährdet Reduziert auch die Flexibilität 24 / 32

M.2 Die Komplexität von Virtualisierungstechnologien minimieren Aspekt CPU-Virtualisierung Architektur IO-Virtualisierung Netzwerk- Virtualisierung Maßnahmen - CPU-Unterstützte oder Paravirtualisierung - Binary Translation, wenn möglich, vermeiden - Typ-I-VMM (Bare Metal VMM) - Hosted- und Domain-Architektur vermeiden - IOMMU - Auswahl zertifizierter Treiber im VMM - Komplexität der Hardwareemulation vermeiden - Switching im VMM - auf Routing im VMM verzichten - Rerouting des Netzwerkverkehrs Ressourcen - Statische Ressourcenzuweisung durch den VMM 25 / 32

M.3 Das Schutzniveau des VMM bzgl. Angriffen maximieren Wer Zugriff auf den VMM besitzt erhält Zugriff auf alle virtuellen Maschinen Die Isolation von virtuellen Maschinen und dem VMM ist zu maximieren Wenn der VMM auf ein herkömmliches OS aufsetzt: OS gegen Angriffe härten Reduziert das Risiko eines Ausbruchs, Privilege Escalation und weiteren offenen Sicherheitslücken 26 / 32

M.4 Das Konsolidierungspotential eines VMM einschränken Verringert das Schadensausmaß bei einem Verlust der Verfügbarkeit Ein gleichzeitiger Verlust der Verfügbarkeit wird unwahrscheinlicher Beschränkt das Konsolidierungspotential auch innerhalb einer Schutzbedarfskategorie 27 / 32

M.5 Die bestehenden Schutzmaßnahmen aufrecht erhalten Virtualisierung beseitigt keine Schwachstellen Für Betriebssysteme und Applikationen in virtuellen Maschinen gelten die gleichen Sicherheitslücken Patch- und Updatezyklen sind einzuhalten Verhindert, dass das Risiko oberhalb des VMM steigt 28 / 32

M.6 Den Kreis der Administratoren eines VMM reduzieren Es sollen nur einige Administratoren statisch mit virtuellen Maschinen verknüpft sein Vermeidet Inkonsistenzen bei Mobilität von virtuellen Maschinen Reduziert das Risiko, das von Insidern ausgeht 29 / 32

M.7 Die Mobilität von virtuellen Maschinen einschränken Reduziert das Risiko von Sicherheitsvorfällen Vereinfacht die Bereinigung bei Sicherheitsvorfällen Vermeidet Inkonistenzen bzgl. der Vertrauenswürdigkeit von VMM-Administratoren Die Flexibilität sinkt, die Komplexität der Sicherheitsstrategie steigt 30 / 32

M.8 Prozesse für die Inbetriebnahme, den Betrieb und die Wartung von VMs definieren und einrichten Zentrale Erfassung aller virtuellen Maschinen Verhindert, dass virtuelle Maschinen nur sporadisch, ohne definierte Zuständigkeiten betrieben werden Reduziert das Risiko von lange offenen Sicherheitslücken Reduziert die Dauer bis zur Entdeckung von Sicherheitsvorfällen 31 / 32

Fazit Eine Serverkonsolidierung vermindert die Sicherheit grundsätzlich Ein VMM sollte möglichst schmal ausfallen Komplexität, Flexibilität und Konsolidierungspotential eines VMM müssen für hochschutzbedürftige Güter eingeschränkt werden Flexibilität und Konsolidierungspotential sollten jedoch gerade durch Virtualisierung maximiert werden! 32 / 32

Fazit Eine Serverkonsolidierung vermindert die Sicherheit grundsätzlich Ein VMM sollte möglichst schmal ausfallen Komplexität, Flexibilität und Konsolidierungspotential eines VMM müssen für hochschutzbedürftige Güter eingeschränkt werden Flexibilität und Konsolidierungspotential sollten jedoch gerade durch Virtualisierung maximiert werden! 32 / 32

Fazit Eine Serverkonsolidierung vermindert die Sicherheit grundsätzlich Ein VMM sollte möglichst schmal ausfallen Komplexität, Flexibilität und Konsolidierungspotential eines VMM müssen für hochschutzbedürftige Güter eingeschränkt werden Flexibilität und Konsolidierungspotential sollten jedoch gerade durch Virtualisierung maximiert werden! 32 / 32

Fazit Eine Serverkonsolidierung vermindert die Sicherheit grundsätzlich Ein VMM sollte möglichst schmal ausfallen Komplexität, Flexibilität und Konsolidierungspotential eines VMM müssen für hochschutzbedürftige Güter eingeschränkt werden Flexibilität und Konsolidierungspotential sollten jedoch gerade durch Virtualisierung maximiert werden! 32 / 32

Fazit Eine Serverkonsolidierung vermindert die Sicherheit grundsätzlich Ein VMM sollte möglichst schmal ausfallen Komplexität, Flexibilität und Konsolidierungspotential eines VMM müssen für hochschutzbedürftige Güter eingeschränkt werden Flexibilität und Konsolidierungspotential sollten jedoch gerade durch Virtualisierung maximiert werden! 32 / 32

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback