XIV nädal - Andmeturveː tehnoloogia, koolitus ja reeglid


Nädala teemaks oli valida üks suurematest turvariskidest ning analüüsida seda.

Virtuaalserveriks nimetatakse sellist serverit, mis asub internetiteenuste pakkuja (ISP) juures ja mida kasutavad ühiselt paljud veebisaidiomandikud. Igaüks neist saab kasutada ja hallata oma veebisaiti nii, nagu oleks tal kontroll kogu serveri üle.
Virtualiseerimist eksisteerib erinevates vormides - nad on eristatavad peamiselt selle kihi kaudu, kuhu virtualiseerimine on lisatud. Küll aga on kõigil ühisosaks hüperviisor ehk virtuaalmasina monitor (VMM) - keskne üksus, mis kontrollib, kuidas virtualiseeritud programmid suhtlevad ja toimivad allpool asuva ressursside kihiga.
Hüperviisor ehk teisisõnu virtuaalmasina monitor (VMM) on tarkvara virtualiseerimise haldamiseks, mis kontrollib kõiki virtuaalservereid (või virtuaalmasinaid) füüsilisel serveril. Kuna hüperviisori puhul on tegemist SPOF-iga, siis kõige loogilisem viis virtuaalmasinaid rünnata on rünnata hüperviisorit - kui sellesse häkkida, siis tähendab see kõigi tema virtuaalmasinate jaoks lõppu. Isegi, kui virtuaalmasin on täiuslikult turvatud, siis ei ole sellest turvalisusest mingit kasu, kui hüperviisor pole turvatud.

Rünnakud hüperviisorile läbi host OS-i
Tegemist on host operatsioonisüsteemi, millel hüperviisor jookseb, haavatavuste ärakasutamisega.

Rünnakud hüperviisorile läbi guest OS-i
Nii loomulik kui majutatud hüperviisor võib olla ohustatud või rünnatud ka guest OS-i poolt pahatahtliku skriptiga. Kuna guest OS suhtleb hüperviisoriga, et saada virtuaalseid ressursse, siis igasugune pahatahtlik kood guest operatsioonisüsteemist või virtuaalmasinast võib ohustada hüperviisorit.

Hyperjacking kujutab endast võlts-hüperviisori installimist, millega saab seejärel saavutada täieliku kontrolli serveri üle. Hyperjackingu puhul tegutseb hüperviisor salajasel viisil, mistõttu on rünnaku avastamine palju raskem ning  ligipääs arvutiserveritele, kust see saab mõjutada kogu institutsiooni või ettevõtte tegutsemist, tõenäolisem.

Riskide leevendamise abinõudeks on näiteks :
  1. Eelistada tuleks arhitektuurilt pigem loomulikku, mitte majutatud hüperviisorit - sellisel juhul on vähem haavatavaid kohti, sest mida lihtsamana asja hoiad, seda lihtsam on teda ka turvata ja hallata. Samuti tagavad IBM-i sõnul seda tüüpi hüperviisorid kõrgema jõudluse, käideldavuse ja turvalisuse.
  2. Tugevdada hüperviisori konfiguratsiooni, et vähendada haavatavuse ala (nt blokeerida mälu jagamine sama hüperviisori virtuaalmasinate vahel)
  3. Viia läbi hüperviisori terviklikkuse monitoorimist, kasutades selleks spetsiaalset tarkvara, näiteks Intel Trusted Platform Module/Trusted Execution Technology
  4. Hüperviisori turvalisuse haldus tuleks hoida eraldi regulaarsest liiklusest.
  5. Guest OS-idel ei tohiks olla kunagi ligipääsu hüperviisorile. Haldustööriistad ei tohiks olla guest OS-ist installeeritud või kasutatud.

Virtuaalmasinate “laienemine” (Virtual Machine sprawl)

VM sprawl kirjeldab virtuaalmasinate kontrollimatult kiiret levikut. Virtuaalmasin on lihtsasti loodav,  olemasolevaid instantse on lihtne dubleerida ja kopeerida füüsilistele serveritele. Seda võimalust kasutavad peamiselt IT-juhid, arendajad ja ärijuhid, kes soovivad mingitel kindlatel põhjustel lisaservereid, mis omakorda põhjustab kontrollimatult suure hulga virtuaalmasinaid. Kuigi virtuaalmasinate loomine on lihtne, on neil samad litsenseerimise, toe, turvalisuse ja kooskõlastamise probleemid nagu füüsilistel masinatel. Kui virtuaalmasinate hulk on liiga suur, kaob ülevaade nende otstarbest ning veelgi enam - ei suudeta tagada nende turvalisust - unikaalne võimalus liigutada virtuaalmasinaid ühelt füüsiliselt serverilt teisele tõstab auditi ja turvalisusmonitoorimise keerukust. Samuti suureneb tõenäosus, et ei suudeta enam kõige üle kontrolli säilitada - selle tulemusena võib arvukalt virtuaalmasinaid olla haldamata, ühendamata ja turvamata.

Et vältida nende kiiret levikut, tuleks virtuaalmasinatesse ja nende paigaldamisse suhtuda täpselt nagu füüsilistesse masinatesse ning administraatoril defineerida ja jõustada virtuaalmasinate paigaldamise protsess - näiteks sundida ärijuhte täitma spetsiaalseid vorme, põhjendamaks, miks, mille jaoks ja kui kauaks nad lisa virtuaalmasinat vajavad.


Comments

Post a Comment

Popular posts from this blog

IX nädal - IT-juhtimine ja riskihaldus

Üheksanda nädala ülesandena tuli välja tuua kaks tuntud erinevat tüüpi IT-juhti ning neid iseloomustada. Esiteks tooksin välja teada-tuntud Steve Jobsi - tuntud nii oma juhtimisstiili kui ka tabavate ütlustega. Steve Jobs oli enesekindel, hea suhtleja ja jutuvestja, ta oli laia silmaringiga ning teadlik sellest, kuidas tema ettevõtmine oskab maailma parandada. Jobs oskas oma vigadest õppida ja seejärel seda enda kasuks pöörata (Apple'ist vallandamine ja seejärel sinna taas naasemine). Jobsil oli väga tugev visioon ja ta oli tuntud ka selle poolest, et tahtis tegutseda kohe ning mitte jääda ootama nö õige aja saabumist. Mina liigitaks Steve Jobsi nii juhi (leader) ja arengumootor (change agent) alla. Samas oli temas ka ülemust (power broker), arvestades tema perfektsionismi ja kohati väga kriitilisi ütlusi. Teise näite tooksin 2017 aastal Eestis esmakordselt toimunud konkursilt "Aasta mõjukaim IT-juht", mille raames tunnustatakse silmapaistvaid ja mõjukaid IT-juhte.
Read more

XII nädal - Inimese ja arvuti suhtlus, ergonoomika ja kasutatavus

Nädala teemaks oli esitada positiivne ja negatiivne näide kasutatavusest veebis. Hinnangu andmisel kasutasin Jakob Nielseni komponente.  Positiivne näide kasutatavusest veebis:  Olen viimasel ajal tihti sooritanud toidupoe oste just internetist ja seetõttu olen enda jaoks "lemmiku" poe valinud suuresti just kasutusmugavusest lähtuvalt. Mulle meeldib, kui saan tooteid vaadata näiteks sooduspakkumiste järgi ning vajadusel ostukorvi üsna kiiresti "kokku klopsida". Siiani on minu lemmikuks ja minu jaoks kõige mugavamaks osutunud e-coop .  Õpitavus - minu hinnangul saab peamised funktsioonid selgeks väga kiiresti. On üsnagi selge, et tegemist on toidupoe veebiversiooniga ning minu hinnangul ka arusaadav, mida tuleb teha selleks, et jõuda soovitud eesmärgini (toodete ostmiseni) - paremal ääres ostukorv, selle all hästi eristatav ostu sooritamise nupp. Kogu ülejäänud sisu on suunatud toidukaupade valimisele, otsimisele. Lehele võib (aga ei pea) olema sisse logitud
Read more