Ivanildo_GalvÃ_
Enthusiast
Enthusiast

ESXi inseguro e Hyper-V seguro !

Jump to solution

Olá Senhores,

Recentemente teve um evento realizado por uma empresa de segurança em Recife, onde um dos palestrantes falou sobre segurança dos Hypervisors, na apresentação ele mostra o quanto o Hyper-V é seguro e o quanto o ESCi é inseguro, disse que o ESXi tem tantas falhas de segurança que o deixou decepcionado e que não é legal depender tanto de soluções de terceiros.

Não sei do conteúdo exato da palestra, eu não fui para o evento, mas estávamos falando sobre isso no Facebook em um post sobre vender Hyper-V ou vender Vmware, mais ou menos isso. Ele irá publicar o material em breve em forma de webcast.

Mas aí pergunto: Quais seriam os problemas de segurança que o ESXi tem e que dependem de ferramentas de terceiros para protege-lo ? Eu sinceramente nem imagino, sendo ele tão inseguro, por que as principais empresas do mundo e dos mais diversos segmentos adotam soluções Vmware ? Principalmente os grandes bancos e são muitos, seria a equipe de TI e Segurança destas empresas tão amadores para não conhecer estas falhas ? Ou conhecem e ajustam melhorando a segurança usando outras soluções ?

O serviço de gerenciamento do Hypervisor e sua rede é separada da rede das VMS, então quando o host está com problemas de comunicação de rede, isso não afeta as VMS, o ESXi tem um firewall embutido e que funciona muito bem, enfim, quero saber onde o ESXi peca tanto an segurança, alguém aqui sabe algo ?

Sds a todos !

Ivanildo Galvão Consultor de TI e Segurança da Informação www.ivanildogalvao.com.br www.esolutionti.com.br
0 Kudos
1 Solution

Accepted Solutions
rcporto
Leadership
Leadership

Ivanildo,

Pelo que li na discussão do Facebook, um dos pontos referentes a segurança era o suporte a criptografia de discos, onde acredito que no Alberto Oliveira estava se referindo ao BitLocker que é nativo no Hyper-V e a VMware não oferece suporte nativo, porém para isso temos algumas soluções:

habilitar o BitLocker a nível de Guest;

habilitar a criptografia a nível de storage, por exemplo o storage IBM DS8870 oferece suporte nativo a criptografia por padrão em todos os discos, e cabe ao administrador habilitar ou não, e que é transparente para os servidores e com certeza mais performático que o BitLocker.

Outra discussão antiga é a questão do kernel: monolithic (ESXi) X microkernel (Hyper-V, Xen)

Resumidamente sobre essa guerra, segue algumas vantagens e desvantagens de cada modelo:

Monolithic: possui a vantagem de não depender de uma "parent partition" e por isso tem acesso direto ao hardware, porém como para cada fabricante de hardware deve ter um device driver no Hypervisor, e como o controle da VMware para quem pode inserir os device driver é bastante rigoroso (outra vantagem), a lista de hardware compatível com o VMware ESXi é bem menor que a do Hyper-V por exemplo, mas nem vejo isso como desvantagem, já que todos os grandes fabricantes estão na lista 🙂


Microkernel: os device drivers são instalados na parent partintion e quando os guest precisam de acesso ao hardware eles acessam através da parent partition, e como você já deve ter percebido, qualquer problema na parent partition pode indisponibilizar todos os guests, e consequentemente existe um overhead a mais para acessar o hardware através da parent partition. Uma vantagem é que é mais fácil encontrar fabricantes compatíveis com o Hyper-V, pois desde que seja compatível com o sistema operacional da parent partition (no caso Windows Server 2008 ou superior) será compatível com o Hyper-V.

Por fim, para tudo tem justificativa, e as vezes algumas funcionalidades são sacrificadas para possibilitar outras que oferecem mais benefícios que a que foi sacrificada, e tenho certeza que se ele expor esses pontos a VMware, a mesma irá responder a todas elas.

---

Richardson Porto
Senior Infrastructure Specialist
LinkedIn: http://linkedin.com/in/richardsonporto

View solution in original post

0 Kudos
3 Replies
ncaio
Enthusiast
Enthusiast

Em números de reports de segurança, o produto ESX e ESXi da Vmware e dos produtos Microsoft, Ivanildo, podem ser apreciados no site do CVE. Caminho direto para os reports do Vmware:

ESXI: http://www.cvedetails.com/product/16370/Vmware-Vmware-Esxi.html?vendor_id=252

ESX: Vmware Vmware Esx : CVE security vulnerabilities, versions and detailed reports

Diretamente ligados ao ESX(x), tem um report apenas, mas não podemos esquecer que a base é like unix, ou melhor, like Gnu Linux. Então, os reports como heartbleed, que atinge o OpenSSL, também atinge os produtos Vmware de tabela. O Ms hyper-v, se eu não me engano, tem um CVE recente de 2013 com escalação de privilégios.

Na minha opinião, indiferente do produto ou fabricante, o que vai contar é como o incidente é tratado e resolvido em tempo hábil, como o produto facilita a auditória e etc. E por aí vai...

Ivanildo_GalvÃ_
Enthusiast
Enthusiast

Fala Noilson, beleza ? Muita chuva em Natal ainda ? Smiley Happy Smiley Happy

Cara, estava a pouco tempo conversando com os caras no Face e dois argumentos enviados pelo profissional de segurança foram "É inadmissível a esta altura do campeonato o ESXi não contar com criptografia de disco" e "Como pode o ESXi não suportar IPSec para IPV4, mas apenas para IPV6 ?"

Os argumentos dele tem fundamento e o cara fala com propriedade, claro. E, em uma pesquisa rápida, vi que o XenServer suporta criptografia de disco e o KVM também, o Hyper-V se apoia no BitLocker do Windows Server.

Questionei: Mas por que este fato nunca foi um problema para os clientes que usam Vmware ? Vale lembrar que milhares de empresas no mundo, incluindo os grandes bancos usam Vmware como sua solução de virtualização.

Aqui em Angola por exemplo, todos os principais bancos de Luanda usam Vmware, ainda não peguei um Hyper-V em produção. É mais um questão de cultura do país, assim como eles usam equipamentos Cisco para dados e Voz, não tem quem faça eles comprarem HPN ou qualquer outra marca de switchs, só que em ambos os casos, tanto Vmware como Cisco não brincam em serviço, atendem muito bem e com qualidade, assim dificulta ainda mais para o cara sugerir outras soluções Smiley Happy

Sds,

Ivanildo Galvão Consultor de TI e Segurança da Informação www.ivanildogalvao.com.br www.esolutionti.com.br
0 Kudos
rcporto
Leadership
Leadership

Ivanildo,

Pelo que li na discussão do Facebook, um dos pontos referentes a segurança era o suporte a criptografia de discos, onde acredito que no Alberto Oliveira estava se referindo ao BitLocker que é nativo no Hyper-V e a VMware não oferece suporte nativo, porém para isso temos algumas soluções:

habilitar o BitLocker a nível de Guest;

habilitar a criptografia a nível de storage, por exemplo o storage IBM DS8870 oferece suporte nativo a criptografia por padrão em todos os discos, e cabe ao administrador habilitar ou não, e que é transparente para os servidores e com certeza mais performático que o BitLocker.

Outra discussão antiga é a questão do kernel: monolithic (ESXi) X microkernel (Hyper-V, Xen)

Resumidamente sobre essa guerra, segue algumas vantagens e desvantagens de cada modelo:

Monolithic: possui a vantagem de não depender de uma "parent partition" e por isso tem acesso direto ao hardware, porém como para cada fabricante de hardware deve ter um device driver no Hypervisor, e como o controle da VMware para quem pode inserir os device driver é bastante rigoroso (outra vantagem), a lista de hardware compatível com o VMware ESXi é bem menor que a do Hyper-V por exemplo, mas nem vejo isso como desvantagem, já que todos os grandes fabricantes estão na lista 🙂


Microkernel: os device drivers são instalados na parent partintion e quando os guest precisam de acesso ao hardware eles acessam através da parent partition, e como você já deve ter percebido, qualquer problema na parent partition pode indisponibilizar todos os guests, e consequentemente existe um overhead a mais para acessar o hardware através da parent partition. Uma vantagem é que é mais fácil encontrar fabricantes compatíveis com o Hyper-V, pois desde que seja compatível com o sistema operacional da parent partition (no caso Windows Server 2008 ou superior) será compatível com o Hyper-V.

Por fim, para tudo tem justificativa, e as vezes algumas funcionalidades são sacrificadas para possibilitar outras que oferecem mais benefícios que a que foi sacrificada, e tenho certeza que se ele expor esses pontos a VMware, a mesma irá responder a todas elas.

---

Richardson Porto
Senior Infrastructure Specialist
LinkedIn: http://linkedin.com/in/richardsonporto
0 Kudos