VMware Global Community
Galvao
Contributor
Contributor
‎04-16-2008 09:26 AM

Virtualização x VM na DMZ

Alguém já leu o documento ID Number: G00147785, 24 May 2007 do Gartner ?

E o artigo em http://www.derwood.eti.br/modules/news/print.php?storyid=21359 ?

Utilizo e estou preocupado quanto a utilização de máquinas virtuais na DMZ.

Alguém possui máquinas virtuais em sua DMZ ?

Existe algum procedimento especial para não correr riscos ?

Existe algum produto para evitar ataque a estas máquinas ?

Tags (1)
Preview file
195 KB
0 Kudos
1 Reply
tropix
Hot Shot
Hot Shot
‎04-16-2008 10:23 AM

Fala Galvão, tranquilo?

Já fiz algumas (várias) implementações do VMware ESX com máquinas virtuais na DMZ, ou EXTRANET ou qualquer outra rede que não seja a Interna.

Até hoje (e já se vão 4/5 anos implementando o ESX) não tive nenhum problema com relação ao comprometimento de uma ou mais VMs através do hypervisor. Sou graduado em Segurança da Tecnologia da Informação, tive como tema o trabalho de conclusão Melhores Práticas de Segurança em Ambientes Virtuais, onde neste trabalho tive a oportunidade de conversar com analistas muito mais experientes (em virtualização e segurança). Todos compartilham da mesma idéia, de que é algo muito, muito difícil de comprometer uma ou mais VMs através do hypervisor.

Toda máquina virtual, ou melhor dizendo, todo sistema operacional pode ser alvo de ataques, não é porque o Windows está em uma VM que ele tem menos brechas de segurança do que se estivesse em um hardware dedicado.

Outro ponto que pude estudar no meu trabalho, são os níves de certificação que existe para os sistemas operacionais, aplicações, etc... Não sei se tu conhece o CCEVS. Commom Criteria Evaluation and Validation Scheme (acho que ainda é isso heheheh). Bom, as empresas pagam, por exemplo para a NSA ou EWA, para submeterem seus produtos a validações de segurança, onde no final dos testes os produtos recebem um selo. O VMWare ESX 3 + VMware VirtualCenter 2 são EAL4+ (Evaluation Assurance Level) por exemplo. Existem empresas que só comprar produtos que recebam este selo. Um destes testes por exemplo é a avaliação de isolamento entre ambientes... Os testes são bem completos e documentados, é muito interessante a leitura dos mesmos. ( o maior nível, e melhor, é EAL7. Até onde me lembro ninguém tem esse selo.)

Particularmente já realizei alguns testes (básicos) para saber como o hypervisor se protege e protege as VMs que ele instancia. Não obtive sucesso (derrubar o ambiente) em nenhum dos testes. O testes consistiam em injetar falhas na memória do servidor ESX e observar os recursos que o mesmo utiliza. (quem sabe vire um mestrado isso Smiley Wink )

Um teste bem simples que tu pode fazer é executar um vírus (desde que o mesmo não se propague pela rede, claro) em uma das VMs. As VMs como tu sabe compartilham memória entre si, desta forma, o vírus deveria se propagar, certo? Pois é, e isso não acontece Smiley Happy

Infelizmente não estou conseguindo tempo para pesquisar nesta área e/ou realizar alguns testes, mas um dia eu prossigo com o estudo.

O que tem que ficar claro é que só porque um sistema operacional está virtualizado, ele não é mais ou menos seguro. Enfim, ele está na rede/internet, tem um IP, pode ser acessado, então pode ser alvo de qualquer tipo de ataque. Por isso, as mesmas medidas de segurança que tu aplica em um servidor físico devem ser aplicadas em um servidor virtual.

No mais era isso che.

[]'s Eduardo

If you found this information useful, please consider awarding points for "Correct" or "Helpful".

If you found this information useful, please consider awarding points for "Correct" or "Helpful".