Virtualisatie maakt je kwetsbaar

De overstap naar een virtuele omgeving heeft belangrijke implicaties voor de veiligheid en het beheer van de infrastructuur.

Volgens Frank ten Wolde, senior security consultant bij Pinewood, zijn er twee verschillende aspecten te onderscheiden als het gaat om de veiligheid van gevirtualiseerde omgevingen. Ten eerste zijn dat de consequenties van het delen van dezelfde hardware. Daarnaast komen de verschillende beheerrollen nu bij elkaar in dezelfde interface.

"Door verschillende virtuele machines samen te brengen op dezelfde fysieke server, verandert een voorheen fysieke scheiding in een logische scheiding," aldus Ten Wolde. "De vraag is hoe goed die scheiding is. Zitten er bugs in de virtualisatielaag waardoor virtuele machines niet goed van elkaar worden afgeschermd?"

Ondanks dat dit een puur technisch verhaal lijkt, heeft het belangrijke consequenties op beheerniveau. Bovendien worden de risico's groter naarmate de hypervisors steeds dikker worden. "De belangrijkste functie van de hypervisor is het scheiden van de virtuele machines. Daarom adviseren we bijvoorbeeld de copy-on-write-optie niet te gebruiken."

"Hoe dikker de hypervisor wordt, des te groter wordt ook het aantal bugs en configuratiefouten," legt collega Van der Lee uit. "Vanuit beveiligingsperspectief wil je de hypervisor zo klein mogelijk houden. Deze verzorgt in principe alleen het delen van processors en geheugen. Anders is het ook geen virtualisatie meer."

Prestatieproblemen

Van der Lee heeft dan ook gemengde gevoelens bij de huidige ontwikkelingen. "Aan de ene kant levert elke uitbreiding van de hypervisor meer bugs op. Aan de andere kant komen er steeds meer heel interessante mogelijkheden bij." Voorbeeld daarvan is VMsave, een api (interface voor programmeurs) waarmee de hypervisor kan worden uitgebreid met andere security-diensten. Denk dan aan firewalls/ ‘intrusion detection systems’ (ids), virusscanners en andere filters.

Bovendien maakt Van der Lee zich zorgen over de prestaties als je straks al die functionaliteit op een en dezelfde server gaat draaien. "UTM (unified thread management) is leuk voor het mkb. Dat draait dan op losse ‘appliances’, vaak voorzien van speciale accelerators of ASIC's. Met VMsave komen die systemen terecht in een omgeving die daarvoor niet geschikt is. Hypervisors worden almaar dikker en dikker, en beveiliging gaat steeds meer ‘cycles’ verbruiken. Dat betekent dat er straks prestatieproblemen ontstaan omdat er niet genoeg overblijft voor de virtuele machines."

Volgens Remco Nijkamp, manager Technical Consulting bij Qwise, is de dimensionering van een gevirtualiseerde infrastructuur sowieso lastig. Soms blijkt de klant niet in staat de omgeving goed in te schatten. Dat is bijvoorbeeld te wijten aan het feit dat de daadwerkelijke belasting op de systemen niet helder is, of niet duidelijk is welke impact de piekbelasting op de combinatie van systemen heeft. Op die manier kun je bestaande prestatieproblemen uitvergroten.

Scheiding der rollen

De tweede belangrijke verandering die virtualisatie met zich meebrengt, is de samenvoeging van beheerrollen op organisatorisch en operationeel niveau. "Waar je vroeger aparte beheerders had voor de servers, het netwerk en de beveiliging, zijn die rollen nu samengekomen in Virtual Center (de beheeromgeving van VMware, die tegenwoordig vCenter Server heet), aldus Ten Wolde.

Van der Lee vertelt over een serverbeheerder bij een klant, die wilde weten hoe hij een switch moest configureren. "Je zou die rollen apart kunnen houden, maar de vraag is of je beheeromgeving dat ondersteunt."

Volgens Ten Wolde biedt de omgeving van VMware wat dat betreft wel genoeg faciliteiten. Voor Citrix en Microsoft is dat echter minder. "VMware heeft op beheergebied een paar jaar voorsprong op de anderen." Veel beveiligingsmanagers zouden echter helemaal geen zin hebben in al dat configuratiewerk.

"Virtual Center bevat goede mogelijkheden voor de authenticatie en de autorisatie van gebruikers, maar die zijn wel ingewikkeld om in te stellen. We zien bij klanten dat deze meestal niet worden gebruikt."

Vier ogen

Hoewel het relatief eenvoudig lijkt de verschillende rollen bij elkaar te vegen in een en dezelfde functionaris, is dat volgens Ten Wolde geen goed idee. Daarmee raak je immers ook de scheiding tussen verantwoordelijkheden kwijt. "Verschillende onderdelen van beveiligingsmanagement wil je niet samenvoegen. Daarmee verlies je het ‘four eyes’-principe: je moet gecontroleerd worden door je collega's."

In de praktijk ziet Ten Wolde dat administrators meestal alle rechten hebben. Daarmee wordt het heel verleidelijk om ‘even wat open te zetten’. "Vroeger kon een serverbeheerder dat niet, omdat de firewall dat bijvoorbeeld niet toestond. Nu klikt hij zelf gewoon een paar keer op een virtuele netwerk-switch."

Onveilige software

Ten slotte spreekt Ten Wolde zijn zorgen uit over de beveiliging van Virtual Center zelf. "Die draait gewoon op een Windows 2003-server. Bovendien installeer je dat pakket zelf. Eigenlijk zou je dat systeem op een apart beheernetwerk moeten zetten." Daarnaast kun je Virtual Center heel eenvoudig uitbreiden met plug-ins. "Dat is software van derden die gewoon van internet wordt binnengehaald. Misschien moet je wel helemaal geen plug-ins toestaan."

"Gebruikers moeten goed stilstaan bij de veiligheidsimplicaties. Welke systemen kunnen een logische scheiding hebben, en welke moeten fysiek apart gehouden worden? Op dit moment is efficiëntie belangrijker: het verbruik van minder warmte en minder stroom. Beveiliging hobbelt daar achteraan."

Met vdi (virtual desktop infrastructure) komt hier nog een extra zorg bij. Vaak wordt immers dezelfde virtualisatie-infrastructuur gebruikt. "De meeste gaten zitten in de desktop," aldus Ten Wolde. "Virtuele machines kunnen zo gemakkelijk worden verplaatst dat ze al snel met de servers op dezelfde fysieke machines zitten." Kom je via de onderliggende hypervisor vanuit een desktop-machine in een serversysteem, dan heb je gelijk een half datacenter in handen.

Ongeleid projectiel

Datzelfde geldt echter ook voor de beheerders zelf. "Wie nu een fundamentele fout maakt, doet dat niet meer op een enkele server maar op een samenstel van systemen," aldus Nijkamp. "Met een beetje pech kunnen beheerders echt ongeleide projectielen worden, niet langer afgeremd door de omgeving.

Het aanmaken van een nieuwe virtuele server kan op afstand geschieden en duurt nog maar twee minuten. Vroeger moest er ruimte in het datacenter zijn en moesten er servers worden besteld. Dat kost geld en vooral tijd en dat werkt remmend."

In een gevirtualiseerde omgeving gelden die beperkingen niet, maar leiden handelingen mogelijk wel tot grote consequenties. Denk dan aan de introductie van beveiligingsproblemen, licentieaantallen die niet langer kloppen, en slecht geconfigureerde sessies die opeens alle capaciteit opslokken.

Hieraan gerelateerd is het probleem waarbij het aantal virtuele machines volkomen uit de hand loopt. Als iedereen zomaar maar wat mag proberen, dan draaien er al gauw tientallen of honderden extra virtuele machines. Niemand weet echter wat ze precies doen en daarom durft niemand ze uit te zetten.

Naast al die draaiende machines, zijn er ook nog de probeersels die weliswaar niet actief zijn, maar wel opgeslagen worden. Een kopie of een snapshot van een virtuele machine is immers zo gemaakt.

Dat alles betekent dat juist de flexibiliteit van de gevirtualiseerde omgeving vraagt om goede procedures. "Bedrijven zullen eerst hun systeembeheer op orde moeten hebben," aldus Nijkamp. "Alleen dan komen de voordelen van een virtualisatieslag goed tot hun recht. Van het virtualiseren van problemen wordt de ICT niet beter."