Inhoud
- Wat is hyper springen?
- Hoe kan hyper springen gebeuren?
- Tips voor het beschermen van infrastructuur tegen hyperspringen
- Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
Bron: Belekekin / Dreamstime.com
Afhaal:
Hyper springen is het nieuwste type aanval op virtuele machines, maar er zijn manieren om uw kansen om slachtoffer te worden te minimaliseren.
Beveiliging is altijd een groot probleem geweest bij virtualisatie, zelfs naarmate meer bedrijven gevirtualiseerde omgevingen omarmen. Elke dag komen er nieuwe bedreigingen naar voren, en een van de nieuwste is virtuele machine (VM) springen of hyper springen, waarmee kwaadwillende gebruikers toegang kunnen krijgen tot verschillende machines of hosts in een infrastructuur.
Dit is hoe hyper springen werkt en hoe u uw virtuele omgeving kunt beschermen tegen deze zeer reële bedreiging.
Wat is hyper springen?
Virtuele machine of hyper springen maakt gebruik van een zwakte in een virtuele machine en transformeert deze in een platform dat kan worden gebruikt om aanvallen uit te voeren op andere machines die dezelfde infrastructuur gebruiken, vergelijkbaar met de manier waarop een virus van host naar host springt.
Vanwege de dichtheid van machines op een cluster of host is de virtuele omgeving zwak tegen dit soort aanvallen. Gevirtualiseerde platforms bieden krachtige efficiëntie en aanzienlijke besparingen op koeling, stroom en vloeroppervlak met de mogelijkheid om bijna onbeperkte applicaties te hosten, maar het nadeel is dat het verpakken van zoveel machines in een enkele infrastructuur een verleidelijk doelwit vormt voor hackers.
Hoe kan hyper springen gebeuren?
Er zijn verschillende omstandigheden die een virtuele omgeving kwetsbaar kunnen maken voor uitbuiting door hyper springen. Een van de meest voorkomende problemen komt met minder-dan-veilige besturingssystemen. Vorige versies van Windows zijn bijzonder kwetsbaar - het XP-besturingssysteem ontvangt niet langer ondersteuning of beveiligingsupdates van Microsoft en versies via Windows 7 missen moderne beveiligingsfuncties zoals verharde stacks, randomisatie van geheugenadreslay-out en verdediging tegen vergiftigde cookies.
Virtuele schakelaars presenteren een ander exploitvenster voor VM-springen. De meeste virtualisatieplatforms gebruiken een Layer 2-bridge, die al het verkeer tussen de virtuele machines en het externe netwerk via dezelfde set NIC's afhandelt. Als de aangesloten schakelaar overbelast is, behoudt het systeem de prestaties door alle pakketten op alle poorten naar buiten te duwen, waardoor het schakelpunt effectief verandert in een domme hub.
Ten slotte voeren veel platforms VLAN TRUNK ALL uit voor uplinks, wat alle VLAN's naar het netwerk zijn, zelfs als ze niet nodig of in gebruik zijn. Dit kan grote delen van de virtuele omgeving blootstellen aan mogelijke exploitatie.
Tips voor het beschermen van infrastructuur tegen hyperspringen
Uplinks groeperen en scheiden is een van de gemakkelijkste manieren om te voorkomen dat VM in uw infrastructuur springt. Maak hiertoe afzonderlijke groepen fysieke uplinks voor op dezelfde manier gegroepeerde VLAN's, die in feite databaseverkeer scheiden van webgericht verkeer en voorkomen dat de databaseserver rechtstreeks met het interne netwerk praat.
Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
U kunt uw programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.
U kunt deze scheiding ook een stap verder brengen en privé-VLAN's (PVLAN's) gebruiken, die virtuele machines voor elkaar verbergen door gasten alleen met de gateway te laten praten.
Om de beveiliging voor de host te vergroten, kunt u een afzonderlijk beheernetwerk instellen van de poortgroep van de virtuele machines, die standaard op dezelfde uplink worden geïnstalleerd in de meeste gevirtualiseerde omgevingen. Dit voorkomt dat VM- en managementverkeer zich vermengen. U moet ook afzonderlijke, redundante uplinks gebruiken voor IP-gebaseerde opslagnetwerken voor verdere bescherming.
Volg ten slotte elementaire en logische beveiligingsmaatregelen, zoals het gebruik van de ingebouwde firewall voor uw virtuele omgeving, machines draaien met de nieuwste besturingssystemen en op de hoogte blijven van kritieke OS-updates en beveiligingspatches.