Virtuaalisen uhat ovat todellisia

TEKSTI: PERTTI HÄMÄLÄINEN • PIIRROS: PETRI ROTSTEN

Virtuaalisen uhat ovat todellisia

Kaikki nopeasti yleistyvät ohjelmistot kiinnostavat sekä pahantahtoisia hakkereita että rahan haistavia tietoturvataloja. Virtualisointi ei ole poikkeus.

Virtualisointiohjelmien toimittajat korostavat mielellään sitä, että virtualisointi parantaa palvelinympäristöjen hallittavuutta, mikä osaltaan parantaa myös tietoturvaa. Sovellukset voidaan helposti eristää toisistaan ajamalla kutakin sovellusta omassa virtuaalikoneessaan. Saastunut sovellus on helppo puhdistaa palauttamalle puhdas virtuaalikone levytiedostosta, joka voidaan säilyttää jopa täysin erillään tuotantoverkosta.

Tietoturva paranee myös, jos sovellusten käsittelemä data tallennetaan eri paikkaan kuin itse sovellus. Tämä suositeltava käytäntö unohdetaan usein yhden käyttöjärjestelmän palvelimissa, mutta virtualisoidussa palvelinympäristössä se on luonteva tapa toimia. Sovellusta ajava virtuaalikone pitää voida siirtää lennossa fyysiseltä palvelimelta toiselle, jolloin kaikki tarpeeton data virtuaalikoneella vain hidastaa ja hankaloittaa sen hallintaa.

Vanhat vaarat ennallaan

Pelkkä virtualisointi ei kuitenkaan poista mitään uhkia. Kaikki fyysisiin palvelimiin kohdistuvat hyökkäykset ja hyväksikäyttökoodit toimivat myös virtualisoiduissa palvelimissa. Niiden torjunta vaatii totuttujen toimintatapojen sovittamista virtuaaliympäristöihin.

Esimerkiksi ohjelmapaikkausten ja -päivitysten ajaminen virtuaalikoneisiin on työläämpää kuin fyysisiin palvelimiin. Ylläpidettäviä virtuaalipalvelimia on usein enemmän kuin fyysisiä palvelimia ennen virtualisointia. Aiemmin samoissa palvelimissa moniajon turvin toimineita sovelluksia on voitu hallintasyistä eriyttää omiin virtuaalikoneisiinsa, ja uusia virtuaalipalvelimia on voitu ottaa käyttöön hankkimatta uusia laitteistoja.

Lisäksi on huolehdittava isäntäkäyttöjärjestelmien ohjelmapaikkauksista. Haittaohjelman saastuttama isäntäkone on suurempi uhka tietoturvalle kuin yksittäinen saastunut virtuaalikone, koska isäntäkäyttöjärjestelmä hallitsee kaikkia alaisuudessaan toimivia virtuaalikoneita. Suoraan laitteistotason hypervisorin alla ajettavat virtuaalikoneet poistavat tämän haavoittuvuuskerroksen aikanaan, mutta siirtymä uuteen tekniikkaan on vasta alkamassa.

Uusia haavoittumiskerroksia

Tietoturvallisessa virtuaaliratkaisussa virtuaalikoneet, jotka toimivat samassa fyysisessä palvelinlaitteistossa, eivät koskaan kommunikoi suoraan keskenään. Tämän hiekkalaatikkoperiaatteen murtuminen voi johtaa tietoturvaongelmiin.

Virtualisoitu palvelinympäristö poikkeaa verkkotopologialtaan perinteisestä sikäli, että virtuaalikoneet kommunikoivat ulkomaailman kanssa virtualisoitujen verkkosovittimien välityksellä. Niiden kautta virheellisten asetusten tai ohjelmointivirheiden takia avautuvat oikotiet ovat uhkatekijöitä. Esimerkiksi Vmware paikkasi viime vuonna kolme sisäisestä dhcp-palvelimestaan löytynyttä haavoittuvuutta.
Turvallisempi joskin tehottomampi ratkaisu on ohjata verkkoliikenne aina fyysisen verkon kautta palvelimen sisäisen virtuaaliverkon sijasta. Tällöin pääsynrajoitukset ja liikenteen valvonta voidaan hoitaa palomuureilla ja muilla tutuilla tietoturvajärjestelyillä.

Kokonaan uusi uhkatyyppi ovat hypervisor-kerroksen tietoturva-aukot. Palvelunestohyökkäykseen riittää, että haittaohjelma onnistuu kaatamaan tai halvaannuttamaan hypervisorin ja sitä kautta kaikki sen alaisuudessa toimivat virtuaalikoneet.

Vaarallisempi on tilanne, jossa yhteen virtuaalikoneeseen päässyt haittaohjelma voi murtautua hypervisorin kautta muihin virtuaalikoneisiin tai isäntäkäyttöjärjestelmään saastuttaen koko ympäristön. Microsoft dokumentoi tällaisen haavoittuvuuden viime vuonna tietoturvatiedotteessaan MS07-049.

Pahimmassa skenaariossa virtuaalipalvelimeen asentuu rootkit-tyyppinen haittaohjelma, joka osaa käynnistää omia virtuaalikoneitaan ja piilottaa ne järjestelmän hallintaohjelmilta. Toistaiseksi uhka on teoreettinen, ja virtuaaliohjelmien valmistajat tekevät parhaansa todistaakseen tilanteen käytännössä mahdottomaksi. Samalla ne korjailevat ratkaisujaan torjumaan hakkeriyhteisön esittämiä uhkaskenaarioita.

Sisäverkon suojassa

Haavoittuvuuksista on esitetty paljon teorioita ja hypervisor-ohjelmia on paikkailtu riskien poistamiseksi, mutta yhtään todellista hyväksikäyttötapausta ei tiettävästi ole vielä ilmennyt. Tilanne voi kuitenkin muuttua, sillä virtualisointiratkaisujen käyttö alkoi toden teolla yleistyä vasta viime vuonna.

Tietoturva-aukkojen hyväksikäyttöjen leviäminen edellyttää riittävän laajaa tartuntapintaa. Ei ole pelkästään Microsoftin löysän ohjelmointikurin vika, että Windowsin tietoturvan puutteet ovat aiheuttaneet eniten vahinkoja. Myös Linuxeissa on riittänyt paikkaamista, mutta turva-aukkojen hyväksikäyttötapaukset ovat olleet perin harvinaisia. Huolettomasti hallitut Windows-koneet ovat nettirikollisille tuottavampi kohde.

Onko huoli virtualisointiohjelmien tietoturvasta ensinkään aiheellinen? Palvelimia on paljon vähemmän kuin työasemia, ja suurin osa niistä on kytketty datakeskusten sisäverkkoihin. Siellä ne ovat varsin hyvässä suojassa Internetin kautta tulevilta hyökkäyksiltä.

Viiden vuoden takainen SQL Slammer -epidemia osoitti, että suoraan Internetiin kytkettyjä tietokantapalvelimia löytyi yrityksistä vielä sankoin joukoin. Viimeistään tämän tapauksen jälkeen palvelinten sijoittelu mietittiin monessa yrityksessä uusiksi, ja Internetiin näkyvät edustapalvelimet eristettiin palomuurilla sisäverkossa toimivista sovellus- ja tietokantapalvelimista.

Nykyisin virtualisointiohjelmat ovat tietoturvan suhteen samassa kehitysvaiheessa kuin tietokantapalvelimet vuosituhannen vaihteessa. Paranoidi varovaisuusperiaate edellyttäisikin, ettei verkkojen dmz-vyöhykkeillä sijaitsevia palvelimia virtualisoitaisi ilman varmuutta ratkaisun turvallisuudesta.

Pitämällä virtuaalipalvelimensa sisäverkossa yritys voi parantaa omien palvelintensa tietoturvaa, mutta menettelyllä olisi myös yleishyödyllisiä vaikutuksia. Mitä vähemmän virtuaalipalvelimia näkyy suoraan Internetiin, sitä vähemmän ne houkuttelevat hakkereita ja sitä epätodennäköisempää on epidemioiden ryöstäytyminen käsistä. On kuitenkin todennäköistä, että yritykset ryhtyvät virtualisoimaan myös dmz-vyöhykkeillään toimivia edustakoneita vakuututtuaan tekniikan hyödyistä.

Turvaajat bisneksen jäljillä

Ohjelmistotalot suhtautuvat virtualisointiympäristöjensä tietoturvaan vakavasti. Microsoft on lykännyt Windows Server 2008:aan sisältyvän laitteistotason hypervisor-ratkaisun liikkeellelaskun tämän vuoden lopulle. Eräänä syynä lykkäykseen on ilmeisesti juuri halu varmistua sen tietoturvallisuudesta. Vmware taas osti viime vuonna tunkeilijoiden torjuntaan erikoistuneen Determina-yhtiön integroidakseen sen tekniikan ohjelmistoihinsa.

Perinteisiä tietoturvaohjelmistoja ei ole suunniteltu virtualisoitujen ympäristöjen turvaamiseen. Tavallisen virustutkan ja tunkeilijoiden torjuntaohjelmiston asentaminen jokaiseen virtuaalipalvelimeen erikseen on resurssien tuhlausta. Fyysisen palvelimen muistin ja suoritustehon kulutus on suoraan verrannollinen laitteessa ajettavien virtuaalikoneiden määrään, ja sama pätee lisenssikustannuksiin.

Tietoturvatalot kehittävätkin jo täyttä häkää virtuaalipalvelimiin sovitettua ennalta ehkäisevää tietoturvaa virtualisointiohjelmien tekijöiden avustuksella. Virtualisoitu ympäristö tarjoaa paitsi uusia haasteita myös aivan uudenlaisia mahdollisuuksia tietoturvaohjelmistojen toteuttamiseen. Esimerkiksi tiedostoksi tallennetut virtuaalikoneet voidaan tarkastaa uusimpia haittaohjelmien tuntomerkkikantoja vasten ennen niiden aktivoimista palvelimissa.

Jokainen uusi ongelmakenttä houkuttelee myös uusia yrittäjiä. Analyytikoiden lemmikiksi on viime vuonna noussut kalifornialainen Catbird (www.catbird.com). Yhtiö on erikoistunut virtuaalipalvelinympäristöjen tietoturvaan väittäen kehittämänsä V-Agent-tekniikan pystyvän turvaamaan niin virtualisoidut käyttöjärjestelmät, verkot, hypervisorit kuin virtuaalisen datakeskuksen vaatimat operointitoiminnotkin.

Ensimmäinen ohjelmistovalmistajista riippumaton yleisohje virtuaalikoneiden tietoturvan järjestämisestä julkaistiin viime vuoden syyskuussa. Sen laati Center for Internet Security, joka julkaisi saman tien myös erityisohjeen Vmware ESX v. 3 -palvelinten suojaamisesta. Molemmat ohjeistot voi ladata veloituksetta keskuksen palvelimelta osoitteesta www.cisecurity.org.

Virtualisoidussa palvelin- ympäristössä on monta mahdollista haavoittumiskohtaa (S), joiden suojaaminen perinteisin tietoturvaohjelmistoin on hankalaa tai mahdotonta.