- محصولات
امنیت نقاط پایانی
خدمت آگاهیرسانی
- راهکارهای امنیتی
- پشتیبانی
- درباره ما
- تماس
- پیرامون امنیت
اهمیت، تهدیدات و بررسی راهکارهای امنیتی برتر در مجازیسازی
مجازیسازی همانطور که امکانات انعطافپذیری و چابکی را فراهم میکند، چالشهای امنیتی خاص خود را نیز به همراه دارد. در ادامه به برخی از مهمترین تهدیدات در محیطهای VM اشاره میکنیم:
یکی از خطرناکترین سناریوهای حمله در محیطهای مجازی، VM Escape است. در این حمله، مهاجم با سوءاستفاده از یک آسیبپذیری، کدی مخرب را در داخل یک VM اجرا میکند که به سیستم عامل مهمان امکان میدهد از محدوده ایزولهشده خود خارج شده و مستقیماً با هایپروایزر میزبان تعامل کند. به عبارت دیگر، مهاجم از طریق VM به سیستم میزبان یا سایر VMهای همان سرور دسترسی غیرمجاز پیدا میکند. موفقیت چنین حملهای به مهاجم کنترل کامل هایپروایزر و تمام VMهای روی آن میزبان را میدهد که میتواند برای سرقت اطلاعات، تخریب دادهها یا گسترش حمله در شبکه استفاده شود. حملات VM Escape عموماً نادر اما بسیار خطرناک هستند و اغلب با بهرهگیری از آسیبپذیریهای نرمافزارهای هایپروایزر (یا درایورها و ابزارهای اشتراکگذاری مانند درایورهای VMware Tools) صورت میگیرند. معروفترین نمونهها شامل آسیبپذیریهای جدی در VMware، Xen و Hyper-V بودهاند که امکان فرار از VM را فراهم کردهاند.
بهروز نگه داشتن هایپروایزر و اعمال پچهای امنیتی، جداسازی شبکهای مناسب برای VMها، و استفاده از مکانیسمهای نظارتی (مانند IPS مبتنی بر هایپروایزر) از مهمترین روشهای جلوگیری و شناسایی VM Escape هستند.
این تهدید در واقع روش یا زیرمجموعهای از حملات VM Escape است که طی آن مهاجم با بهرهگیری از یک باگ یا آسیبپذیری در کد هایپروایزر، فرمانها یا کد مخرب خود را به فضای حافظه هایپروایزر تزریق میکند. به عنوان مثال، مهاجم ممکن است از واسطهای مدیریت مجازیساز سوءاستفاده کرده و هایپروایزر را فریب دهد تا کد دلخواه او را اجرا کند. نتیجه چنین تزریقی میتواند اجرای کد با سطح دسترسی بسیار بالا (سطح میزبان) باشد. مواردی مانند آسیبپذیریهای اجرای کد از راه دور (RCE) در Hyper-V یا نقصهای VMware ESXi نشان میدهند که این نوع حمله کاملاً عملی است.
جداسازی دقیق دسترسیهای مدیریتی هایپروایزر، استفاده از مکانیزمهای کنترل یکپارچگی کد (برای جلوگیری از بارگذاری ماژولهای غیرمجاز در هایپروایزر) و بهرهگیری از راهکارهای امنیتی که ترافیک و APIهای بین VM و هایپروایزر را پایش میکنند، میتواند از این حملات جلوگیری کند.
حرکت جانبی به حالتی اطلاق میشود که مهاجم پس از نفوذ اولیه به یک سیستم، تلاش میکند در شبکه به صورت افقی پیشروی کرده و سیستمها یا VMهای دیگری را نیز آلوده کند. در محیطهای مجازی، این حرکت جانبی میتواند هم در سطح شبکه و هم در داخل سرور میزبان رخ دهد. برای مثال، اگر یک VM توسط بدافزار آلوده شود، مهاجم ممکن است از طریق همان سرور فیزیکی به سایر VMهای روی آن (در صورت اشتراک شبکه مجازی یا ضعف در تفکیک منابع) حمله کند. همچنین اگر دو VM در یک مجازیساز روی یک vSwitch داخلی در ارتباط باشند، ترافیک بین آنها ممکن است توسط فایروالهای سنتی دیده نشود و مهاجم به راحتی میتواند از یک VM به VM دیگر Pivot کند.
استفاده از طبقهبندی شبکهای (Network Segmentation) و میکرو-سگمنتیشن (مثلاً از طریق VMware NSX) برای جداسازی ترافیک VMها، بهکارگیری فایروالهای مجازی یا سیستمهای تشخیص نفوذ بین VMها، و همچنین بهرهگیری از راهکارهای امنیتی درونماشینی (Host-based) برای تشخیص فعالیتهای غیرعادی، همگی برای محدود کردن حرکت جانبی ضروری هستند. راهکارهای امنیت VM که در بخشهای بعد معرفی میشوند نیز میتوانند با شناسایی بدافزارها و فعالیتهای مخرب روی هر VM، مانع گسترش تهدید از یک ماشین به ماشین دیگر شوند.
علاوه بر موارد فوق، سایر چالشهای امنیتی در محیطهای مجازی شامل «حملات Hyper-Jacking» (تصاحب کنترل خود هایپروایزر)، VM Sprawl (افزایش کنترلنشده تعداد VMها و سخت شدن مدیریت پچ امنیتی آنها)، نفوذ به شبکههای مجازی (مثل شنود ترافیک بین VMها) و آسیبپذیریهای مربوط به ابزارهای یکپارچهسازی (مانند Shared Clipboard، Drag-&-Drop، یا USB passthrough) است.
تمامی این موارد نشان میدهند که امنیت در مجازیسازی یک مبحث چندلایه بوده و نیازمند توجه ویژه و بهکارگیری ترکیبی از سیاستها، پیکربندیهای امن و محصولات تخصصی است.
Agentless در برابر Agent-Based و Light Agent
راهکارهای تأمین امنیت در محیطهای مجازی را میتوان به سه رویکرد یا معماری کلی تقسیم کرد: Agent-Based (عاملدار سنتی)، Agentless (بدون عامل) و Light Agent (عامل سبک). هر یک از این رویکردها از نظر نحوه استقرار در VM، میزان استفاده از منابع و سطح دید امنیتی، تفاوتهای مهمی دارند. در ادامه به مقایسه این مدلها میپردازیم:
در روش Agent-Based، روی هر ماشین مجازی یک عامل امنیتی نصب میشود که وظایف حفاظتی مانند اسکن فایلها، پایش پردازهها و اجرای فایروال میزبان را انجام میدهد. این معماری به دلیل اجرای داخلی عامل درون سیستمعامل مهمان، دید امنیتی کاملی نسبت به رفتارهای مشکوک و تهدیدات در سطح فایل، پردازه و حافظه دارد. با این حال، در محیطهای بزرگ، هر عامل بهطور مستقل از منابع CPU، RAM و I/O استفاده میکند و تجمیع این مصرفها منجر به کاهش بازدهی سرور و کاهش تعداد VMهای قابل میزبانی میشود. همچنین، بهروزرسانی همزمان چندین عامل میتواند منجر به طوفان مصرف منابع و کاهش عملکرد کل هاست شود. در نتیجه، با وجود پوشش امنیتی کامل، این مدل برای زیرساختهای مقیاسپذیر چندان بهینه نیست و موجب افت کارایی پروژههای مجازیسازی میشود.
در رویکرد Agentless، بهجای نصب عامل امنیتی روی هر ماشین مجازی، از یک ماشین امنیتی مرکزی (SVA) روی هر هاست استفاده میشود. این معماری با بهرهگیری از قابلیتهایی مانند VMware vShield/NSX، فایل سیستم VMها را اسکن میکند و باعث کاهش قابلتوجه مصرف منابع، حذف نیاز به بهروزرسانی مجزای امضاها، و محافظت فوری از VMهای جدید میشود. با این حال، چون دسترسی SVA محدود به فایل سیستم است، نظارت کامل بر حافظه و پردازههای در حال اجرا ممکن نیست. بنابراین در برابر تهدیدات پیشرفته مانند بدافزارهای بدون فایل، عملکرد ضعیفتری دارد. همچنین، بسیاری از قابلیتهای امنیتی پیشرفته مانند فایروال میزبان یا کنترل نرمافزار در این معماری غایباند. از نظر سازگاری نیز این مدل بیشتر محدود به پلتفرمهایی مانند VMware است و در Hyper-V یا KVM بهطور کامل پشتیبانی نمیشود.
در مدل Light Agent، ترکیبی از مزایای دو رویکرد Agentless و Agent-Based ارائه میشود. یک ماشین امنیتی مرکزی (SVA) مسئول انجام پردازشهای سنگین مانند اسکن بدافزار و بهروزرسانیها است، در حالی که روی هر VM یک عامل سبک نصب میشود که ارتباط با SVA، پایش حافظه و اجرای سیاستهای امنیتی را بر عهده دارد. این معماری هم دید عمیقتری نسبت به Agentless فراهم میکند (از جمله نظارت بر پردازهها و حافظه)، و هم از سربار سنگین Agent-Based جلوگیری میکند. سربار Light Agent بسیار اندک است و اغلب با استفاده از کش اشتراکی از اسکنهای تکراری جلوگیری میشود. از نظر سازگاری نیز، چون وابسته به API خاصی نیست، روی اکثر پلتفرمهای مجازیسازی مانند VMware، Hyper-V، KVM و XenServer قابل اجراست. بهطور کلی، Light Agent تعادل مناسبی میان کارایی و امنیت ایجاد میکند و پوشش بهتری در برابر تهدیدات پیشرفته نسبت به مدل Agentless دارد.
در این بخش سه راهکار مطرح برای امنیت VM را معرفی میکنیم که هر کدام در بازار سازمانی جایگاه ویژهای دارند: محصول Bitdefender با رویکرد ترکیبی Agentless/Light Agent، محصول Trellix (McAfee) با دو مدل Agentless و Multi-Platform، و محصول Kaspersky با رویکرد Light Agent. هر یک از این محصولات از نظر معماری، ویژگیها و ادغام با پلتفرمهای مجازیسازی تفاوتهایی دارند که به تفکیک بررسی میگردند.
Bitdefender SVE راهکاری ترکیبی (Agentless + Light Agent) برای حفاظت از زیرساختهای مجازی است که از طریق GravityZone مدیریت میشود. این محصول با پشتیبانی از پلتفرمهای متنوع (VMware، Hyper-V، KVM و…)، اسکن را به یک سرور مرکزی انتقال داده و سربار VMها را کاهش میدهد. فناوری کش دو لایه آن، اسکنهای تکراری را حذف و بهرهوری را افزایش میدهد.
MOVE AV راهکاری منعطف برای محیطهای VMware و غیر-VMware است که بهصورت Agentless یا Multi-Platform قابل استقرار است. با انتقال فرآیند اسکن به سرورهای Offload و یکپارچگی با کنسول ePO، عملکرد VMها حفظ شده و مدیریت سیاستها متمرکز میشود. معماری نسبتاً پیچیده دارد اما برای سازمانهای بزرگ بسیار مناسب است.
محصول Kaspersky با رویکرد Light Agent تعادل دقیقی میان عملکرد و امنیت برقرار کرده و با نصب یک عامل سبک در هر VM، دسترسی کامل به حافظه و پردازهها را ممکن میسازد. با SVM مرکزی و قابلیتهای پیشرفته مانند Application Control و System Watcher، پوشش جامع در برابر تهدیدات نوین فراهم میشود. همچنین با پلتفرمهای متنوع و VDIها کاملاً سازگار است.
بله؛ VMها در برابر بدافزار، حملات و نفوذهای احتمالی آسیبپذیر هستند. استفاده از راهکارهای امنیتی مخصوص مجازیسازی بهجای آنتیویروسهای سنتی توصیه میشود.
حملهای است که در آن کد مخرب از VM فرار کرده و به میزبان دسترسی مییابد. برای پیشگیری، باید هایپروایزر بهروزرسانی شود، دسترسیها محدود گردد و از IDS/IPS برای مانیتورینگ استفاده شود.
Agent-Based امنیت کامل ولی با سربار بالا دارد؛ Agentless سبک و بدون نصب داخل VM است ولی دید محدودی دارد؛ Light Agent ترکیبی از هر دو است و تعادل بهتری بین عملکرد و امنیت ارائه میدهد.
از نظر فنی بله، اما در مقیاس بزرگ باعث مصرف شدید منابع و کاهش کارایی میشود. راهکارهای ویژه مجازیسازی برای این محیطها بسیار بهینهتر هستند.
اکثر آنها با VMware، Hyper-V، Citrix XenServer و KVM سازگارند. حالت Agentless معمولاً فقط در VMware قابل استفاده است و سایر پلتفرمها نیازمند Light Agent هستند.
این محصولات طوری طراحی شدهاند که با offload پردازشها، سربار کمی ایجاد کنند. کاهش مصرف CPU، RAM و IOPS باعث حفظ عملکرد VMها و تراکم بالا در هاست میشود.
بــرای مشــاوره و خریــد راهکارهای امنیت بسترهای مجازی
متناسب با زیرساخت سازمان خود، همین حالا با ما تماس بگیرید.
مجری برخی از بزرگترین و طولانی مدت ترین پروژه های طراحی، نصب، راه اندازی و پشتیبانی محصولات نرم افزاری ضدویروس و سخت افزاری فایروال در کشور
عضویت در خبرنامه
با شبکه گستر
راهنمای خرید
محصولات برتر
کلیه حقوق این سایت برای شرکت مهندسی شبکه گستر محفوظ است و باز نشر مطالب صرفا با ذکر نام شبکه گستر مجاز می باشد.
شرکت مهندسی شبکه گستر
بیش از سی سال تجربه موفق در ارائه محصولات امنیت شبکه
بیش از سی سال تجربه موفق در ارائه محصولات امنیت شبکه
"*"فیلدهای ضروری را نشان می دهد