Feeds:
Posts
Comments

Posts Tagged ‘Security’

Is server-based computing veiliger?

Posted in Desktop virtualization, tagged , , , , on August 23, 2012 | Leave a Comment »

Van de twee belangrijkste vormen van Server Based Computing (Virtual Desktop Infrastructure en TS / RDS) wordt vaak als voordeel genoemd dat daarmee de veiligheid beter te waarborgen is.

VDI overview

 

Shawn Bass legt in vijf blog-entries op BrianMadden.com uit waarom dat in een aantal gevallen een misvatting is:

Part 1: There’s Only Two Types of Data
Part 2: Centralization Helps in Other Ways
Part 3: Mitigation Strategies for Data Security
Part 4: Security by Isolation Methods
Part 5: How persistence affects security and DVI

Read Full Post »

Bromium begint duidelijkheid te geven over hun MicroVisor

Posted in Desktop virtualization, Reports, tagged , , , on June 21, 2012 | Leave a Comment »

De startup “Bromium” is een initiatief van onder meer Simon Crosby (voorheen Citrix en XenSource) en Gaurav Bang (voorheen Phoenix). Na een jaar lang in “stealth” mode onder de radar te hebben verbleven wordt nu langzaam inzicht gegeven in de door Bromium ontwikkelde technologie.

Het belangrijkste element daarvan is de zogenoemde MicroVisor technologie. Zoals een hypervisor zich richt op het onderling isoleren van meerdere operating systemen op dezelfde hardware, zo richt de MicroVisor zich op het onderling isoleren van meerdere taken binnen één operating systeem. Zulke taken kunnen hele applicaties zijn, maar ook systeemtaken die door het operating systeem zelf worden gestart en gestopt.

Bromium architecture

Het doel van de MicroVisor is om een volledig beveiligde omgeving te realiseren op basis van hardware-virtualisatie. Daarom draait de software voorlopig alleen op Intel processoren met VT ondersteuning. Deze features worden ook door moderne hypervisors gebruikt en ik neem aan dat dat de reden is dat Bromium zich met name richt op clients, waar het operating systeem nog bijna altijd bare-metal draait, en niet op servers waar server virtualisatie inmiddels de norm is geworden.

Het lijkt een veelbelovend initiatief en Simon Crosby zal wel voor het nodige tromgeroffel gaan zorgen om op te vallen. Wat mij nog niet duidelijk wordt is of bestaande operating systemen ongewijzigd kunnen profiteren van de microvisor. Overigens wordt daarbij Windows steeds als voorbeeld gebruikt en dat ligt natuurlijk ook voor de hand. Als het inderdaad nodig mocht zijn om het operating systeem te wijzigen, dan worden de slagingskansen voor Bromium wel aanzienlijk lager.

In ieder geval een bedrijf en technologie om in de gaten te blijven houden.

De white paper van Bromium is hier als PDF van 8 pagina’s te downloaden.

Andere bronnen: Simon Crosby bij BrianMadden.com en Paula Rooney op ZDnet.

Read Full Post »

NIST publiceert security guidelines voor servervirtualisatie

Posted in Reports, Server virtualization, tagged , , on February 4, 2011 | Leave a Comment »

Het National Institute of Standards and Technology (NIST) heeft de definitieve versie van haar veiligheidsrichtlijnen voor server-virtualisatie gepubliceerd. Alhoewel het voor velen hier en daar als het intrappen van een open deur kan overkomen, is het toch wel een aardige introductie van verschillende virtualisatie-concepten en de bijbehorende risico’s.

 

NIST security

 

De aanbevelingen in een notendop:

  • secure all elements of a full virtualization solution and maintain their security;
  • restrict and protect administrator access to the virtualization solution;
  • ensure that the hypervisor, the central program that runs the virtual environment, is properly secured; and
  • carefully plan the security for a full virtualization solution before installing, configuring and deploying it.

Het PDF-document van 35 pagina’s is hier te downloaden.

Bron: David Marshall

Read Full Post »

Veiligheid op Intel CPU’s omzeild

Posted in Desktop virtualization, Reports, Server virtualization, tagged , , on March 27, 2009 | Leave a Comment »

Joanna Rutkowska van Invisible Thing Lab heeft een gedetailleerd verslag gepubliceerd van de manier waarop je Intel processoren tot op het diepste niveau kunt compromitteren. Dit houdt ook in dat hypervisors, die in de meest beveiligde processor-status horen te draaien, aangevallen kunnen worden. Alhoewel Intel claimt dit inmiddels opgelost te hebben, blijkt dat toch niet voor alle producten te gelden, waaronder met name recent uitgebrachte moederborden als de de DQ35.

Joanna heeft inmiddels een behoorlijk reputatie opgebouwd op dit gebied, zie bijvoorbeeld ook de blue pill discussie uit augustus vorig jaar.

Het meest bizarre van de huidige variant is echter wel dat medewerkers van Intel zelf dit al in 2005 hebben ontdekt en er zelfs twee octrooien op hebben aangevraagd. Joanna schrijft:

We haven’t been aware of the patents before we discovered the attack — we never thought a vendor might describe weaknesses in its own products and apply for a patent on how to fix them, and still not implement those fixes for a few years… The patents turned out, however, to be easily “googlable” and it would be surprising that nobody else before us, and Loic Duflot, have created working exploits for this vulnerability.

Het rapport van 6 pagina’s is hier als PDF bestand te downloaden.

Bron: InvisibleThings

Read Full Post »

Netwerk-optimalisatie: routeer de nodes in plaats van het verkeer

Posted in Server virtualization, tagged , , , on December 17, 2008 | Leave a Comment »

Live migration zorgt ervoor dat je draaiende virtuele machines ongemerkt voor de gebruikers kunt verplaatsen van de ene fysieke host naar de andere. Je kunt dit bijvoorbeeld gebruiken om de belasting van de fysieke hosts in balans te houden (load balancing dus). Het mooiste voorbeeld daarvan is VMware’s Distributed Resource Scheduler.

Wat live migration ook mogelijk maakt – in theorie althans – is het verplaatsen van virtuele machines om je netwerkbelasting te optimaliseren. Doug Gourlay van Cisco noemt dit Anti-Routing of Virtual Routing. Je zou er bijvoorbeeld automatisch voor kunnen zorgen dat virtuele machines die onderling intensief over het netwerk communiceren, dicht bij elkaar – wellicht op dezelfde fysieke host – terecht komen.

Chris Hoff griezelt bij de gedachte wat dit voor je security zou kunnen inhouden. Voor hem vormt virtual routing dan ook veel meer de antimaterie van security dan van routing.

Read Full Post »

De "blue pill" slaat weer toe

Posted in Server virtualization, tagged , on August 17, 2008 | 1 Comment »

Invisible Things Lab blijft de zwakke plekken opzoeken die een gevolg kunnen zijn van virtualisatie met betrekking tot security. Na een eerste introductie van de “blue pill” in 2006 heeft Joanna Rutkowska opnieuw een aantal manieren gedemonstreerd waarmee je een operating systeem kunt kapen door gebruik te maken van virtualisatie.

Red and blue pill

De presentatie is op Internet gezet (als PDF te downloaden in deel 1, deel 2 en deel 3), echter een gedeelte ervan is op verzoek van Intel weggelaten omdat het een zwakke plek in Intel’s VT-d technologie blootlegt die het bedrijf eerst wil oplossen.

Bron: Heise Security.

Read Full Post »

VMware infrastructuur white papers

Posted in Server virtualization, tagged , on June 30, 2008 | Leave a Comment »

Naast het virtualiseren van computers zelf, dringen de VMware-oplossingen steeds verder door in de complete infrastructuur. Je krijgt dan te maken met een steeds complexere combinatie van virtuele en fysieke netwerken, inclusief firewalls, switches, load balancers, etc. In de laatste maanden zijn een aantal goede white papers verschenen op dit gebied.

VMware publiceerde zelf het best practices document “DMZ Virtualization with VMware Infrastructure”. Daarin worden drie scenario’s beschreven van het realiseren van een DMZ in combinatie met VMware ESX. Het negen pagina tellende document is hier als PDF te downloaden.

Specifiek voor het Amerikaanse ministerie van defensie publiceerde de Defense Information Systems Agency (DISA) Field Security Operations (FSO) een “Security Implementation Guide”. Hierin staan de richtlijnen waar je je aan moet houden om een VMware ESX omgeving inclusief infrastructuurvirtualisatie veilig te houden. Het document (circa 90 pagina’s)  is hier als PDF te downloaden.

Cisco en VMware tenslotte publiceerden samen een document van circa 90 pagina’s waarin uitgebreid beschreven wordt hoe je fysieke en virtuele netwerkcomponenten aan elkaar knoopt. Dit document is hier als PDF te downloaden.

Read Full Post »

Complexe zaken makkelijk uitgelegd

Posted in Server virtualization, tagged , , on June 6, 2008 | Leave a Comment »

Security in een virtuele omgeving heeft een extra dimensie die niet per definitie wordt afgevangen door de traditionele beschermingsconstructies. Het Amerikaanse bedrijf Catbird Networks onderkent dat en levert er ook oplossingen voor. Echter, hoe verkoop je iets wat toch redelijk complex is? Catbird kiest voor de visuele aanpak. Een voorbeeld daarvan is hun homepage (“Don’t run naked”). Een nog fraaier staaltje is de video-uitleg voor een drie-jarige.

Read Full Post »

Applicatie-virtualisatie voor persoonlijke beveiliging

Posted in Application virtualization, tagged , , , on May 16, 2008 | Leave a Comment »

Virtualization.info meldt dat Check Point een nieuwe versie van de deskop firewall ZoneAlarm heeft uitgebracht: ZoneAlarm ForceField. De versie gaat vergezeld van een applicatie-virtualisatie omgeving, waarmee de browser (zowel Internet Explorer als Firefox) geïsoleerd kan worden van andere applicaties en van het operating systeem. Check Point is ondanks haar persbericht niet de eerste leverancier die applicaties op de desktop door middel van virtualisatie wil beveiligen. Anderen zijn bijvoorbeeld Trustware, GreenBorder (bijna een jaar gelden overgenomen door Google) en Neocleus. Toch zou het gewicht van Check Point ervoor kunnen zorgen dat applicatie-virtualisatie op de desktop en voor de consumentenmarkt gemeengoed gaat worden.

Read Full Post »

Security bij virtuele omgevingen nog belangrijker dan bij fysieke

Posted in Reports, Server virtualization, tagged , , on May 9, 2008 | Leave a Comment »

Eric Siebert legt uit dat beveiligingsmaatregelen bij virtuele omgeving nog meer aandacht vragen dan bij fysieke systemen. Zo leidt het compromitteren van een host operating systeem direct tot het compromitteren van alle gast operating systemen die er op draaien. Het Center for Internet Security (CIS) heeft specifiek voor VMware ESX (PDF) en virtuele machine in het algemeen (PDF) security richtlijnen gepubliceerd. Deze rapporten geven niet alleen veel security info, maar ook – noodzakelijkerwijs – veel detail-informatie over de architectuur van virtuele oplossingen. Eric geeft meer informatie en een overzicht van websites met richtlijnen en hulp.

Read Full Post »

Older Posts »

Follow

Get every new post delivered to your Inbox.

Join 39 other followers