Feeds:
Posts
Comments

Posts Tagged ‘Security’

Brad Hedlund van VMware beschrijft waarom een gedistribueerde virtuele firewall in veel gevallen voordelen biedt boven niet-gedistribueerde en/of fysieke firewalls.

Distributed Firewall

De voordelen zijn met name duidelijk bij het zogenoemde ”oost-west” verkeer, dus tussen de servers onderling in het data center.

Zie Brad Hedlund’s blog voor meer.

Read Full Post »

Van Hoboken, Arnbak en van Eijk hebben een update gepubliceerd van hun eerdere situatieschets rond cloud data in een internationaal perspectief. Hierin bespreken zij vier mogelijkheden om vertrouwen terig te winnen voor data in de cloud:

  1. Amerika legt zichzelf strenge beperkingen op;
  2. het internationaal recht wordt gebruikt om beperkingen af te dwingen;
  3. beter gebruik maken van de EU richtlijnen hiervoor (EU General Data Protection Regulation en EU Cloud Strategy);
  4. het verbeteren van het internationale toezicht.

Het 35 pagina tellend concept is hier te downloaden.

Read Full Post »

Van de twee belangrijkste vormen van Server Based Computing (Virtual Desktop Infrastructure en TS / RDS) wordt vaak als voordeel genoemd dat daarmee de veiligheid beter te waarborgen is.

VDI overview

 

Shawn Bass legt in vijf blog-entries op BrianMadden.com uit waarom dat in een aantal gevallen een misvatting is:

Part 1: There’s Only Two Types of Data
Part 2: Centralization Helps in Other Ways
Part 3: Mitigation Strategies for Data Security
Part 4: Security by Isolation Methods
Part 5: How persistence affects security and DVI

Read Full Post »

De startup “Bromium” is een initiatief van onder meer Simon Crosby (voorheen Citrix en XenSource) en Gaurav Bang (voorheen Phoenix). Na een jaar lang in “stealth” mode onder de radar te hebben verbleven wordt nu langzaam inzicht gegeven in de door Bromium ontwikkelde technologie.

Het belangrijkste element daarvan is de zogenoemde MicroVisor technologie. Zoals een hypervisor zich richt op het onderling isoleren van meerdere operating systemen op dezelfde hardware, zo richt de MicroVisor zich op het onderling isoleren van meerdere taken binnen één operating systeem. Zulke taken kunnen hele applicaties zijn, maar ook systeemtaken die door het operating systeem zelf worden gestart en gestopt.

Bromium architecture

Het doel van de MicroVisor is om een volledig beveiligde omgeving te realiseren op basis van hardware-virtualisatie. Daarom draait de software voorlopig alleen op Intel processoren met VT ondersteuning. Deze features worden ook door moderne hypervisors gebruikt en ik neem aan dat dat de reden is dat Bromium zich met name richt op clients, waar het operating systeem nog bijna altijd bare-metal draait, en niet op servers waar server virtualisatie inmiddels de norm is geworden.

Het lijkt een veelbelovend initiatief en Simon Crosby zal wel voor het nodige tromgeroffel gaan zorgen om op te vallen. Wat mij nog niet duidelijk wordt is of bestaande operating systemen ongewijzigd kunnen profiteren van de microvisor. Overigens wordt daarbij Windows steeds als voorbeeld gebruikt en dat ligt natuurlijk ook voor de hand. Als het inderdaad nodig mocht zijn om het operating systeem te wijzigen, dan worden de slagingskansen voor Bromium wel aanzienlijk lager.

In ieder geval een bedrijf en technologie om in de gaten te blijven houden.

De white paper van Bromium is hier als PDF van 8 pagina’s te downloaden.

Andere bronnen: Simon Crosby bij BrianMadden.com en Paula Rooney op ZDnet.

Read Full Post »

Het National Institute of Standards and Technology (NIST) heeft de definitieve versie van haar veiligheidsrichtlijnen voor server-virtualisatie gepubliceerd. Alhoewel het voor velen hier en daar als het intrappen van een open deur kan overkomen, is het toch wel een aardige introductie van verschillende virtualisatie-concepten en de bijbehorende risico’s.

 

NIST security

 

De aanbevelingen in een notendop:

  • secure all elements of a full virtualization solution and maintain their security;
  • restrict and protect administrator access to the virtualization solution;
  • ensure that the hypervisor, the central program that runs the virtual environment, is properly secured; and
  • carefully plan the security for a full virtualization solution before installing, configuring and deploying it.

Het PDF-document van 35 pagina’s is hier te downloaden.

Bron: David Marshall

Read Full Post »

Joanna Rutkowska van Invisible Thing Lab heeft een gedetailleerd verslag gepubliceerd van de manier waarop je Intel processoren tot op het diepste niveau kunt compromitteren. Dit houdt ook in dat hypervisors, die in de meest beveiligde processor-status horen te draaien, aangevallen kunnen worden. Alhoewel Intel claimt dit inmiddels opgelost te hebben, blijkt dat toch niet voor alle producten te gelden, waaronder met name recent uitgebrachte moederborden als de de DQ35.

Joanna heeft inmiddels een behoorlijk reputatie opgebouwd op dit gebied, zie bijvoorbeeld ook de blue pill discussie uit augustus vorig jaar.

Het meest bizarre van de huidige variant is echter wel dat medewerkers van Intel zelf dit al in 2005 hebben ontdekt en er zelfs twee octrooien op hebben aangevraagd. Joanna schrijft:

We haven’t been aware of the patents before we discovered the attack — we never thought a vendor might describe weaknesses in its own products and apply for a patent on how to fix them, and still not implement those fixes for a few years… The patents turned out, however, to be easily “googlable” and it would be surprising that nobody else before us, and Loic Duflot, have created working exploits for this vulnerability.

Het rapport van 6 pagina’s is hier als PDF bestand te downloaden.

Bron: InvisibleThings

Read Full Post »

Live migration zorgt ervoor dat je draaiende virtuele machines ongemerkt voor de gebruikers kunt verplaatsen van de ene fysieke host naar de andere. Je kunt dit bijvoorbeeld gebruiken om de belasting van de fysieke hosts in balans te houden (load balancing dus). Het mooiste voorbeeld daarvan is VMware’s Distributed Resource Scheduler.

Wat live migration ook mogelijk maakt – in theorie althans – is het verplaatsen van virtuele machines om je netwerkbelasting te optimaliseren. Doug Gourlay van Cisco noemt dit Anti-Routing of Virtual Routing. Je zou er bijvoorbeeld automatisch voor kunnen zorgen dat virtuele machines die onderling intensief over het netwerk communiceren, dicht bij elkaar – wellicht op dezelfde fysieke host – terecht komen.

Chris Hoff griezelt bij de gedachte wat dit voor je security zou kunnen inhouden. Voor hem vormt virtual routing dan ook veel meer de antimaterie van security dan van routing.

Read Full Post »

Older Posts »