YORUM
En azından son 20 yıldır, sanal makineler ve kurumsal düzeyde hazır hipervizörler sunucu tabanlı bilgi işlemin geleceği olarak pazarlandı, satıldı ve benimsendi. Yükseltilmiş bir zemindeki raflarda duran özel güç tüketen sunucular, aynı anda birden fazla sanal sunucuyu barındırmak ve yüke göre kaynakları optimize etmek üzere tasarlanmış sistemlerle değiştirildi. Boşta kalan RAM, yeterince kullanılmayan ağlar ve boş sabit disk depolama alanı, maliyetleri, enerjiyi ve ayak izini en aza indirmek için yük dengeleme teknolojisi, paylaşılan kaynaklar ve CPU önceliklendirmesi ile dönüştürüldü. Hedeflere ulaşıldı ve teknoloji işe yaradı.
Kuruluşlar birinci kademe kritik görev sunucularını sanal makinelere kaydırmaya başladığında, çalışma süresi hizmet seviyesi anlaşmalarını karşılamak için yedeklilik ve yüksek kullanılabilirlik sağlama ihtiyacı çok önemli hale geldi. Sanal makine hipervizörleri, hem donanım hem de yazılımda kesinti risklerini azaltmak için yedeklilik teknolojisi, yansıtma, gerçek zamanlı yedeklemeler, soğuk yedekler ve sayısız başka çözüm sundu. Bu teknoloji, tamamen kullanılamaz hale gelmesi durumunda hipervizörün kendisi için bile azaltmalar içeriyordu.
Ancak, tüm hipervizörleriniz kullanılamaz hale gelirse, yani tüm sanal veri merkezleriniz, tüm yedeklilik dahil olmak üzere çevrimdışı olursa ne olur? Bu risk, sanallaştırmanın olgunluğuna dayanarak geçmişte dikkate alınmamıştı, ancak bugün gerçek bir tehdit oluşturuyor ve birinci kademe uygulamaların artık sanallaştırılmaması gerektiğinin nedeni bu. Neden mi? Okumaya devam edin.
Hypervisor Saldırıları Artıyor
Geçtiğimiz birkaç yıl içinde, hipervizörler yüksek profilli kötü amaçlı yazılım ve fidye yazılımı saldırılarında hedef alındı. Tehdit aktörleri yalnızca bir sunucudaki veya bir sunucu veya iş istasyonu işletim sistemindeki verilere saldırmak yerine, hipervizörlere saldırma ve sistem tarafından barındırılan tüm sanal makineleri şifreleme konusunda küstahlaştılar. Ve saldırı vektörü yeterince kurnazsa, coğrafi konumlarına ve yedekleme durumlarına bakılmaksızın tüm sanal makineleri ve hipervizörleri aynı anda enfekte edebilir. Bu, temelde sanal makine olarak barındırılan tüm teknolojiyi — birinci kademe uygulamalarınız dahil — işe yaramaz hale getirir ve görevlerini tamamlayamaz.
Peki bu değişim nasıl gerçekleşti? Güvenlik açıkları, istismarlar, zayıf kimlik güvenliği, kötü amaçlı yazılımlar, sosyal mühendislik ve tabii ki fidye yazılımları. Bu riski anlamak için bazı örneklere bakalım VMware’i etkileyen istismarlarönde gelen bir kurumsal sanallaştırma teknolojisi ve bazı temel bileşenleri.
CVE Details’e göre, 1 Ocak 2020’den bu yana, 334 bildirilen güvenlik açığı tüm VMware çözümleri için. Bunlardan %19’u kritikti ve istismar edilirse etkilenen VMware çözümünün tehlikeye girmesine yol açabilirdi.
Ancak, yaşlarına rağmen en azından ikisi bu tartışma açısından özellikle önemlidir: CVE-2021-21974 Ve CVE-2020-3992Her biri bir şeye yol açabilir tam hipervizör kesintisi istismar edilirse. Birçok güvenlik uzmanının bariz cevabı yama yapmaktır. Ancak, bu güvenlik açıklarını yamalarken, genellikle tüm hipervizörün çevrimdışı hale getirilmesi ve yükseltmeyi tamamlamak için tüm sanal makinelerin duraklatılması veya durdurulması gerekir. Ortam büyükse, potansiyel olarak düzinelerce hatta yüzlerce sanal makinenin çevrimdışı olması gerekebilir. Bu tür bir kesinti genellikle uzun sürer ve birinci kademe uygulamalar için kabul edilemez.
Daha Uygun Bir Çözüme Geçiş Yapın
Çoğu kuruluş, yalnızca kesinti süresi nedeniyle yama uygulamaktan kaçınacak ve bunun yerine başka çözümler kullanacaktır. istismarı önlemek için hafifletmeler. Ancak bu, sorunu çözmez. Hipervizör veya bileşenlerinden herhangi biri İnternet’e maruz kalırsa, bu güvenlik açıkları saatli bombalardır. Kritik güvenlik açıklarını düzeltmemek, bir noktada istismara yol açacaktır. Hipervizör tabanlı güvenlik açıklarındaki artış artıyor ve CVE Ayrıntıları verilerinin gösterdiği gibi artmaya devam edecek.
Dolayısıyla kuruluşların dört potansiyel çözümü var:
-
Birinci kademe uygulamaları sanal makineler olarak kullanmaya devam edin ancak bakımın güncel olduğundan emin olun, kesinti süresini kabul edin ve başlangıçta tasarlandığı şekilde çalışmaya devam edin.
-
Birinci kademe uygulamaları sanal ortamlara dahil etmeyin. Bunları fiziksel donanım olarak dağıtın ve riskleri gidermek için bunları fiziksel uygulamalar olarak düzenli olarak yamalamayı planlayın.
-
Birinci kademe uygulamaları sanal ortamlarda barındırmayı ve şirket içi özel donanım kullanmayı tamamen bırakın. Bunları buluta taşıyın ve sağlayıcının uygulamayı ve hipervizörü yönetmesine ve yükseltmeler gibi arka uç risklerini sizin için yönetmesine izin verin.
-
Ekosisteminizi modernize edin ve birinci kademe uygulamayı bir yazılım hizmeti (SaaS) çözümüne taşıyın.
Yolunuzu seçmek, yama uygulanmamış sanallaştırılmış birinci kademe uygulamalarınızı kaldırmadan önce bazı analizler ve kararlar gerektirir. Öncelikle, tüm uygulamaları görev kritikliğine göre kategorilere ayırın. Herhangi bir kesintinin işletme için kabul edilemez olduğu birinci kademe bir uygulama mı yoksa hipervizör yamalama için kesinti süresinin kabul edilebilir olduğu (minimum düzeydeyse) ikinci kademe bir uygulama mı? Sonra, hangi birinci kademe uygulamalar buluta yıkanabilir (yani doğrudan buluttaki bir hipervizöre taşınabilir ve sağlayıcı tarafından bakımı yapılabilir) veya modern bir SaaS çözümüyle değiştirilebilir? Çoğu kuruluş, şirket içi muadilleri gibi sanal makine bakımı gerektirmediği için bir SaaS çözümünü tercih eder. Bu, SaaS’ın en büyük avantajlarından biridir.
Bu kararları verdikten sonra, kuruluşunuzun birinci kademe uygulamaları şirket içi hipervizörlerden ayırması gerekir. Diğer tüm teknoloji geçişlerinde olduğu gibi, başarıyı ölçebilmeniz için tüm planlama, test, gereksinimler, hizmet seviyesi anlaşmaları vb.’ni belgelendirin. Ancak sonunda, risk azaltma paha biçilemezdir çünkü işletme artık yama uygulanmamış hipervizörlerin riskini ve fidye yazılımlarının toplu olarak sömürülme potansiyelini kabul etmek zorunda değildir.
Bana göre, birinci kademe uygulamalar erişilebilirliği garantilemek için hipervizörlere bağımlı olmamalıdır. Bu tür uygulamalar için arıza noktaları en aza indirilmelidir. Son yıllarda, hipervizörlere yönelik saldırılar risklerin gerçek olduğunu ve artık bir işletme için kabul edilebilir olmayabileceğini kanıtladı. Bu nedenle birinci kademe uygulamaların artık şirket içi sanal makineler kullanılarak uygulanmaması gerektiğine inanıyorum.