امنیت ماشین‌های مجازی

استفاده روزافزون از سیستم‌های “مجازی سازی” (Virtualization) در سازمان ها و شرکت ها باعث جلب علاقه خرابکاران و همچنین جذب فعالان امور امنیتی به سوی این سیستم‌های مجازی شده است. با وجود اینکه مجازی سازی مزایای عمده و قابل توجهی برای سازمان ها دارد، اما عدم توجه به نکات امنیتی می تواند باعث بروز آسیب‌ های جدی گردد.

آسیب‌پذیری ماشین‌های مجازی

به طور کلی آسیب‌پذیری ماشین‌های مجازی به سه گروه تقسیم می شود.

  • گروه اول آسیب‌پذیری هایی هستند که به صورت پیش‌فرض در سیستم‌های عامل و برنامه‌های کاربردی وجود دارند و حتی اگر برنامه‌ها بدون در نظر گرفتن مجازی سازی اجرا شوند، باز هم خواهند بود. این دسته را آسیب‌پذیری های ذاتی می نامیم.
  • گروه دوم آسیب‌پذیری هایی هستند که به علت آسیب‌پذیر بودن سیستم مجازی سازی (مانند محصولات خانواده Vmware و یا OracleVM) وجود دارند. این دسته از مشکلات به واسطه ایرادات طراحی و کشف نقاط آسیب‌پذیر از سوی محققان امنیتی بوجود می آیند و معمولاً پس از اطلاع تولید کنندگان این سیستم‌ها، توسط آنها برطرف می شوند.  این دسته را آسیب‌پذیرهای محیط مجازی سازی می نامیم.
  • گروه سوم آسیب‌پذیری هایی هستند که به واسطه رعایت نکـردن اصـول پیـاده‌سازی از سوی مدیران و راهبران این  سیستم‌های مجازی به وجود می آیند. بخش عمده ای از این دسته از مشکلات در بخش Networking  و Storage به وجود می‌آیند. این دسته را آسیب‌پذیرهای پیاده‌سازی می نامیم.

مقابله با آسیب‌پذیری ماشین‌های مجازی

روش مقابله با آسیب‌پذیری های ذاتی، مانند تمامی برنامه‌های دیگر می باشد. همواره سیستم عامل و سایر برنامه‌ها را به روز نگه دارید و اگر این سیستم نقش حیاتی در سازمان شما دارد، سعی کنید از آخرین نسخه پایدار آن استفاده کرده و طبق توصیه ‌های امنیتی تولید کننده سیستم، عمل نمایید.
برای مقابله با آسیب‌پذیرهای محیط مجازی سازی (مانند محصولات Vmware) علاوه بر به روز رسانی و بکارگیری آخرین نسخه ها، این موارد را نیز در نظر داشته باشید.

  • آخرین به روز رسانی ها را به محض تأیید از طرف تولید کننده نصب کنید. بیشتر ابزارهای مجازی سازی می‌توانند به صورت خودکار آخرین نسخه خود را کنترل کرده و اعلام کنند.
  • سخت افزارهای غیر لازم را از سرورهای مجازی سازی جدا کنید. به عنوان مثال، یک دیسک گردان فلاپی که از آن استفاده نمی‌کنید و یا کارت های شبکه ای که مورد استفاده قرار نگرفته اند، باید از سرور جدا شوند و یا غیر فعال گردند.
  • سرویس های غیر لازم و بلااستفاده مانند سرویس به اشتراک گذاری فایل و یا Clustering را غیر فعال کنید. تمامی سرویس هایی که مورد نیاز نیستند، می‌توانند یک نقطه شروع برای آغاز حمله به سمت محیط مجازی شما باشند.
  • سعی کنید تمام ماشین‌های مجازی را تحت کنترل دایم داشته باشید. هم‌اکنون بیشتر ابزارهای پایش شبکه (Network Monitoring)  امکانات جدیدی را برای ماشین‌های مجازی اضافه کرده اند.
  • از فایل‌های “ثبت وقایع” (log) استفاده کنید. آن‌ها را مرور و در صورت امکان ذخیره کنید. شاید در زمان بروز مشکل تنها روشی که به شما در مشکل یابی و برطرف کردن آن کمک کند، همین فایل‌ها باشند.

برای راهنمایی بیشتر در مـورد حساسیت‌های امنیتی در راه اندازی سیستم‌های مجازی، مطالعه سند SP800-125 را که از سوی  موسسه NIST منتشر شده، پیشنهاد می کنیم.

سری جدید سرورهای HP ProLiant Servers G7

اولین سری اعلام شده سرورهای نسل هفتم پرولینت مثل HP ProLiant DL385 G7 توان پردازشی نزدیک به ۵۵ گیگاهرتز را ارایه می دهد. در حوزه سرورهای کوچک این توان پردازشی امکان ارایه سرویس های مجازی سازی را به راحتی ارایه می دهد. این سرورها با استفاده از پردازنده های ۱۲ هسته ای AMD قدرت گرفته اند.

خطای ۵۰۳ Service Unavailable در vSphere 4.0

به دلیلی که کاملا مشخض نیست ممکن است بعد از ریبوت کردن یک سرور ESX 4.0 به پیغام ۵۰۳ Service Unavailable در هنگام دسترسی به صفحه وب vSphere برخورد کنید. در چند باری که این مشکل به وجود آمده است برخی اوقات امکان ssh نیز بر روی سرور وجود ندارد. بعد از دسترسی به خط فرمان (به صورت فیزیکی ویا ssh) می بایست سرویس vmware-webAccess را به صورت دستی راه اندازی کنید:

# /etc/init.d/vmware-webAccess stop

# /etc/init.d/vmware-webAccess start

یک صفحه هم بدون ذکر مشخصی برای این مشکل در kb وجود دارد: Cannot log in to an ESX 4 host with vSphere Web Access

امکان دارد با این دستور این مشکل بر طرف شود (برای من که نشد!):

#chkconfig – – level 3 vmware-webAccess on

افزایش ظرفیت دیسک مجازی در VMware

اگر نیاز به افزایش هارددیسک یک نسخه مجازی در vmware دارید، چنین راه حلی در اختیار شماست:

root@Mira:/media/disk-1/vm/xp-sp3# vmware-vdiskmanager -x 10GB xp-sp3.vmdk
Grow: 100% done.
Disk expansion completed successfully.

WARNING: If the virtual disk is partitioned, you must use a third-party
utility in the virtual machine to expand the size of the
partitions. For more information, see:
http://www.vmware.com/support/kb/enduser/std_adp.php?p_faqid=1647
root@Mira:/media/disk-1/vm/xp-sp3#

همینطور مشاهده کنید Using VMware Virtual Disk Manager و محصولات VMXBuilder.