5 BẢO MẬT TRONG ẢO HÓA
5.2 Những vấn đề tồn tạ
Sự ảo hóa địi hỏi cần có các cơng nghệ - bao gồm các dịng phần mềm mới và sự kiểm sốt. Ngồi ra cịn có các nhân tố mới như sự chuyển đổi ảo nhằm giúp các lưu lượng trên mạng giữa các máy chủ ảo sẽ lưu thơng theo các cách có thể được theo dõi bởi các cơng cụ được thiết kế để theo dõi lưu lượng trên các mạng thơng thường.
Hơn nữa, sự ảo hóa cũng giúp phá vỡ những sự phân quyền truyền thống trong ngành công nghệ thông tin thông qua việc cho phép các quản trị viên riêng rẽ có thể cho chạy các máy chủ ảo hóa chỉ nhờ một nút ấn mà khơng cần phải có sự chấp thuận từ bộ phận mua hàng hay quản lý đầu vào, kho lưu giữ, các nhóm duy trì cơng việc kinh doanh hay nhóm bảo mật cơng nghệ thơng tin.
Trong khi đó, theo Lovejoy, các cơng nghệ bảo mật dựa vào ảo hóa và các chuẩn mực thực hành tốt nhất thì vẫn đang được phát triển. Thị trường các công nghệ này phát triển rộng rãi đến mức khách hàng không thể theo kịp với các chuẩn mực thực hành. Vẫn còn thiếu khá nhiều hiểu biết và kỹ năng trong lĩnh vực này.
Bill Trussell, giám đốc quản lý nghiên cứu bảo mật của TheInfoPro, một hãng nghiên cứu thị trường công nghệ thông tin ở New York cho biết, các câu hỏi về vấn đề bảo mật trong môi trường ảo được tập trung xung quanh việc thiếu khả năng nhận biết, thiếu sự kiểm sốt và những lo ngại về các vấn đề cịn tiềm ẩn. Một giám đốc công nghệ thông tin khác lại tỏ ra lo ngại về việc liệu có thể có kẻ nào đó tấn cơng cơ sở hạ tầng ảo của công việc kinh doanh và sử dụng cơ sở hạ tầng này để xâm nhập tất cả các máy chủ ảo nằm trên đó? Hay liệu một kẻ tấn cơng có thể xâm nhập một máy chủ ảo và sử dụng máy chủ này như một nền tảng để tấn công máy chủ ảo khác, ví dụ như các trình ứng dụng thực hiện thanh tốn nằm trong cùng một phần cứng, mà khơng một quản trị viên nào phát hiện ra khơng?
Ơng Eric Baize, giám đốc bảo mật cơ sở tầng của RSA cho rằng, lo ngại về các viễn cảnh đáng sợ như trên vẫn kéo dài dai dẳng mặc dù trên thực tế, vẫn chưa có một vụ tấn cơng cơ sở hạ tầng ảo hóa nào được xác nhận.
Khi TheInfoPro tiến hành nghiên cứu đối với 214 chuyên gia bảo mật hồi đầu năm nay, họ đã phát hiện ra rằng 1/3 trong số các chuyên gia cảm thấy “rất lo ngại hoặc cực kỳ lo ngại” về vấn đề bảo mật trong một môi trường ảo hóa.
Những lo ngại về một vụ tấn cơng nảy sinh sau khi xuất hiện phần mềm giả “Blue Pill” của Joanna Rutkowska tại hội nghị Black Hat năm 2006. Tuy nhiên, kể từ khi đó, ngành cơng nghệ thơng tin đã phát triển cùng với sự xuất hiện của các cơng nghệ phần cứng để đảm bảo sự tích hợp của các cơ sở hạ tầng, ví dụ như cơng nghệ ảo hóa Virtualization Technology của Intel cho Directed I/O (thường được biết đến dưới tên gọi VT-d). Rutkowska, nhà sáng lập và giám đốc điều hành của Invisible Things Lab, một hãng nghiên cứu bảo mật công nghệ thông tin cho rằng “Ngày nay, hầu các các bộ xử lý Core i5 và i7 của Intel đều có các cơng
nghệ này” và các nhà cung cấp phần mềm ảo hóa đã chuyển sang hỗ trợ những tính năng này”.
Rutkowska cũng tự cảm thấy nghi ngờ về việc liệu sẽ có người thực sự sử dụng các rookit dạng Blue Pill để xâm nhập các máy chủ ảo. Bà cho rằng: “Những kẻ
tấn công khơng thật sự có mục tiêu sử dụng các rookits tinh vi này”, đặc biết là vì các cơng nghệ rootkit nổi tiếng từ những năm 90 vẫn hoạt động khá tốt trong việc tấn công các hệ điều hành truyền thống.
Trussell cho biết: “Mọi người đang lo ngại về những viễn cảnh mang tính lý
thuyết hơn là những viễn cảnh được thực sự coi là các vấn đề cịn tồn tại”.
Nhưng sự ảo hóa cũng mang theo những rủi ro nếu như cơ sở hạ tầng ảo khơng tn thủ và tương thích với các chuẩn mực thực hành tốt nhất. Các nhà tư vấn về vấn đề bảo mật cho biết học vừa phát hiện ra một loạt vấn đề bảo mật trên các trang web của khách hàng. Lovejoy đang nhận thấy sự tồn tại các phần mềm giả mạo các vấn đề có liên quan giữa các trang web nảy sinh do việc tạo dựng khơng có hiệu quả các máy ảo. Bà cho biết: “Nhìn chung, những máy ảo này sẽ
chứa phần mềm giả mạo hoặc chứa những lỗi có thể dễ dàng bị phát hiện. Điều này đã từng xảy ra một lần. giờ đây, các máy ảo đang được sử dụng tràn lan và tạo ra khá nhiều rắc rối cho người sử dụng”.
Mulé của RSA cho biết thêm: “Chúng tơi đang nhận thấy có rất nhiều vấn đề
chưa được làm rõ”. Ơng cho biết ơng thường xun nhận thấy các chuẩn mực
quản lý lỏng lẻo đối với máy ảo, cũng như tên người sử dụng và mật khẩu có thể dễ dàng suy đốn trong các chương trình quản lý cho phép truy nhập hồn tồn vào cơ sở hạ tầng. Thêm vào đó, “chúng tơi cũng đơi khi nhận ra các công cụ
quản lý thiết bị ảo nằm sai vị trí của bức tường lửa”.
Sử dụng mật khẩu mặc định khi tạo mới các máy chủ ảo là điều rất phổ biến, Harold Moss, CTO chiến lược bảo mật đám mây của IBM Security Solutions cho biết, và những người chịu trách nhiệm quản trị các máy mới không thường xuyên
thay đổi các mật khẩu đó. Những kẻ xâm nhập có thể truy cập vàomột máy, đốn mật khẩu và có được tồn bộ quyền kiểm sốt.
Bên cạnh đó, vì các hình ảnh thiết bị ảo là các dữ liệu, các mã chương trình được lưu giữ trong ổ đĩa cứng. Những chương trình này phải được bảo vệ. Vauda Jordan, chuyên gia bảo mật của chính quyền thành phố Phoenix cho biết: “Bạn
khơng muốn có ai đó sẽ kiểm sốt được tồn bộ máy chủ chỉ bằng một chiếc USB”.Bà cho rằng thành phố đang sử dụng kết hợp các chương trình bảo mật
thơng thường, kiểm soát truy nhập kho lưu giữ mạng, theo dõi tích hợp tài liệu để bảo vệ các thiết bị ảo.