Magnus Backman

När du går över till en virtuell servermiljö introduceras nya säkerhetsparametrar som du måste ta hänsyn till. I den här artikeln utgår vi från en miljö baserad på VMwares produkt Vsphere och ser vad du bör tänka på för att maximera säkerheten. Till vår hjälp har vi Magnus Backman, framstående virtualiseringsexpert, i dag arkitekt inom virtualiserings- och molninfrastruktur på EMC. Han har under de senaste nio åren drivit och agerat rådgivare för många stora och komplexa virtualiseringsprojekt.

1: Isolera nätverken

Du bör isolera nätverkstrafik för hanteringen av din serverpark på egna fysiska anslutningar eller åtminstone egna vlan.

Anslutningen mellan värdens hypervisor och Vcenter Server, lagringstrafik över san (fc, iscsi eller nfs) och trafik för Vmotion bör alla använda egna dedikerade anslutningar som är separerade från varandra.

Både säkert och effektivt
Det här leder inte bara till högre säkerhet utan även till bättre prestanda, eftersom till exempel trafik för Vmotion och san båda kan vara mycket intensiv. Vmotion överför okrypterat ram-innehåll för dina vm som kan avlyssnas och i värsta fall förändras. Trafik över ditt san går också okrypterat vilket är en säkerhetsrisk om någon kan avlyssna trafiken. För iscsi-trafik bör du som minst använda chap och gärna också reverse chap för att skapa en säkrare anslutning till din lagringslösning.

Du bör också byta ut certifikaten som används för anslutningen till Vcenter och mellan Vcenter och hypervisor mot egna, betrodda, certifikat.

Magnus Backmans kommentar:
”Här kan även tvåvägsautentisering användas för att stärka inloggningen ytterligare. En bra Vsphere-funktion för att undvika resursbrist i nätverk och san är Storage och Network I/O Control. Här kan både resursfördelning och prioritering av trafik ställas in, vilket är bra att göra om till exempel en nätverks- eller san-switch skulle haverera och din anslutningskapacitet är halverad.”
2: Använd virusskydd som förstår virtualisering

När många virtuella operativsystem delar på samma fysiska resurser är det viktigt att se till att inte belasta resurserna i onödan. Vi ska förstås använda virusskydd för våra virtuella servrar och klienter, men schemalagda genomsökningar av våra vm:ar kan lätt sänka även de snabbaste san om de sker samtidigt överallt. Det kan vara värt att titta på virusskyddsprodukter som är specialskrivna för att fungera bra i virtuella miljöer, till exempel McAfee Move och Trend Micro Deep Security. Båda dessa tar hänsyn till att de arbetar med virtuella os och ser till att sprida ut genomsökningar på ett sätt så att ingen överbelastning sker.

VMware har byggt in ett speciellt api i sin hypervisor som kallas VMsafe. Det kan användas av produkter för att få möjlighet att inspektera en vm från utsidan och få full insyn i innehållet i ram, cpu och nätverkstrafik. Om du har en miljö baserad på VMware bör du kontrollera om din virusskyddsleverantör har en produkt som stödjer VMsafe.

Magnus Backmans kommentar:
”I dag finns fler virtuella servrar än fysiska servrar i världen och vi ser nu hur virtuella klienter blir allt vanligare. I de här miljöerna är det absolut kritiskt att använda virtualiseringsanpassat virusskydd – dels för att avlasta de virtuella klienterna och infrastrukturen, men framförallt för ökad säkerhet. En vm blir skyddad i samma stund som den skapas, och man får en central punkt för hantering och virusdefinitionslistor.”