I rischi per la sicurezza negli ambienti virtualizzati analizzati in questo contributo di Michael Liou, Senior Product Marketing Manager per Identity & Access Management in CA.
A seguito della tendenza sempre più diffusa di adottare strategie di virtualizzazione per ridurre i costi del data center, migliorare l’agilità del business e garantire un’operatività aziendale ininterrotta, le aziende devono avvalersi di misure adeguate per affrontare e risolvere le minacce per la sicurezza che sono ancora più accentuate negli ambienti virtualizzati.
In particolare, la virtualizzazione richiede una gestione più coscienziosa degli account privilegiati. Tutti i sistemi operativi prevedono nativamente un account “superutente” che concede al relativo utente o applicazione privilegi illimitati su quel server. Sui server UNIX, questo livello di privilegi è conferito all’account root, mentre su Windows compete all’account Administrator. Chiunque sia munito dell’accesso a livello di superutente può leggere, scrivere e cancellare files, avviare e arrestare servizi e persino leggere e modificare gli audit log. In molti data center, questo account costituisce un rischio per la sicurezza perché la relativa password è spesso nota a tutto il gruppo incaricato dell’amministrazione del server.
La virtualizzazione aggrava sensibilmente tale vulnerabilità, in quanto espone un numero maggiore di macchine virtuali (ciascuna delle quali può avere funzioni molto diverse dal punto di vista sia applicativo che aziendale) a un’unica violazione procedurale.
Tali vulnerabilità appaiono particolarmente problematiche alla luce degli obblighi normativi derivanti da leggi quali la Sarbanes Oxley, il Payment Card Industry Data Security Standard e le direttive sulla privacy dell’Unione Europea che definiscono il quadro normativo che impone alle organizzazioni IT di tenere sotto stretto controllo l’accesso ai dati privati o confidenziali, stabilendo anche le sanzioni in caso di mancata osservanza. Le organizzazioni IT devono quindi guardarsi attentamente dai rischi presentati dalla virtualizzazione in materia di sicurezza dei dati e conformità normativa.
Come proteggere un’architettura virtualizzata
In uno scenario virtualizzato, i sistemi operativi e i rispettivi superutenti esistono su due livelli: il livello dell’hosting fisico e quello dei server virtuali. Ogni server fisico ha un unico livello di hosting (talvolta chiamato “hypervisor” o partizione privilegiata) che supporta tutti i server virtuali. A questo livello del server fisico è associato un account superutente.
Ogni macchina virtuale in hosting sul server fisico possiede a sua volta un’istanza del sistema operativo e il relativo account da superutente.
Per esempio: un server fisico munito di cinque server virtuali in hosting possiederebbe sei account da superutente: uno per il server fisico e uno per ciascuno dei cinque server virtuali. Tutti e cinque gli account da superutente dei cinque server virtuali andrebbero adeguatamente amministrati. Chiunque possedesse i privilegi da superutente per uno di quei server virtuali potrebbe non soltanto combinare disastri su quel server virtuale, ma danneggiare pure gli altri quattro server virtuali consumando criminosamente una quantità sproporzionata di potenza elaborativa fisica, memoria o banda.
Il principale rischio per la sicurezza associato alla virtualizzazione, però, è rappresentato dal livello hypervisor. Disponendo di privilegi da superutente a livello di hypervisor, un soggetto potrebbe impattare direttamente e drammaticamente tutti e cinque i server virtuali presenti su quella macchina fisica, quintuplicando in tal modo le potenziali conseguenze di un eventuale comportamento doloso.
Ad esempio, spesso i server virtuali sono accorpati in un unico file o insieme di files per facilitarne il trasferimento da un server fisico all’altro. Chiunque possedesse un accesso da superutente al livello di hypervisor potrebbe accedere senza controlli a tali files; ciò significa che avrebbe teoricamente la possibilità di rimuovere un intero image file di un server virtuale premendo solamente alcuni tasti – il che equivarrebbe grosso modo a introdursi illecitamente nel locale server per portarsi via un intero computer, dati compresi.
Un tale rischio è ovviamente inaccettabile, perciò le organizzazioni IT devono adottare provvedimenti adeguati per evitare l’impiego scorretto dei privilegi da superutente.
Come attenuare i rischi associati al superutente
Le organizzazioni IT possono ricorrere a due metodi principali per attenuare i rischi associati al superutente: un’adeguata regolamentazione degli accessi e la tracciabilità mediante audit log.
Per regolamentare adeguatamente gli accessi è opportuno seguire il principio del privilegio minimo che prevede che a ciascun utente di un sistema venga concessa solamente l’autorizzazione a svolgere le azioni strettamente richieste dalla sua funzione lavorativa. Sebbene una pluralità di utenti possa aver bisogno di accedere a svariate risorse sui server, è raro che un singolo utente necessiti di privilegi illimitati su tutte le risorse di un server. In tal modo si attenua il rischio mediante la separazione granulare delle mansioni assegnate a ogni utente, a prescindere che esse richiedano o meno l’accesso da superutente.
Per esempio: l’amministratore di un’applicazione per le vendite che gira su un server virtuale potrebbe aver bisogno dell’accesso da hypervisor per eseguire il backup dei files di configurazione relativi all’applicazione. A un tale utente potrebbe essere concesso il diritto di copiare i files relativi a quel particolare server virtuale senza usufruire tuttavia del diritto di modificare i files di configurazione relativi a uno qualsiasi degli altri quattro server virtuali presenti sullo stesso computer.
Con la predisposizione di controlli adeguati sui privilegi d’accesso, le organizzazioni IT possono inoltre tenere precisamente traccia del comportamento degli utenti tramite un monitoraggio e un auditing dettagliato. L’analisi degli audit log rivelerà tutte le attività verificatesi sui server fisici e virtuali. Tali log segnalano infatti tutte le azioni, comprese quelle eseguite dall’account superutente. Va tenuto presente che, qualora venga infranta la sicurezza o violata una policy aziendale (e vi siano più utenti che condividono lo stesso account da superutente), vi dev’essere la possibilità di risalire all’effettivo responsabile. In altre parole, non è sufficiente tenere traccia delle azioni per ogni account; le organizzazioni IT devono riuscire ad ascrivere le azioni agli utenti specifici che le hanno eseguite. Inoltre, tali servizi devono essere “a prova di manomissione” per evitare che gli utenti blocchino o modifichino gli audit log.
Questi requisiti di tracciabilità sono ribaditi da norme come il Payment Card Industry Data Security Standard che al punto 10.1 specifica che le aziende devono “predisporre un processo per ricondurre al singolo utente tutti gli accessi ai diversi componenti del sistema (soprattutto gli accessi eseguiti con privilegi amministrativi quali root).”
Strumenti per la gestione degli accessi all’host
In un ambiente virtualizzato necessariamente esposto a maggiori rischi sul livello hypervisor, è opportuno allestire un altro strato di protezione per rimediare alle vulnerabilità introdotte dall’account superutente. Molte organizzazioni affrontano il problema con l’aiuto delle soluzioni di Host Access Management che consentono di creare policy di sicurezza specifiche e particolareggiate per disciplinare le interazioni fra ciascun utente e i diversi server fisici e virtuali.
Tali soluzioni sostengono la separazione delle mansioni, in quanto consentono ai responsabili dell’IT di definire dei ruoli per la gestione dei server, creare adeguate policy d’accesso associate a tali ruoli e quindi assegnare i suddetti ruoli a utenti specifici. Tali soluzioni tengono traccia anche di tutte le azioni relative alla gestione e all’amministrazione, riconducendole allo user ID originario. Perciò, persino in situazioni dove un utente o processo ha bisogno di un accesso da superutente, la traccia di audit individua esattamente soggetti e azioni.
Un’efficace soluzione di Host Access Management deve interoperare strettamente sia con il sistema operativo che con le piattaforme di virtualizzazione scelte dall’organizzazione IT. Deve inoltre permettere la creazione, l’implementazione e la modifica di policy di security in un’ottica unitaria. La virtualizzazione può offrire notevoli vantaggi all’impresa, perciò i Sistemi Informativi non dovrebbero farsi intimidire dai problemi di security ad essa associati. D’altro canto, le organizzazioni dovrebbero anche verificare scrupolosamente che tali problemi non vadano a inficiare le loro iniziative di virtualizzazione. Ponendo in essere dei controlli adeguati, la virtualizzazione può provvedere i benefici promessi, consentendo all’IT di operare in tutta sicurezza entro i limiti imposti dai vincoli di legge.
Michael Liou è Senior Product Marketing Manager per Identity & Access Management in CA. Negli ultimi sette anni ha lavorato nell’industria del software, acquisendo esperienza anche nelle aree del Solution Consulting e del Product Management. Michael ha conseguito una laurea (Bachelor of Science) in Ricerca Operazionale e Ingegneria Industriale alla Cornell University e possiede la certificazione CISSP (Certified Information Systems Security Professional).
