Contente
- O que é hiper-salto?
- Como o hiper-salto pode acontecer?
- Dicas para proteger a infraestrutura de hiper-salto
- Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
Fonte: Belekekin / Dreamstime.com
Leve embora:
O hiper-salto é o tipo mais recente de ataque contra máquinas virtuais, mas existem maneiras de minimizar suas chances de se tornar uma vítima.
A segurança sempre foi um grande problema na virtualização, mesmo quando mais empresas adotam ambientes virtualizados. Novas ameaças surgem todos os dias e, entre as mais recentes, está o salto de máquina virtual (VM) ou hiper salto, que pode permitir que usuários mal-intencionados obtenham acesso a várias máquinas ou hosts em uma infraestrutura.
Veja como o hiper-salto funciona e como você pode proteger seu ambiente virtual contra essa ameaça real.
O que é hiper-salto?
Máquina virtual ou hiper-salto explora uma fraqueza em uma máquina virtual, transformando-a em uma plataforma que pode ser usada para iniciar ataques contra outras máquinas que usam a mesma infraestrutura, semelhante à maneira como um vírus salta de host em host.
Devido à densidade de máquinas em um cluster ou host, o ambiente virtual é fraco contra esse tipo de ataque. As plataformas virtualizadas oferecem eficiência poderosa e economia significativa em refrigeração, energia e espaço físico, com a capacidade de hospedar aplicativos quase ilimitados, mas a desvantagem é que colocar tantas máquinas em uma única infraestrutura cria um alvo tentador para os hackers.
Como o hiper-salto pode acontecer?
Existem várias condições que podem deixar um ambiente virtual vulnerável à exploração por meio de hiper salto. Um dos problemas mais comuns vem com sistemas operacionais menos seguros. As versões anteriores do Windows são particularmente vulneráveis - o sistema operacional XP não recebe mais suporte ou atualizações de segurança da Microsoft, e as versões do Windows 7 carecem de recursos modernos de segurança, como pilhas reforçadas, randomização de layout de endereço de memória e defesa contra cookies envenenados.
Os comutadores virtuais apresentam outra janela de exploração para o salto da VM. A maioria das plataformas de virtualização usa uma ponte da camada 2, que lida com todo o tráfego entre as máquinas virtuais e a rede externa no mesmo conjunto de NICs. Se o switch conectado estiver sobrecarregado, o sistema preservará o desempenho empurrando todos os pacotes em todas as portas, o que efetivamente transforma o ponto do switch em um hub estúpido.
Por fim, muitas plataformas executam o VLAN TRUNK ALL para uplinks, que são todas as VLANs da rede, mesmo que não sejam necessárias ou estejam em uso. Isso pode expor grandes partes do ambiente virtual à possível exploração.
Dicas para proteger a infraestrutura de hiper-salto
O agrupamento e a separação de uplinks é uma das maneiras mais fáceis de impedir o salto da VM em sua infraestrutura. Para fazer isso, crie grupos separados de uplinks físicos para VLANs agrupadas de maneira semelhante, que, com efeito, separarão o tráfego do banco de dados do tráfego da Web e impedirão que o servidor de banco de dados fale diretamente com a rede interna.
Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
Você não pode melhorar suas habilidades de programação quando ninguém se importa com a qualidade do software.
Você também pode levar essa separação um passo adiante e usar VLANs privadas (PVLANs), que ocultam máquinas virtuais umas das outras, permitindo que os convidados conversem apenas com o gateway.
Para aumentar a segurança do host, você pode configurar uma rede de gerenciamento separada do grupo de portas das máquinas virtuais, que por padrão são instaladas no mesmo uplink na maioria dos ambientes virtualizados. Isso evita que o tráfego de VM e gerenciamento se misture. Você também deve usar uplinks redundantes separados para redes de armazenamento baseadas em IP para proteção adicional.
Por fim, siga as precauções básicas e de senso comum, como o uso do firewall interno para o seu ambiente virtual, a execução de máquinas com os sistemas operacionais mais recentes e a atualização das atualizações críticas do sistema operacional e patches de segurança.