IBM Global ServicesIBM Global Services
��������� ������ ��: �� ������ ������ � ���� ��������� ���� ��������
© 2006 IBM Corporation
IBM Internet Security SystemsAhead of the threat.™
9/17/2009 © 2009 IBM Corporation
IBM Internet Security SystemsAhead of the threat.™
®
������� ��������� ���� � ����������, IBM Internet Security [email protected]
IBM Internet Security Systems
���� �����������
� ��� ����� ������������?
� � ���� �� �� � ������
� ������������ ��������
� ��� ������?
© 2009 IBM Corporation
� ��� ������?
– ����������� �����
– ������������ �������
– ������ �� ���!
IBM Internet Security Systems
"������������ �� �����
� � �� �� � � ���������� ��������� �������������
© 2009 IBM Corporation9/17/20093 Virtualization and Enterprise Security
� � �� �� � � ���������� ��������� �������������– “…���# � �� ��#��!�� ������������� �� �� ���!�� $15 ������� � � 2009.” – IDC
– “…80% ���# ���-������ ���� ���� ��#��!�� ������������� � ����-� �� �.” – IDC
– “…������ ����� �� ���� ���� ������������� �� �� ������ �� 40% �� �� ��� �������# � 2008 ! � � �� 20% �� �� ������ �� � ��������������” – Gartner
IBM Internet Security Systems
��#�������� �������������
�� �������������
� �� �������������
OperatingSystem
OperatingSystemApplications
Applications Applications
© 2009 IBM Corporation
VMM or Hypervisor
Hardware
OperatingSystem
4
IBM Internet Security Systems
$��� �������������
VMM
Guest 1 Guest 2
Guest 1 Guest 2
$��-2 VMM $��-1 VMM
© 2009 IBM Corporation
Host OS VMM
�������: KVM (Linux)VMware WorkstationVMware ServerMicrosoft Virtual PC
�������:XenVMware ESXIBM pHype / LPARsMicrosoft Hyper-V
Hardware Hardware
5
IBM Internet Security Systems
%� ������ �������������?
� �!�
– &�����'��� � !�����
– ��� ��� �������
– ())��������
© 2009 IBM Corporation
– ())��������
� �"��#�
– "������ �� IT – �-���*����IT• +�������� , ����������, ��*��� , !����!�����
IBM Internet Security Systems
� ������� XenSource � 2007 �� $500$
� � ��� � open-source Xen hypervisor
,������ �!���
� � ��� � 1998
� �����������EMC
© 2009 IBM Corporation
� Virtual server, �������� VirtualPC � 2003 �� ��Connectix
� Hyper-V (aka Viridian) ����%� � 2008
� � ��� � open-source Xen hypervisor
� � ������� ������������������ 40 ��� ����
� LPAR, sHype, Phantom
IBM Internet Security Systems
© 2009 IBM Corporation
� ���� �� �� � ������
8
IBM Internet Security Systems
"������������� ��������� �������
� ������������ != &����� � ��
– ���� ������ ������� ��� *� �������� ��� ���� ������ ������� ��� �������
� $�'� ��������� ���������� ����� , �
© 2009 IBM Corporation
� $�'� ��������� ���������� ����� , � (�� � ������ �� ��� ������ ��
� )���� '� ������� ��%���
– ��!�������� ������
– &����� ���� � ��!�����������
– -��������� ���� ��������� �
IBM Internet Security Systems
,������ �!���
� *����� �� ���� ��
– ��#��� !����� ������
– "�� �� ����
– ���������� ����������
© 2009 IBM Corporation
– ���������� ����������• ������ �������������# �����• ��������� ���� �������
(�������, ����� , ���������)• "����'���� �����• Snapshots
– ����������VMM/Hypervisor• IsGameOver()
IBM Internet Security Systems
,������ �!���
� ������'���…
– ���� ���� ���,$��������, ���� ����
– �� ����
© 2009 IBM Corporation
– �� ����
– ,�!����������� �������... • .�� ������ ����'��• ������� �+• .��!����'���� �����
IBM Internet Security Systems
$'�� �!��
������������ ���������/
001234526789:;<23:
/001234526789:;<23:
/001234526789:;<23:
/001234526789:;<23:
/001234526789:;<23:
=:75
© 2009 IBM Corporation12
>��� ���������
+� �� �������� = +� �� �!��
>��� ���������
?4;@A4;:
?4;@A4;:BC2;5D412E45267
?F0:;<2G6;8CHH
I0:;4527JB9FG5:=
H474J:=
IBM Internet Security Systems
,���������� ������� � ����*����
� )��������� ������ � ��+� :
– Malware: Viruses, Worms, Trojans, Rootkits
– DoS/DDoS attacks
– Buffer Overflows, SQL Injection, XSS
VMM or Hypervisor
Hardware
VirtualMachineOS
App
Mgmt
© 2009 IBM Corporation
– Data Leakage
– Access Control, Compliance, Integrity
� )��������� ������ � ���� �� ��� ���, ���� ���������� ����� ����� ��%��� ���+ -���������, ��� ����-� ��,
13
IBM Internet Security Systems
"������ ��� ������
� * ������ �������,
� Snapshots / Suspend / Activate ����� ���� ������
���������� ����������
� .���� ���� ����� ��� VM
� ��*� ���������� '� K� �� VM,
VMM or Hypervisor
Hardware
VirtualMachineOS
App
Mgmt
© 2009 IBM Corporation
�������������, ����������� VM
� �����-� ��� ������%��� (Live Migration)
� ����������� � ����� ���������� ������, ����,
L,&�?
� �����'����� ������� ���������� �� �� ��
���������
14
IBM Internet Security Systems
"������ ��� ������
� /���� ������� ������� �������, � ��������� � ��������� ����
� ���� ���� ��������#�� ������� ������ VM �*�� �������� � ����������� �����!��)�'����� ������.
� �!�� �� ��*��� ����� ��� ! �-� ���K�������
VMM or Hypervisor
Hardware
VirtualMachineOS
App
Mgmt
© 2009 IBM Corporation
� �!�� �� ��*��� ����� ��� ! �-� ���K������� � ���� ����� �����?
� ����� ��� ���������� ����
� VMs – K� )����, '�� ���� ������ ��� ������� ��� ����� � ������
15
IBM Internet Security Systems
Exploiting Live Migration: Xensploit
VMM
Guest A Guest B
Hardware
VMM
Guest C Guest B
Hardware
Search for sshd object code.
Modify authentication routine.
Allow all users!Guest B
© 2009 IBM Corporation
Protected, Out-of-band Network
16
Hardware Hardware
SSH LOGIN ALLOWED!
�����«man-in-the-middle» �*�� ��� ���� ����� �� ����������� VM� ���'����, ���)�� live migration ���� ����� � ������ �� �
IBM Internet Security Systems
VMM / Hypervisor
� /���� � VMM / Hypervisor.
� -�������� �� �� ���! �
� -��� ����� �������VMMs - #��, � �� �����'��� �����&������� ��� )�������� ��� ���*���� � .
VMM or Hypervisor
Hardware
VirtualMachineOS
App
Mgmt
VMware ESX 3 VMware ESX 3i
© 2009 IBM Corporation
� 0����� Hypervisor
� ��� – DHCP, �������������, vSwitching
� ����������– VM APIs (VMCI, XenSocket)
� &��!�� – Security (VMsafe), Disaster Recovery (vMotion)
VMware ESX 3~2GB Surface AreaLines of Code: Millions
VMware ESX 3i~32MB Surface AreaLines of Code: ~200,000
17
IBM Internet Security Systems
� *����� :
� M ���� �'�� �����
� -�������� � ������� ����������
-���������
VMM or Hypervisor
Hardware
VirtualMachineOS
App
Mgmt
© 2009 IBM Corporation
� ��������� #������� ����# VM �
������� ����������
18
IBM Internet Security Systems
������������ �������������������� ��������
© 2009 IBM Corporation19
IBM Internet Security Systems
,�!����������� �������?
� 1�� ������� � ����-��� ��...?
� !���?
� !�����?
� ����'��?
� ����?
?
© 2009 IBM Corporation20
VMServiceProcess
VMServiceProcess
VMServiceProcessVMService
Process
VMServiceProcessVMService
ProcessVM
VMServiceProcessVMService
ProcessVMServiceProcess
Management
VMVM
Physical N
ICs
Physical N
ICs
0���-� �� ��� ��������� ���
)�������� ��%��� 1�� �����?
IBM Internet Security Systems
,�!����������� �������?� ��,�� �����…
– Live Migration ����� ���� ���� ����#
� �� ���,�� � �������– Snapshot/Pause/Offline ���*����:
• >�������
• �� ��
© 2009 IBM Corporation
• �� ��
• ����������� ����������
• -������� ��������
� *�������� �������� VM– N�������
– ���� ������
21
IBM Internet Security Systems
,�!����������� �������?
� �� ������, �� ������, �� ������!
� * �� � �� �������� �������������?– ���� ������� �!�� ��� � ��������?
– ���� ������� �� �!�� ��� � ��������?
© 2009 IBM Corporation
– ���� ������� �� �!�� ��� � ��������?
� 1�� �� ������������ ���� VM?– +�� �� �� VM ����� ����� �� ��*��
22
IBM Internet Security Systems
© 2009 IBM Corporation
��� ��������� ������??23
IBM Internet Security Systems
%� ��*� �� �� � �������
� ���������� �������� �������������� 2����� -����� ������� ��� ������������ 2����� -����� ���� � ����� ��� 2����� ��� �� ��������������� � � ���� VM
© 2009 IBM Corporation
� 2����� ��� �� ��������������� � � ���� VM� 2����� ��� �� ��������� ��������� 2����� ������� ������ � ��� 2����� ������� ������ ��� ����������� ���
24
IBM Internet Security Systems
���������� ���� �����
� PCI Compliance– ������� �������� � QSA ��� �*� ��� ��
� PCI DSS 2.2.1: “Implement only one primary function per server”
© 2009 IBM Corporation
“Implement only one primary function per server”– �� QSA ������� ���� ���������?– >� ��������…
� ���������
– "������������ > ���������� ����������
25
IBM Internet Security Systems
>� ����� �� ��������� !
� � ����-��+ , ������������ �������� ������ � ��
– "��*���� �� ���# ����
– >��� ���������� �����
– .��� ���*���� ��������
© 2009 IBM Corporation
– .��� ���*���� ��������
– ��������� ��*���
• Live Migration
� /���� ������ � �� � «������ �,» ����, ��'�� ����� ������� (�� ����� � ����������� ��-��� �������
26
IBM Internet Security Systems
“���������� ���� ” ��� Virtual Appliances
� !�%� ���+%�� ���� Virtual Security Appliances �%� �-�� ����– .����� !����'����� �� �'�– >� ���������� «��������� ����»
© 2009 IBM Corporation
� 2�%��� ���-��� ������ �� �� ����, ��� ������������� ���������� ������������ �� Security API, ������� ����� � ���������� ������ ������ � ��
• VMSafe
27
IBM Internet Security Systems
����� ������� ������ ������:
� ������ ��* � !����� VM� ��!�������� ������� ������ ����������� ��!�������� ���� (VLAN)� "������ ��� ��������� ����������
+�������� �������������: ��! ��
Mgmt.VM
App
OS
GuestVM
GuestVM
Physical ResourcesMEMORY: ~128MCPU: 5-25%
Physical ResourcesMEMORY: ~128MCPU: 5-25%
Physical ResourcesMEMORY: ~128MCPU: 5-25%
Stand-aloneSecurity
Appliance
VMM or Hypervisor
Physical ResourcesMEMORY: ~512MCPU: 25-30%
© 2009 IBM Corporation
�������� ��� !����'����:
� >������� ���������� �� ���# VM � ,��������'���� = �� �� �������� ��*��� � ����������� ������ ���)��� ��* � VM� O���� �����VMM
Appliance
M�� �������! - ����!������ ��������� � ������� ��� ��)�����������...
CPU Memory
28
Hardware
IBM Internet Security Systems
+�������� �������������: ������
VMM or Hypervisor
IntegratedSecurity
VM
App
OS
��� ����� ������� ������:
� ��!�������� ������� -��� ����� )������ ����������� -������� � �� ���������� Security VM� ����!������ � �� ���������� � VMM
GuestVM
GuestVMMgmt
Policy-based MAC
NAC, assessment, and control.
Finance Engineering
© 2009 IBM Corporation
Hardware
� VMM
O������ � ��� Security VM:
� L�������������� ������ ������� �� ����� ������ #��� ��� �������� �!����� ��!�������� ���� �� ���� MAC� VM NAC, ����� ����������, ����������
Network Protection (IPS/FW)
Host Protection (AV/HIPS)
TPM
SecurityAPIs
vTPM
29
IBM Internet Security Systems
IBM Security Solutions
���������
��%���
2�%���
������������
�
&�� ���� ������ ������� �� ��)�����������
© 2009 IBM Corporation
• !�%� ���+%�� �����• ���������� � ���, ���
• "���������� ������ � ��
• * ���� �� ������
IBM ISS ��� ��!��� ������� � ��� �����…� "����� VM - Proventia Server, Desktop, ESC� " ��'����� VM - Virtual Security Appliances (IPS, Multi-Functional)� ��������� ��������� – Phantom
IBM Internet Security Systems
����������������
IBM
© 2009 IBM Corporation
����������������
IBM Internet Security Systems
Further Reading
� Chris Hoff’s BLOG “Rational Survivability”– http://rationalsecurity.typepad.com/blog/
– http://rationalsecurity.typepad.com/blog/virtualization/index.html
– Ongoing Virtualization Thought Leadership
� Neil MacDonald of Gartner
© 2009 IBM Corporation
– Several Excellent Research Notes
� X-Force Threat Research– http://www.iss.net/x-force_threat_insight_monthly/index.html
– http://blogs.iss.net/
� Center for Internet Security Benchmarking– http://www.cisecurity.org/bench_vm.html