Times
loader
Technologie

Pięć obszarów innowacji w dziedzinie cyberzabezpieczeń w 2017 r.

  • 26 kwietnia 2017
  • Eksploity działające na poziomie jądra

W przeciwieństwie do maszyn wirtualnych jądro jest tu współużytkowane przez wszystkie kontenery i hosta. Zwielokrotnia to wszelkie luki w zabezpieczeniach istniejące w jądrze. Jeśli którykolwiek z kontenerów spowoduje błąd systemowy typu kernel panic, doprowadzi to do wyłączenia całego hosta wraz ze wszystkimi powiązanymi z nim aplikacjami.

  • Ataki typu odmowa usługi (DoS, ang. Denial of Service)

Wszystkie kontenery wspólnie użytkują zasoby jądra. Jeśli jeden z kontenerów zmonopolizuje dostęp do określonych zasobów, może to spowodować odmowę usługi dla innych kontenerów działających na hoście.

  • „Ucieczka” z kontenera

Cyberprzestępca, który przeniknie do kontenera, nie powinien być w stanie uzyskać dostępu do pozostałych kontenerów lub hosta. Domyślnie na platformie Docker nie ma wydzielonych przestrzeni nazw użytkowników. Dowolny proces, któremu uda się ucieczka z kontenera, będzie więc dysponował takimi samymi uprawnieniami w systemie hosta, jakie ma w kontenerze. Może to umożliwić ataki mające na celu rozszerzenie uprawnień (np. administratora).

  • Zainfekowane obrazy

Trudno jest mieć pewność co do bezpieczeństwa używanych obrazów. Jeśli cyberprzestępcy uda się skłonić użytkownika do skorzystania z jego obrazu, zagrożony jest zarówno host, jak i dane użytkownika.

 

  • Ujawnianie danych poufnych

Aby kontener mógł korzystać z bazy danych lub innej usługi, prawdopodobnie będzie wymagać klucza API lub nazwy użytkownika i hasła. Haker, któremu uda się uzyskać dostęp do tych danych uwierzytelniających, zdobędzie zarazem dostęp do usługi. To problem zwłaszcza w architekturach mikrousług, w których kontenery nieustannie zatrzymują się i uruchamiają. Środowiska te wyraźnie różnią się od architektur obsługujących niewielką liczbę maszyn wirtualnych uruchamianych na długi czas.

Wymienione problemy będą w tym roku istotnym tematem badań. Zajęcie się tymi zagadnieniami jest o tyle ważne, że w kolejnych latach technologia kontenerów może tylko zyskiwać na popularności.

  1. Bezpieczeństwo vCPE

 

Choć wirtualne urządzenia instalowane u klienta (ang. vCPE — virtual customer premise equipment) pozostają wciąż jeszcze w domenie wirtualizacji i chmury, stanowią kolejny obszar, który warto zbadać dokładniej.

 

Wymagania biznesowe szybko się dziś zmieniają, a firmy potrzebują elastyczności, by sprawnie i bezpiecznie dostosowywać do nich swoje oddziały. Muszą więc być w stanie uruchamiać nowe usługi na żądanie z poziomu jednej platformy, bez złożoności i kosztów związanych z wdrażaniem dodatkowych urządzeń i zarządzaniem nimi.

 

Rozwiązania vCPE pozwalają dostawcom usług sieciowych udostępniać firmom np. Firewalle czy połączenia VPN za pomocą oprogramowania, a nie dedykowanego sprzętu. Dzięki wirtualizacji urządzeń końcowych dostawcy mogą uprościć i przyspieszyć świadczenie usług oraz zdalnie konfigurować urządzenia i nimi zarządzać. Technologie tego typu pozwalają też klientom zamawiać nowe usługi lub dostosowywać istniejące już rozwiązania na żądanie.

 

W oparciu o wirtualizację funkcji sieciowych (NFV, ang. Network Function Virtualization) Fortinet poczynił znaczne postępy w konsolidacji zaawansowanych usług sieciowych i zabezpieczeń w jednym urządzeniu (FortiHypervisor), eliminując w ten sposób konieczność używania licznych urządzeń instalowanych u klienta i umożliwiając udostępnianie usług na żądanie.

 

  1. Wsparcie przedsiębiorstw w stosowaniu sieci SD-WAN

 

Coraz więcej firm potrzebuje elastyczniejszych, otwartych i opartych na chmurze technologii WAN. Przedsiębiorstwa nie chcą się już ograniczać do zastrzeżonych czy specjalistycznych instalacji, które często obejmują sztywne układy lub kosztowny, zastrzeżony sprzęt.

 

Zwiastuje to wzrost popularności definiowanych programowo sieci WAN (SD-WAN, ang. Software Defined Wide Area Network), które eliminują drogi sprzęt przekierowujący, udostępniając połączenia i usługi za pośrednictwem chmury. Technologia SD-WAN sprawia również, że połączenia można w elastyczny sposób kontrolować za pomocą oprogramowania w chmurze.

 

Sieci SD-WAN mogą zoptymalizować bezpieczeństwo sieciowe na wiele sposobów:

  • Technologia SD-WAN umożliwia łatwe szyfrowanie ruchu sieciowego.
  • Rozwiązanie SD-WAN pozwala segmentować sieci, co ogranicza skutki naruszeń bezpieczeństwa lub ataków do niewielkiego, wydzielonego obszaru.
  • Wzrost intensywności ruchu w chmurze sprawia, że bezpośredni dostęp do Internetu z oddziału jest dziś rzeczywistością. Sieć SD-WAN można wykorzystać nie tylko do udostępnienia połączenia, lecz także do jego ochrony.
  • Przez zapewnienie bardzo dużej przejrzystości w zakresie objętości i typu ruchu sieciowego technologia SD-WAN umożliwia wykrywanie ataków na wcześniejszym etapie.

 

Michael Xie, założyciel, prezes i dyrektor ds. technicznych Fortinet

 

1 2

O autorze