Virtualization is a high-tech buzzword in broad use today, but its increasing importance is based on more than just the passing fancy of the crowd. With its potential to reduce capital expenses and energy costs, virtualization presents an attractive solution for enterprises looking to save money and generate value from their IT investments. Virtualization can indeed offer many benefits to enterprises, but the benefits must be weighed against the potential threats to information assets and the business itself. This white paper examines some of the business benefits that accrue to virtualized solutions, identifies security concerns and suggests possible solutions, investigates some change considerations that should be considered before moving to a virtualized environment, and provides practical guidance on auditing a virtualized system.

Risks and Security Concerns With Virtualization

As with any technology, there are risks associated with virtualization. Those risks can be categorized into three groups:

• Attacks on virtualization infrastructure—There are two primary types of attacks on virtualization infrastructure:

• hyperjacking and virtual machine (VM) jumping (or guest-hopping). Hyperjacking is a method of injecting a rogue hypervisor (also called virtual machine monitor [VMM]) under the legitimate infrastructure (VMM or OS) with control over all interactions between the target system and the hardware. Some examples of hyperjacking-style threats include Blue Pill,1 SubVirt2 and Vitriol.3 These proofs of concept and their associated documentation illustrate various ways of attacking a system to inject rogue hypervisors under existing OSs or virtualization systems. Regular security measures are ineffective against these threats because the OS, running above the rogue hypervisor, is unaware that the machine has been compromised. To date, hyperjacking is still only a theoretical attack scenario, but it has garnered considerable press attention due to the potential damage it could cause.

VM jumping or guest-hopping is a more realistic possibility and poses just as serious a threat. This attack method typically exploits vulnerabilities in hypervisors that allow malware or remote attacks to compromise VM separation protections and gain access to other VMs, hosts or even the hypervisor itself. These attacks are often accomplished once an attacker has gained access to a low-value, thus less secure, VM on the host, which is then used as a launchpoint for further attacks on the system. Some examples have used two or more compromised VMs in collusion to enable a successful attack against secured VMs or the hypervisor itself.

Сьогодні віртуалізація – це широковживане високотехнічне слівце, однак його зростаюча значимість базується на чомусь більшому, аніж просто на передачі моди масам. Маючи потенціал для зменшення капіталовкладень та енерговитрат віртуалізація являє собою привабливе рішення для компаній, які шукають можливостей зберегти гроші та отримати користь від інвестицій у інформаційні технології. Віртуалізація дійсно може запропонувати багато переваг компаніям, однак необхідно порівнювати їх з потенційними загрозами для інформаційних ресурсів та бізнесу в цілому. Цей звіт досліджує деякі переваги для бізнесу, пов’язані з віртуалізованими рішеннями, визначає питання безпеки та пропонує можливі рішення, вивчає деякі фактори зміни, які необхідно розглянути до переходу на віртуалізоване середовище та надає практичні поради щодо перевірки віртуалізованої системи.

Ризики та питання безпеки, пов’язані з віртуалізацією

Як і будь-якій іншій технології, віртуалізації притаманні ризики. Ці ризики можна класифікувати на три групи:

• Атаки на інфраструктуру віртуалізації – існують два основних типи атак на інфраструктуру віртуалізації:

• Підміна гіпервізора та вторгнення з віртуальної машини (ВМ) або «насадження гостя» (анг. guest-hopping). Викрадення гіпервізора – це метод насадження неавторизованого гіпервізора (що також носить назву монітора віртуальної машини (МВМ)) в межах легітимної інфраструктури (МВМ та ОС), який контролює всі взаємодії між цільовою системою та апаратним обладнанням. Прикладами загроз, подібних до викрадення гіпервізора, є 1. «блакитна пігулка» (анг. BluePill), 2. СубВірт (анг. SubVirt) та 3. «купорос» (анг. Vitrol). Наведені докази концепції та відповідна документація демонструють різноманітні шляхи атак на систему для насадження неавторизованих гіпервізорів в існуючих ОС та системах віртуалізації. Звичайні засоби безпеки неефективні в протидії цим загрозам, адже ОС, під якою працює неавторизований гіпервізор, не має інформації про те, що до машини було здійснено несанкціонований доступ. Наразі викрадення гіпервізора – це лише теоретичний сценарій атаки, однак він привернув значну увагу преси саме завдяки потенційним збиткам, які може заподіяти.

Вторгнення з ВМ (анг. VM-jumping) або «насадження гостя» – є більш реалістичною можливістю та несе в собі таку ж серйозну загрозу. Цей метод атаки зазвичай використовує уразливості в програмах-гіпервізорах, які дозволяють зловмисному ПЗ або віддаленим атакам несанкціоноване відокремлення захисту ВМ та надання доступу до інших ВМ, хостів або ж навіть до самої програми-гіпервізора. Зазвичай, такі атаки досягають мети, коли атакуючий отримав доступ до менш значимої, а отже і менш захищеної, ВМ на хості, який потім використовується як «стартовий майданчик» для подальших атак на систему. У деяких прикладах застосовувались одразу дві або більше ВМ для забезпечення успішної атаки на захищені ВМ або навіть на програму-гіпервізора.

Sampling Risk: Judgmental and statistical sampling types include sampling risk and require professional judgment to minimize this risk. Inherent in every sampling procedure is the risk that the sample is not representative and that the auditor would have drawn different conclusions from procedures that include examining 100% of the population.

Regarding substantive testing and tests of controls, there are two basic sampling risk attributes.

First, the risk of incorrect acceptance occurs when the sample leads the auditor to conclude that there is no material misstatement – when, in fact, there is. In tests of the related controls, the sample would suggest that control is effective since sample results indicate a lower deviation rate than actually exists in the true operating effectiveness of the control. Thus you have the risk of assessing control risk too low. In both instances, the sample does not detect the issues as intended by the related audit objective.

The “other side” of sampling error occurs when, for substantive tests, there exists a condition of incorrect rejection. In this situation the sample leads the auditor to conclude that a material misstatement exists when, in fact, it does not. For tests of controls, the sample results indicate a greater deviation rate than actually exists, which leads to the risk of assessing control risk too high.

These erroneous conditions will have an impact on both the efficiency and effectiveness of the overall audit. The efficiency is compromised by performing more work than required because of incorrect rejection and assessing control risk too high. The effectiveness is compromised by not identifying misstated balances or ineffective controls because of incorrect acceptance and assessing control risk too low.

Риск выборочного метода: статистическая и оценочная (нестатистическая) выборки несут в себе риск выборочного метода, для минимизации которого необходима профессиональная оценка. Данный риск присущ любой процедуре по проведению выборок и заключается в том, что выборка может быть не достаточно репрезентативной, а также в том, что аудитор пришел бы к другим выводам, если бы проанализировал все 100% случаев.

С точки зрения основательного тестирования и тестов контролей, риску выборочного метода присущи две основные характерные черты.

Первой чертой является риск ошибочного принятия, который имеет место в случае, когда выборка подводит аудитора к выводу о том, что нет обоснованного ошибочного мнения, в то время как в действительности оно есть. При тестировании связанных контролей выборка предполагает, что контроль эффективен, так как результаты выборки показывают уровень отклонения, ниже уровня, который фактически существует при надлежащей операционной эффективности контроля. В таком случае присутствует занижение оценки контроля. В обоих случаях выборка не освещает вопросы, соответствующие цели проверки должным образом.

«Обратная сторона» ошибки выборки проявляется тогда, когда при основательном тестировании возникает условие ошибочного отклонения. В таком случае выборка подводит аудитора к выводу о том, что существует обоснованное ошибочное мнение, в то время как в действительности его нет. При тестировании контролей выборка показывает завышенный уровень отклонения по сравнению с тем, который существует на самом деле, что приводит к завышению оценки контроля.

Такие ошибочные обстоятельства будут оказывать влияние как на эффективность, так и на результативность всей проверки. Эффективность подвержена риску дополнительного объема работ по причине ошибочного отклонения и завышению оценки контроля. Результативность же подвержена риску определения неправильных остатков или неэффективности контролей по причине ошибочного принятия и занижения оценки контроля.

Slow sand filters, sometimes preceded by microstraining or coarse filtration, are used to remove turbidity, algae and micro-organisms. Slow sand filtration is a simple and reliable process and is therefore often suitable for the treatment of small supplies provided that sufficient land is available.

Slow sand filters usually consist of tanks containing sand (size range 0.15-0.30 mm) to a depth of between 0.5 to 1.5 m. For small supplies, modular units of 1.25 m diameter are available – a tandem installation would occupy a concrete apron of about 8 to 10 m2. The raw water flows downwards and turbidity and micro-organisms are removed by filtration in the top few centimetres of the sand. A biological layer of sludge, known as the ‘schmutzdecke’, develops on the surface of the filter that can be effective in removing micro-organisms. Treated water is collected in underdrains or pipework at the bottom of the filter. The top few centimetres of sand containing the accumulated solids are removed and replaced periodically. Filter runs of between 2 and 10 weeks are possible, depending on raw water quality and flow rate. Slow sand filters are often operated in tandem; one in service whilst the other is cleaned and time allowed for the schmutzdecke to reestablish.

A variant of the slow sand filter, the ‘Inverness filter’ or ‘Argyll filter’, has been widely used in Scotland. It uses the same grade of sand and operates at the same flow rate as the traditional slow sand filter but the water flows upwards. Filtration is achieved throughout the filter bed and a true ‘schmutzdecke’ does not develop. The sand is ‘washed’ by opening a valve at the bottom of the filter and allowing the filter bed to drain rapidly.

Slow sand filters should be sized for a water flow rate of between 0.1 and 0.3 m3/m2.h. The flow rate should be controlled and the filter designed with a treated water reservoir of sufficient capacity to accommodate fluctuations in demand, and thus permit operation of filters at a steady and continuous rate.

Гравітаційні піщані фільтри, перед якими іноді встановлюють мікрофільтри або префільтри, застосовуються для усунення помутніння, водоростей та мікроорганізмів. Гравітаційна піщана фільтрація – це простий та надійний процес, і тому він часто придатний для обробки невеликих об’ємів, за умови наявності достатніх площ.

Зазвичай гравітаційні піщані фільтри складаються з резервуарів з піском (діапазон зернистості 0,15–0,30 мм) глибиною від 0,5 до 1,5 м. Для невеликих об’ємів існують модульні резервуари діаметром 1,25 м; встановлення пари резервуарів передбачає наявність бетонного фартуха площею 8–10 м2. Стікаючи донизу, у кількох верхніх сантиметрах піску неочищена вода відфільтровується від помутніння та мікроорганізмів. Біологічна плівка шламу, також відома як шмуцдеке (нім. Schmutzdecke), яка утворюється на поверхні фільтру, може ефективно усувати мікроорганізми. Очищена вода збирається у дренажній або трубопровідній системі в нижній частині фільтру. Кілька верхніх сантиметрів піску, які містять накопичені тверді залишки, періодично усувають та заміняють. Тривалість роботи фільтру може варіюватися від 2-х до 10-ти тижнів залежно від якості неочищеної води та швидкості притоку. Гравітаційні піщані фільтри часто застосовують у парі – доки один фільтр працює, інший чистять та витримують для відновлення біологічної плівки.

У Шотландії широкого застосування набув різновид гравітаційного піщаного фільтру, створеного у м. Інвернес та Арджил. Зернистість піску та швидкість притоку цього фільтру та традиційного гравітаційного піщаного фільтру співпадають, однак, потік води спрямований вгору. Фільтрація проходить по усій площі фільтруючого шару без утворення біологічної плівки. Пісок «промивають» відкриттям клапану у нижній частині фільтру, що забезпечує швидке водовідведення з фільтруючого шару.

Гравітаційні піщані фільтри розраховані на швидкість притоку води у діапазоні 0,1–0,3 м3/м2∙год. Необхідно контролювати швидкість притоку та використовувати фільтр з резервуаром для очищеної води достатньої ємності, яка дозволяє пристосовуватись до коливань рівня споживання і, відповідно, забезпечує стабільну та тривалу експлуатацію фільтрів.