WEBVTT 00:00.330 --> 00:01.350 Instruktor: W tej lekcji 00:01.350 --> 00:03.780 omówimy ataki na maszyny wirtualne, w tym ucieczki maszyn 00:03.780 --> 00:07.410 wirtualnych, przeskakiwanie maszyn wirtualnych, ucieczki z piaskownicy i inne obawy 00:07.410 --> 00:09.360 związane z maszynami wirtualnymi. 00:09.360 --> 00:12.680 Najpierw mamy ucieczki VM lub ucieczki maszyny wirtualnej. 00:12.680 --> 00:14.940 Ucieczka z maszyny wirtualnej to rodzaj ataku, w którym 00:14.940 --> 00:16.230 aktor zagrożeń próbuje wydostać 00:16.230 --> 00:18.120 się z odizolowanej maszyny wirtualnej, a następnie 00:18.120 --> 00:19.380 wysłać polecenia bezpośrednio 00:19.380 --> 00:21.270 do bazowego hiperwizora. 00:21.270 --> 00:23.820 Ponieważ każda maszyna wirtualna powinna być odizolowana, 00:23.820 --> 00:25.350 wykonanie ucieczki maszyny wirtualnej 00:25.350 --> 00:27.300 powinno być bardzo trudne. 00:27.300 --> 00:29.580 W końcu każdy system operacyjny gościa nie powinien 00:29.580 --> 00:31.200 nawet wiedzieć, że jest częścią 00:31.200 --> 00:32.910 maszyny wirtualnej, ponieważ nadal 00:32.910 --> 00:34.710 myśli, że ma pełny dostęp do emulowanej 00:34.710 --> 00:36.330 maszyny fizycznej, którą zapewnia 00:36.330 --> 00:38.340 hiperwizor. 00:38.340 --> 00:40.260 Aby ucieczka z maszyny wirtualnej była 00:40.260 --> 00:42.780 skuteczna, atakujący musi znaleźć sposób na bezpośrednie 00:42.780 --> 00:44.880 połączenie się z bazowymi zasobami fizycznymi, 00:44.880 --> 00:46.830 takimi jak pamięć fizyczna serwera, dysk 00:46.830 --> 00:48.990 twardy lub przetwarzanie. 00:48.990 --> 00:51.210 Zwykle dzieje się to poprzez wykorzystanie 00:51.210 --> 00:53.220 luki w kodzie samego hypervisora. 00:53.220 --> 00:54.480 Zdarzyło się kilka takich 00:54.480 --> 00:56.760 przypadków, a łatki zostały opracowane 00:56.760 --> 00:59.310 i wydane przez producentów natychmiast po wykryciu 00:59.310 --> 01:00.840 tych luk. 01:00.840 --> 01:04.080 Ucieczka maszyny wirtualnej jest łatwiejsza do wykonania na hiperwizorze 01:04.080 --> 01:06.330 typu drugiego niż na hiperwizorze typu pierwszego. 01:06.330 --> 01:08.940 Jeśli korzystasz z hiperwizora typu drugiego lub post-it, atakujący 01:08.940 --> 01:10.650 może być w stanie uzyskać dostęp do bazowego 01:10.650 --> 01:12.210 systemu operacyjnego, który faktycznie 01:12.210 --> 01:14.400 hostuje twoje maszyny wirtualne. 01:14.400 --> 01:16.170 Jeśli mogą, mogą następnie eskalować 01:16.170 --> 01:17.370 swoje uprawnienia i uzyskać 01:17.370 --> 01:19.620 dostęp do innych maszyn wirtualnych hostowanych 01:19.620 --> 01:21.203 na tym samym urządzeniu, a w efekcie 01:21.203 --> 01:23.820 utworzyć ucieczkę maszyny wirtualnej. 01:23.820 --> 01:25.620 Aby zapobiec ucieczce maszyny wirtualnej, 01:25.620 --> 01:26.910 zawsze ważne jest, aby upewnić 01:26.910 --> 01:29.790 się, że system operacyjny gościa, system operacyjny 01:29.790 --> 01:33.270 hosta i hiperwizor są aktualne i aktualne. 01:33.270 --> 01:36.750 Po drugie, mamy VM hopping, czyli przeskakiwanie maszyn wirtualnych. 01:36.750 --> 01:38.970 Teraz VM hopping to rodzaj ataku, w którym aktor 01:38.970 --> 01:40.440 zagrożenia próbuje przenieść 01:40.440 --> 01:43.860 się z jednej maszyny wirtualnej na inną na tym samym hoście. 01:43.860 --> 01:46.530 Atak typu VM hopping będzie koncentrował się na wykorzystaniu 01:46.530 --> 01:48.750 hiperwizora oprogramowania do wirtualizacji lub 01:48.750 --> 01:51.360 jakiejś funkcji do przemieszczania się między dwiema rzekomo 01:51.360 --> 01:53.730 odizolowanymi maszynami wirtualnymi. 01:53.730 --> 01:56.340 Teraz VM hopping brzmi podobnie do VM escape, ale jest 01:56.340 --> 01:57.960 jedna kluczowa różnica, że VM hopping 01:57.960 --> 02:00.090 koncentruje się teraz na przenoszeniu między 02:00.090 --> 02:02.340 jedną maszyną wirtualną a drugą. 02:02.340 --> 02:03.818 Podczas gdy mówiliśmy o ucieczce maszyny 02:03.818 --> 02:06.720 wirtualnej, koncentruje się ona na dotarciu do podstawowego hiperwizora 02:06.720 --> 02:08.550 lub systemu operacyjnego hosta. 02:08.550 --> 02:10.170 Aby zabezpieczyć się przed przeskakiwaniem maszyn 02:10.170 --> 02:11.820 wirtualnych, należy zawsze upewnić się, że hypervisor 02:11.820 --> 02:13.603 jest aktualny i odpowiednio załatany. 02:13.603 --> 02:15.843 Ponadto należy upewnić się, że systemy operacyjne 02:15.843 --> 02:18.750 gościa i hiperwizor są bezpiecznie skonfigurowane przy użyciu przewodnika 02:18.750 --> 02:20.910 konfiguracji najlepszych praktyk, aby upewnić 02:20.910 --> 02:22.830 się, że nie ma błędnych połączeń między maszynami 02:22.830 --> 02:25.650 wirtualnymi, które powinny być izolowane. 02:25.650 --> 02:27.930 Po trzecie, mamy ucieczkę z piaskownicy. 02:27.930 --> 02:30.000 Piaskownica to mechanizm bezpieczeństwa, który 02:30.000 --> 02:31.710 służy do oddzielania uruchomionych procesów 02:31.710 --> 02:34.620 i programów w celu złagodzenia awarii systemu lub rozprzestrzeniania 02:34.620 --> 02:36.840 się luk w oprogramowaniu. 02:36.840 --> 02:39.960 Najczęściej piaskownice są tworzone przy użyciu maszyn wirtualnych 02:39.960 --> 02:41.370 lub konteneryzacji. 02:41.370 --> 02:44.070 Na przykład przeglądarki internetowe powszechnie wykorzystują koncepcję 02:44.070 --> 02:46.440 piaskownicy do oddzielenia działającego kodu internetowego 02:46.440 --> 02:48.030 od chronionego systemu operacyjnego lub 02:48.030 --> 02:49.950 innego oprogramowania w systemie. 02:49.950 --> 02:51.630 Teraz ucieczka z piaskownicy nastąpi, 02:51.630 --> 02:52.620 gdy atakujący będzie w 02:52.620 --> 02:54.690 stanie obejść zabezpieczenia piaskownicy w celu 02:54.690 --> 02:57.057 uzyskania dostępu do chronionego systemu operacyjnego 02:57.057 --> 02:59.190 dla innych uprzywilejowanych procesów. 02:59.190 --> 03:01.130 Aby chronić swoje systemy przed ucieczką z piaskownicy, 03:01.130 --> 03:02.880 ważne jest, aby upewnić się, że oprogramowanie 03:02.880 --> 03:05.340 i systemy operacyjne są załatane i aktualne, a także upewnić 03:05.340 --> 03:06.173 się, że na kliencie zainstalowane 03:06.173 --> 03:08.460 jest silne oprogramowanie do ochrony punktów końcowych 03:08.460 --> 03:14.490 i że ograniczono rozszerzenia lub dodatki instalowane w przeglądarkach internetowych w przypadku ochrony przed ucieczką z piaskownicy przeglądarki 03:14.490 --> 03:16.920 internetowej. 03:16.920 --> 03:19.530 Po czwarte, mamy kilka obaw, o których musimy porozmawiać, 03:19.530 --> 03:21.600 gdy myślimy o maszynach wirtualnych i środowiskach 03:21.600 --> 03:23.160 zwirtualizowanych. 03:23.160 --> 03:26.250 Obejmuje to takie rzeczy jak migracje i pozostałości danych. 03:26.250 --> 03:27.510 Jedną z głównych zalet korzystania 03:27.510 --> 03:28.890 ze środowiska wirtualnego jest 03:28.890 --> 03:30.570 możliwość migracji maszyny wirtualnej 03:30.570 --> 03:33.270 z jednego hosta na inny, nawet podczas jej działania. 03:33.270 --> 03:35.280 Nazywa się to migracją na żywo. 03:35.280 --> 03:37.290 Teraz ta migracja odbywa się przez sieć. 03:37.290 --> 03:38.700 Dlatego ważne jest, aby zawsze 03:38.700 --> 03:41.276 upewnić się, że migracja odbywa się tylko przez zaufaną sieć 03:41.276 --> 03:43.678 lub taką, która wykorzystuje odpowiednie szyfrowanie 03:43.678 --> 03:46.020 między serwerem ustawiającym maszynę wirtualną a serwerem 03:46.020 --> 03:48.480 odbierającym tę maszynę wirtualną. 03:48.480 --> 03:49.830 Jeśli jednak migracja na żywo odbywa 03:49.830 --> 03:51.570 się za pośrednictwem nieszyfrowanego 03:51.570 --> 03:53.700 połączenia, istnieje możliwość, że dane zawarte 03:53.700 --> 03:56.730 w tej maszynie wirtualnej mogą zostać ujawnione wścibskim oczom lub 03:56.730 --> 03:58.674 ich integralność może zostać naruszona przez 03:58.674 --> 04:01.200 atakującego za pomocą ataku na ścieżce. 04:01.200 --> 04:03.150 Aby temu zapobiec, obrazy maszyn wirtualnych powinny 04:03.150 --> 04:04.710 być szyfrowane przed przesłaniem ich z jednego 04:04.710 --> 04:06.840 serwera na drugi za pośrednictwem sieci. 04:06.840 --> 04:09.810 Pamiętajmy, że serwery to już nie tylko fizyczne urządzenia znajdujące 04:09.810 --> 04:11.580 się w naszych centrach danych, ale także 04:11.580 --> 04:13.680 maszyny wirtualne, które są po prostu plikami 04:13.680 --> 04:16.410 znajdującymi się w jakimś systemie plików. 04:16.410 --> 04:18.930 Pliki te mogą zostać skradzione przez atakującego. 04:18.930 --> 04:21.300 Innym poważnym problemem podczas korzystania z maszyn 04:21.300 --> 04:23.024 wirtualnych w środowisku chmury są pozostałości 04:23.024 --> 04:24.420 danych, które mogą pozostać po 04:24.420 --> 04:27.150 usunięciu nadmiaru serwerów wirtualnych. 04:27.150 --> 04:29.520 Wielu dostawców usług w chmurze korzysta z blokowej pamięci masowej, 04:29.520 --> 04:31.323 która może pozwolić na pozostawienie danych, 04:31.323 --> 04:34.230 które nie są już potrzebne, na ich urządzeniach pamięci masowej. 04:34.230 --> 04:36.622 Jeśli nie zostaną one prawidłowo usunięte, dostęp do nich 04:36.622 --> 04:38.700 mogą uzyskać nieupoważnieni użytkownicy. 04:38.700 --> 04:40.620 Aby złagodzić zagrożenie związane z pozostałościami 04:40.620 --> 04:42.270 danych, należy zawsze szyfrować lokalizacje 04:42.270 --> 04:43.680 przechowywania maszyn wirtualnych i 04:43.680 --> 04:45.240 upewnić się, że klucz szyfrowania jest niszczony 04:45.240 --> 04:47.430 za każdym razem, gdy maszyna wirtualna nie jest już potrzebna 04:47.430 --> 04:49.020 i zostaje wycofana. 04:49.020 --> 04:50.160 Ostatnią rzeczą, którą musimy omówić 04:50.160 --> 04:52.650 pod względem bezpieczeństwa, jest rozprzestrzenianie się maszyn wirtualnych, 04:52.650 --> 04:54.990 znane również jako rozprzestrzenianie się maszyn wirtualnych. 04:54.990 --> 04:57.720 Obecnie rozprzestrzenianie się maszyn wirtualnych to niekontrolowane 04:57.720 --> 04:59.664 wdrażanie jednej lub więcej maszyn wirtualnych. 04:59.664 --> 05:01.920 Jest to ogromny obszar podatności na zagrożenia 05:01.920 --> 05:03.540 dla organizacji, ponieważ nieuczciwe 05:03.540 --> 05:05.340 maszyny wirtualne są instalowane 05:05.340 --> 05:06.540 bez autoryzacji w całej 05:07.403 --> 05:09.030 sieci. 05:09.030 --> 05:11.730 Oznacza to, że zarządzanie systemem nie jest wykonywane 05:11.730 --> 05:14.460 dla tych maszyn, ponieważ nie wiesz o ich istnieniu. 05:14.460 --> 05:15.990 A ponieważ nie wiesz, że istnieją, 05:15.990 --> 05:17.610 nie robisz poprawek bezpieczeństwa, 05:17.610 --> 05:20.370 nie aktualizujesz i nie instalujesz rozwiązań antywirusowych, 05:20.370 --> 05:23.130 aby chronić te maszyny. 05:23.130 --> 05:25.845 Z tego powodu te maszyny wirtualne stają się bardzo 05:25.845 --> 05:27.300 podatne na ataki. 05:27.300 --> 05:29.310 A jeśli atakujący znajdzie jedną z tych nieuczciwych 05:29.310 --> 05:30.843 maszyn wirtualnych, która została spowodowana 05:30.843 --> 05:33.330 rozrostem maszyn wirtualnych, będzie mógł ją zaatakować i wykorzystać 05:33.330 --> 05:36.480 jako punkt zwrotny do reszty sieci, a następnie spróbować ucieczki maszyn wirtualnych 05:36.480 --> 05:40.860 lub przeskoczenia maszyn wirtualnych do innych obszarów sieci. 05:40.860 --> 05:42.270 Należy więc o tym pamiętać, ponieważ 05:42.270 --> 05:45.240 rozprzestrzenianie się maszyn wirtualnych jest dużym problemem, 05:45.240 --> 05:46.725 zwłaszcza jeśli w sieci pracuje 05:46.725 --> 05:49.470 wielu wykonawców i programistów, którzy nie są częścią normalnego 05:49.470 --> 05:52.290 zespołu i nie przestrzegają normalnych procesów kontroli 05:52.290 --> 05:54.000 zmian. 05:54.000 --> 05:56.880 Ponownie w tej lekcji rozmawialiśmy o niektórych wymaganiach bezpieczeństwa, 05:56.880 --> 05:59.045 o których powinieneś pomyśleć, oraz o niektórych lukach 05:59.045 --> 06:00.810 w zabezpieczeniach, które mogą być sprzeczne 06:00.810 --> 06:03.360 z tymi wymaganiami bezpieczeństwa. 06:03.360 --> 06:06.330 Obejmuje to takie rzeczy jak ucieczki maszyn wirtualnych, przeskakiwanie maszyn wirtualnych, 06:06.330 --> 06:09.303 ucieczki z piaskownicy i rozprzestrzenianie się maszyn wirtualnych.