ESXI SECURITY
VIRTUALISATIE EN VEILIGHEID
De virtuele machines zijn maar zo veilig als de onderliggende hypervisor
Als die kwetsbaar is: alle VMs in gevaar!
Er zijn een aantal technologieën die gebruikt worden om hypervisors te beveiligen
Detailinfo niet van bekend, dat zou een beetje het doel voorbij schieten
Memory Hardening:
User mode toepassingen en executables bevinden zich op willekeurige, random geheugen adressen.
Maakt gerichte aanvallen op specifieke user mode code moeilijker
Kernel Module Integrity:
Hypervisors zullen bepaalde software (bv. drivers) enkel laden als deze een geldige digitale
handtekening van een vertrouwde partner bevatten
Trusted Platform Module (TPM):
Houdt in de gaten dat het computersysteem zijn integriteit behoudt.
Integriteit = bekende hardware + bekende software + bekend gedrag
Indien daar variaties opzitten: probleem!!
TPM werkt met codes die verspreid doorheen een systeem worden bijgehouden
Werkt met een TPM chip die zwaar versleuteld is
Deze bevat halve codes
Andere helft van de codes op de opslagruimte (op verschillende locaties)
Wordt bv de disk die een deel van de codes bevat uit het apparaat verwijderd →
integriteit van het platform geschonden → TPM merkt dit doordat de codes niet
meer compleet zijn → Platform wordt als corrupt beschouwd en start niet meer
ESXI VIRTUAL STORAGE CONCEPTEN
STORAGE TOEGANGSMOGELIJKHEDEN VANAF EEN ESXI HOST
Verschillende ESXi hosts
hebben in de praktijk gedeelde
toegang tot achterliggende
storage (laag met naam backing
in het schema)
In dit schema komen heel veel
storage concepten aan bod die
nog niet expliciet behandeld
werden.
We maken nu eerst een
zijsprong om deze toe te
lichten, en gaan daarna verder
met wat de mogelijkheden van
ESXi zijn.
ZIJSPRONG: WAT WORDT VERSTAAN ONDER “STORAGE”
Storage = opbergruimte
Maar niet enkel dat ....
Het draait hem bij storage ook rond zaken zoals:
Centralisatie van data belangrijk voor verschillende hosts
Schaalbaarheid van de capaciteit
Samenwerking tussen verschillende opslagmedia
Controle van de data op de opslagmedia
Bescherming van de data
Beschikbaarheid van de data
Archivering
, Back-up en recovery snelheid …
ZIJSPRONG: DRIE TYPES VAN STORAGE
Storage is meer dan enkel de opbergruimte
Is uitgegroeid tot een volledige specialisatie binnen de IT
Storage oplossingen moeten ook voldoen aan de CAMPUS eisen (Cost, Availability, Manageability,
Performance, Useability, Security)
Binnen het kader van storage zijn er 3 hoofdgroepen:
DAS
NAS
SAN
ZIJSPRONG: DAS = DIRECTLY ATTACHED STORAGE
Niet-netwerk geconnecteerde vorm van opslagruimte
Hardware mogelijkheden
Hard-disk
Tape-drive
USB-drive
SSD
Hardware maakt integraal deel uit van de host die aanspraak maakt op de opslagruimte
Mogelijk wel via het netwerk bereikbaar door andere hosts, maar niet als de DAS host zelf uit staat
Sharing van opslagruimte via applicatielaag protocollen zoals FTP, HTTP, CIFS, SMB ...
ZIJSPRONG: NAS = NETWORK ATTACHED STORAGE
Is hardware die volledig dedicated is aan opslag
Hardware kan rechtstreeks aan het netwerk gekoppeld worden
Benaderbaar via klassieke TCP/IP verbindingen
Hardware waarop speciaal besturingssysteem draait met services die allen te maken hebben met storage
en het beheer daarvan:
Sharing mogelijkheden
Permissions
Back-ups
RAID
Defragmentatie …
ZIJSPRONG: SAN = STORAGE AREA NETWORK
Een netwerk van aan elkaar gekoppelde storage devices.
Een array van hard-disk, tape-libraries, SSD’s, ...
Hoe de data verspreid is over verschillende storage devices, wordt door de SAN software architectuur
volledig verborgen voor de hosts die gebruik maken van wat er op de storage staat
De gebruikers van de storage (= servers) weten vaak niet dat wat ze van data gebruiken, op een SAN
staat
Lijkt alsof het lokaal staat bij de host in kwestie
Te benaderen via het netwerk, maar niet via klassieke TCP/IP
Dedicated protocollen om een SAN te benaderen en er mee te communiceren
, ZIJSPRONG: DAS VERSUS NAS VERSUS SAN
DAS
Opslag + het filesysteem dat deze
aanstuurt + de bijhorende application
software zitten allemaal in 1 host
NAS
Opslag + een dedicated OS met
filesysteem om deze aan te sturen
vormen een host.
De applicaties die de data nodig
hebben, draaien op een andere host.
Beide hosts communiceren via
standaard TCP/IP protocollen
SAN
Storage vormt op zichzelf een cluster
die via speciale protocollen kan
aangesproken worden
Het filesysteem en de applicaties die
gebruik maken van de opslag zitten op
een andere host
ZIJSPRONG: NAS BESPREKING
Meestal kant- en klare box
Disken meestal nog apart aan te kopen
Plaats voor meerdere disken (aantal is NAS afhankelijk)
Best identieke disken kopen voor RAID configuraties
Is voorzien van:
RJ45 interface
TCP/IP stack
SMB/ CIFS en NFS ondersteuning
Eigen OS (vaak Linux based)
Voorzien van tools voor documentbeheer en opslagbeheer (quota, back-up tools, file sharing tools, file
transfer tools, media streaming mogelijkheden, ...)
ZIJSPRONG: SAN BESPREKING
Set van verschillende, met elkaar verbonden storage devices
Communicatie met deze cluster verloopt niet via file transfer protocollen!
FTP, HTTP, SMB, CIFS, NFS, ...
Communicatie verloopt via block-level protocollen
ATA, SCSI
Configuratie zorgt ervoor dat gebruiker een logische view voorgeschoteld krijgt van een deel van de
opslagruimte relevant voor hem.
Logische view weerspiegelt niet noodzakelijk de fysieke setup van de disken
VIRTUALISATIE EN VEILIGHEID
De virtuele machines zijn maar zo veilig als de onderliggende hypervisor
Als die kwetsbaar is: alle VMs in gevaar!
Er zijn een aantal technologieën die gebruikt worden om hypervisors te beveiligen
Detailinfo niet van bekend, dat zou een beetje het doel voorbij schieten
Memory Hardening:
User mode toepassingen en executables bevinden zich op willekeurige, random geheugen adressen.
Maakt gerichte aanvallen op specifieke user mode code moeilijker
Kernel Module Integrity:
Hypervisors zullen bepaalde software (bv. drivers) enkel laden als deze een geldige digitale
handtekening van een vertrouwde partner bevatten
Trusted Platform Module (TPM):
Houdt in de gaten dat het computersysteem zijn integriteit behoudt.
Integriteit = bekende hardware + bekende software + bekend gedrag
Indien daar variaties opzitten: probleem!!
TPM werkt met codes die verspreid doorheen een systeem worden bijgehouden
Werkt met een TPM chip die zwaar versleuteld is
Deze bevat halve codes
Andere helft van de codes op de opslagruimte (op verschillende locaties)
Wordt bv de disk die een deel van de codes bevat uit het apparaat verwijderd →
integriteit van het platform geschonden → TPM merkt dit doordat de codes niet
meer compleet zijn → Platform wordt als corrupt beschouwd en start niet meer
ESXI VIRTUAL STORAGE CONCEPTEN
STORAGE TOEGANGSMOGELIJKHEDEN VANAF EEN ESXI HOST
Verschillende ESXi hosts
hebben in de praktijk gedeelde
toegang tot achterliggende
storage (laag met naam backing
in het schema)
In dit schema komen heel veel
storage concepten aan bod die
nog niet expliciet behandeld
werden.
We maken nu eerst een
zijsprong om deze toe te
lichten, en gaan daarna verder
met wat de mogelijkheden van
ESXi zijn.
ZIJSPRONG: WAT WORDT VERSTAAN ONDER “STORAGE”
Storage = opbergruimte
Maar niet enkel dat ....
Het draait hem bij storage ook rond zaken zoals:
Centralisatie van data belangrijk voor verschillende hosts
Schaalbaarheid van de capaciteit
Samenwerking tussen verschillende opslagmedia
Controle van de data op de opslagmedia
Bescherming van de data
Beschikbaarheid van de data
Archivering
, Back-up en recovery snelheid …
ZIJSPRONG: DRIE TYPES VAN STORAGE
Storage is meer dan enkel de opbergruimte
Is uitgegroeid tot een volledige specialisatie binnen de IT
Storage oplossingen moeten ook voldoen aan de CAMPUS eisen (Cost, Availability, Manageability,
Performance, Useability, Security)
Binnen het kader van storage zijn er 3 hoofdgroepen:
DAS
NAS
SAN
ZIJSPRONG: DAS = DIRECTLY ATTACHED STORAGE
Niet-netwerk geconnecteerde vorm van opslagruimte
Hardware mogelijkheden
Hard-disk
Tape-drive
USB-drive
SSD
Hardware maakt integraal deel uit van de host die aanspraak maakt op de opslagruimte
Mogelijk wel via het netwerk bereikbaar door andere hosts, maar niet als de DAS host zelf uit staat
Sharing van opslagruimte via applicatielaag protocollen zoals FTP, HTTP, CIFS, SMB ...
ZIJSPRONG: NAS = NETWORK ATTACHED STORAGE
Is hardware die volledig dedicated is aan opslag
Hardware kan rechtstreeks aan het netwerk gekoppeld worden
Benaderbaar via klassieke TCP/IP verbindingen
Hardware waarop speciaal besturingssysteem draait met services die allen te maken hebben met storage
en het beheer daarvan:
Sharing mogelijkheden
Permissions
Back-ups
RAID
Defragmentatie …
ZIJSPRONG: SAN = STORAGE AREA NETWORK
Een netwerk van aan elkaar gekoppelde storage devices.
Een array van hard-disk, tape-libraries, SSD’s, ...
Hoe de data verspreid is over verschillende storage devices, wordt door de SAN software architectuur
volledig verborgen voor de hosts die gebruik maken van wat er op de storage staat
De gebruikers van de storage (= servers) weten vaak niet dat wat ze van data gebruiken, op een SAN
staat
Lijkt alsof het lokaal staat bij de host in kwestie
Te benaderen via het netwerk, maar niet via klassieke TCP/IP
Dedicated protocollen om een SAN te benaderen en er mee te communiceren
, ZIJSPRONG: DAS VERSUS NAS VERSUS SAN
DAS
Opslag + het filesysteem dat deze
aanstuurt + de bijhorende application
software zitten allemaal in 1 host
NAS
Opslag + een dedicated OS met
filesysteem om deze aan te sturen
vormen een host.
De applicaties die de data nodig
hebben, draaien op een andere host.
Beide hosts communiceren via
standaard TCP/IP protocollen
SAN
Storage vormt op zichzelf een cluster
die via speciale protocollen kan
aangesproken worden
Het filesysteem en de applicaties die
gebruik maken van de opslag zitten op
een andere host
ZIJSPRONG: NAS BESPREKING
Meestal kant- en klare box
Disken meestal nog apart aan te kopen
Plaats voor meerdere disken (aantal is NAS afhankelijk)
Best identieke disken kopen voor RAID configuraties
Is voorzien van:
RJ45 interface
TCP/IP stack
SMB/ CIFS en NFS ondersteuning
Eigen OS (vaak Linux based)
Voorzien van tools voor documentbeheer en opslagbeheer (quota, back-up tools, file sharing tools, file
transfer tools, media streaming mogelijkheden, ...)
ZIJSPRONG: SAN BESPREKING
Set van verschillende, met elkaar verbonden storage devices
Communicatie met deze cluster verloopt niet via file transfer protocollen!
FTP, HTTP, SMB, CIFS, NFS, ...
Communicatie verloopt via block-level protocollen
ATA, SCSI
Configuratie zorgt ervoor dat gebruiker een logische view voorgeschoteld krijgt van een deel van de
opslagruimte relevant voor hem.
Logische view weerspiegelt niet noodzakelijk de fysieke setup van de disken
