R: [ml] Whitepaper sulla virtualizzazione e sicurezza

> >-----Messaggio originale-----
> >Da: ml-bounces@xxxxxxxxxxxxx 
> >[mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di nemesis
> >Inviato: domenica 1 aprile 2007 14.43
> >A: ml@xxxxxxxxxxxxx
> >Oggetto: Re: [ml] Whitepaper sulla virtualizzazione e sicurezza
> >

> > mi trovo ad avere un 
> >sistema fisico collegato a diverse reti fisiche con buona 
> >pace del firewall che sta a monte. Anche se Xen/VMWare  
> >rimane in ascolto su una interfaccia, potenzialmente chi 
> >riesce ad accedere a tale sistema puo' comodamente tirarsi 
> >su le rimanenti e saltare tranquillamente in qualsiasi rete voglia.

> >E' paranoia inutile? Come vi ponete in questa situazione?


Premesso che io ho solo esperienza su Vmware ESX, la messa in sicurezza
delle varie macchine virtuali personalmente l'ho realizzata utilizzando
un accesso dedicato (e protetto) tra Console di Management del server e
postazione di controllo. Ovviamente il server e' dotato di piu'
interfacce GbE (alcune in bonding) assegnate alle varie reti.
Ove possibile non creo "teste di ponte", ovvero macchine che hanno
accesso a piu' di una rete, e dove cio' e' invece richiesto, ho
provveduto anche ad installare un'appliance di firewalling virtuale
opportunamente configurata per gestire questo tipo di configurazione. Se
anche da una VM si trova la possibilita' di accedere ad interfacce/reti
non previste dall'Admin, ci pensa il Virtual Firewall.
Al momento attuale le vulnerabilita' pubblicate per questo sistema di
virtualizzazione erano molto piu' a livello di servizi attivi (spesso
servizi non necessari) sul linux 2.4.x patchato che e' il cuore del
VMWare ESX.
Mi fido abbastanza di questa architettura da avere diverse VM attestate
direttamente su delle linee DSL protette in maniera abbastanza blanda: i
sistemi di HIDS presenti sulle altre VM (attestate su LAN differenti e
non condivise) non hanno evidenziato al momento nessun comportamente
anomalo.
Tra la paranoia e l'incoscienza, secondo me la virtu' sta nel mezzo (se
si parla di servizi ed applicazioni non troppo critiche), altrimenti
entri in un circolo vizioso da cui e' difficile uscire :-) 

Saluti
RR

--------------------------------------------------------------------

CONFIDENTIALITY NOTICE

This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to webmaster@xxxxxxxxxxxxxxxxx

        Thank you

                                        www.telecomitalia.it

--------------------------------------------------------------------