Re: [ml] Whitepaper sulla virtualizzazione e sicurezza

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2007 ml@sikurezza.org
Soggetto: Re: [ml] Whitepaper sulla virtualizzazione e sicurezza
Mittente: Claudio Telmon
Data: Mon,  2 Apr 2007 16:23:16 +0200 (CEST)

nemesis wrote:
> Vari sono i sistemi da virtualizzare, che solitamente risiedono su reti
> diverse; accentrando tali sistemi in un solo server (VMWare o Xen che
> sia), mi trovo ad avere un sistema fisico collegato a diverse reti
> fisiche con buona pace del firewall che sta a monte. Anche se Xen/VMWare
>  rimane in ascolto su una interfaccia, potenzialmente chi riesce ad
> accedere a tale sistema puo' comodamente tirarsi su le rimanenti e
> saltare tranquillamente in qualsiasi rete voglia.
> Io preferisco differenziare i vari server (DMZ, office, applicativi...).
> E' paranoia inutile? Come vi ponete in questa situazione?

Direi che non è assolutamente paranoia inutile. In senso generale,
scambieresti la separazione del traffico e dei sistemi data dal
firewall con quelle del sistema guest e della virtualizzazione,
tecnologie completamente diverse. Indipendentemente dalla
valutazione che puoi fare sulle caratteristiche di sicurezza dei due
casi, si tratta di una variazione che non può essere solo
conseguenza di un'ottimizzazione, ma deve essere esplicitamente
valutata. Da un punto di vista pratico, come già sottolineato,
mentre da un firewall più o meno sai cosa aspettarti, anche in
termini di affidabilità dei meccanismi, le tecnologie di
virtualizzazione sono decisamente meno consolidate, almeno per gli
attuali prodotti per architetture Intel e simili.

Su firewall-wizards c'è appena stato un thread riguardo a un
problema affine, ovvero come fare firewalling per le singole
macchine virtuali:
https://listserv.icsalabs.com/pipermail/firewall-wizards/2007-March/020178.html
A dire la verità la domanda mi sembra posta in modo confuso, come lo
sono di conseguenza anche le risposte. Il problema dovrebbe essere
come controllare il traffico fra macchine virtuali attestate sulla
stessa interfaccia fisica. Direi che è un problema legato a come il
sistema host implementa la comunicazione fra macchine virtuali.

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org

In risposta a:
- Re: [ml] Whitepaper sulla virtualizzazione e sicurezza, nemesis

Data:
- precedente: R: [ml] Whitepaper sulla virtualizzazione e sicurezza, Rissone Ruggero
- successivo: [ml] Segnalazione Master, Luca Messori
- indice

Argomento:
- precedente: R: [ml] Whitepaper sulla virtualizzazione e sicurezza, Rissone Ruggero
- successivo: Re: [ml] Whitepaper sulla virtualizzazione e sicurezza, Claudio Telmon
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005