Shielded VM-mel bővül a Google Cloud Platform
Az egyelőre beta állapotban lévő funkció jelentősen növelheti a publikus felhő biztonságát.
Új biztonsági funkcióval bővíti felhős szolgáltatását a Google. Ahogy már az elnevezés is utal rá, a Shielded VM a cloudban futó virtuális gépek bástyáit hivatott erősíteni, például rootkitekkel, malware-ekkel, vagy más, adatlopásnak utat nyitó támadásokkal szemben. A GCP-ben egyelőre beta állapotban elérhető funkciónak hála a szolgáltatás képes lehet riasztást küldeni, amennyiben a virtuális gép integritásában bármi gyanús bukkanna fel. Emellett a Shielded VM megakadályozhatja, hogy a védelem alatt álló gépet klónozva (snap-shotting) más, az eredetitől eltérő kontextusban futtassák a támadók.
A Shielded VM a gyakorlatban a hypervisor oldaláról érkező támadások (illetve a puszta betekintési szándék) ellen nyújt védelmet, az ilyen virtuális géphez a publikus felhő üzemeltetője sem fér hozzá. Ehhez a szerverek UEFI-jében található Secure Boot, illetve vTPM (virtual Trusted Platform Module) biztonsági funkciók együttesére alapozik. Ezeknek hála a rendszer képes "lepecsételt" titkosítási kulcsot generálni, illetve azt biztonságosan tárolni, majd pedig azt a VM-ek biztonságos bootolásához felhasználni. Ily módon biztosítható, hogy a virtuális gép kizárólag hitelesített szoftvert futtasson, illetve elérhető az úgynevezett Measured Boot funkció is.
IT security meetup és Benk Dénes a SYSADMINDAY-en 4 klassz IT biztonsági előadással, több millió forintos képzési nyereményalappal, és Benk Dénes standupjával vár a hazai SYSADMINDAY július 19-én.
Utóbbi egy naplózási szolgáltatás, amely jegyzi az indításnál betöltődő komponensek sorrendjét, illetve azok különböző paramétereit (pl. betöltéshez szükséges idő), amelyek későbbi esetleges eltéréseiből következtetni lehet egy lehetséges behatolásra. Ez utóbbit a Google már bedrótozta Stackdriver monitorozó és menedzsment eszközébe, amelynek GUI-ján könnyű nyomon követni a kritikus értékek alakulását.
Ily módon a Secure Boot és Measured Boot erős védelmet nyújthat a különféle, a VM indulásakor betöltődő rootkitek, bootkitek, valamint kernelszintű malware-ek ellen. Ehhez társul még, hogy a vTPM segítségével a VM komplett virtuális meghajtója titkosítható, így az adatokhoz csak a gép anomáliáktól mentes bootolási folyamatát követően lehet hozzáférni. Ezzel gyakorlatilag biztosítható, hogy a preparált vagy klónozott virtuális gép tartalmához nem szerezhet elérést a támadó.
A Shielded VM egyébként már nem számít újdonságnak a publikus felhő világában, az ugyanis például a Microsoft Azure-ben már jó néhány éve elérhető. A Google fejlesztése tehát kézenfekvő, hisz a keresőóriás, mind pedig annak felhős konkurense folyamatos fejlesztésekkel igyekszik növelni felhős szolgáltatásának biztonságát. A Microsoft például tavaly ősszel jelentette be Confidential Compute megoldását, amely lehetővé teszi, hogy a platformon futó alkalmazások által használt adatok akkor is titkosítva maradjanak, mikor azokat az app éppen a memóriában dolgozza fel. Az adatok így nem csak tárolás, illetve hálózati átvitel közben védhetők, azaz még maga a Microsoft sem fér hozzájuk, ennek megfelelően pedig kormányzati kérésre sem tudja kiadni azokat - a megoldás nem utolsó sorban a potenciális támadók ellen is nagyobb védelmet biztosít.
Ezt májusban a Google Asylo követte, amelyet ugyancsak a kiemelten biztonságos, "confidential computing" alkalmazásokhoz fejlesztettek ki. A Google megoldása egy nyílt forrású frameworkot és egy SDK-t is tartalmaz, amelyeket a keresőóriás kifejezetten a megbízható végrehajtási környezetekben, vagy TTE-kben (Trusted Execution Envrionment) futtatott appok fejlesztésére szán. A TTE-k arra szolgálnak, hogy saját végrehajtási környezetekkel, enclave-ekkel az egyes szoftverstackek alsó rétegeit védjék a támadásoktól, mint a hypervisor, az operációs rendszer, vagy akár a driverek és firmware-ek.
Ezen átlagosnál nagyobb biztonsághoz ugyanakkor TTE-hez szabott alkalmazás vagy konténer szükséges, amely nem minden esetben áll rendelkezésre. Ezek hiányában jöhet kapóra a Shielded VM, amely az operációs rendszerek biztonsági rései mellett akár a hanyagságból a támadó kezére jutott hitelesítőadatok felhasználásával szemben is védelmet nyújthat.