האם צריך להתייחס לטכנולוגיית הוירטואליזציה גם בהיבטי אבטחת מידע?

26 במאי 2009

תגובה אחת

עולם טכנולוגיות המחשוב התפתח
רבות בשנים האחרונות, בעיקר בהיבטי אבטחת מידע. הטכנולוגיות

החמות היום הן וירטואליזציה של
מערכות הפעלה ואפליקציות. וירטואליזציה מאפשרת באופן כללי

שימוש יעיל בתשתיות החומרה, כלומר
יצירת "ענן מחשוב" המכיל את כל תשתיות הארגון (בשאיפה)

במקום מרכזי אחד – חוות השרתים.

 

יחד עם יתרונות התפעול והעלויות
המוזלות עבור החומרה, קיימות מגרעות לטכנולוגיות חדשות מזה

שנים. רוב הטכנולוגיות ש"נולדות"
בשוק מוכיחות את עצמן כפגיעות בפני התקפות זדוניות, אפילו

לאחר הטמעות רבות בארגונים.
אסור לשכוח שרוב הטכנולוגיות שמוגדרות ברמה הלוגית נפרצות בסופו

של דבר, מדובר בעניין של זמן.

 

היצרנים הגדולים של עולם
הוירטואליזציה כבר הספיקו להיפרץ ע"י מתקפות בודדות, כגון הרצת קוד

עויין על משאבי מערכות הפעלה
וירטואליות שנחשבות ל"מבודדות" ממערכת ההפעלה התוקפת.

בוירטואליזציה נדרש להשקיע
מחשבה לא רק בהיבטים הטכנולוגים התפעוליים אלא גם בהיבטי

האבטחה היות וככל שעולה
הפונקציונאליות התפעולית תיתכנה פרצות חדשות. דוגמאות טובות

המוכרות מעולם אבטחת המידע הן
סגירת שירותים, הגבלת משתמשים, הגדרת הזדהות, תכנון נכון של

ארכיטקטורה ועוד.

 

מעבר להיבטי מערכות ההפעלה חשוב
להתייחס גם לוירטואליזציה של אפליקציות. בארגונים רבים

משתמשים בשיטה זו על מנת לגשת
מהרשת הפנימית של הארגון לאינטרנט באמצעות דפדפן או תוכנת

דואר אלקטרוני. האפליקציות רצות
בפועל על השרתים, ומספיק למצוא "טעות" אחת באפליקציה או

בהגדרותיה על מנת להשתלט על
השרת, לדוגמה: בהרצת אפליקציה עם הרשאות ניהוליות ברמת השרת,

אם יימצא ויופעל קוד זדוני אזי
קיים סיכון לקבלת הרשאות ניהוליות על השרת ע"י התוקף.

 

לסיכום, מעבר ליתרונות הרבים
שיש לוירטואליזציה, צריך לבדוק את הסיכונים הפוטנציאליים של

התשתית על מנת לאפשר לארגון
לתפקד באופן הטוב ביותר.

 

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

תגובה אחת

  1. הוד כספי16 ביוני 2009 ב 3:11

    כל ההכבוד, התחום הזה צריך לעלות ולהבדק ואולי הוא ישנו בטיפול כבר צריך לבדוק זאת…

    הגב