SlideShare ist ein Scribd-Unternehmen logo

Sicurezza della virtualizzazione - SMAU 2009

Claudio Criscione
Claudio Criscione

Talk introduttivo alle tematiche di sicurezza degli ambienti virtuali, realizzato a SMAU 2009.

TechnologieBusiness
1 von 33
Downloaden Sie, um offline zu lesen
Virtualization Security Smau 2009 Claudio Criscione
Claudio Criscione
Questa versione della presentazione contiene slide extra di commento alla presentazione originale, identificabili dal logo di Seacure.it
Il peccato originale – la sicurezza della virt è uguale a quella fisica Il peccato originale
L'errore principale nella gestione della sicurezza della virtualizzazione: supporre che i vecchi metodi di governance funzionino. L'astrazione logica della virtualizzazione è una pura finzione di progettazione.
Errore: non tutto è uguale Tutto come prima
Server Insicuri Sotto l'hypervisor
L'host di virtualizzazione è dotato di un comune sistema operativo. Come tale, può essere aggredito direttamente. Anche altri software in esecuzione sul sistema sono potenziali bersagli.
Sicurezza dell'interfaccia
L'interfaccia di amministrazione dei sistemi di virtualizzazione è una applicazione come tutte le altre. Soggetta a vulnerabilità e spesso non correttamente documentata.
Sicurezza dei Client insicuri client
VM hopping VM Hopping
Il VM Hopping consiste nel “saltare” tra una Virtual Machine e l'altra o tra una VM ed il sistema Host. E' la madre di tutte le vulnerabilità della virtualizzazione. E' già successo: CloudBurst
Hardening Hardening
Le macchine virtuali possono essere tanto sicure quanto quelle fisiche? Potenzialmente, grazie alle funzionalità di ispezione della memoria e dei dischi, si:. Anzi, più sicure. Praticamente, a causa di limitazioni negli hypervisor, no. Per esempio nel caso di UDEREF.
Virtual Appliances Virtual Appliance
Le virtual appliance sono percepite come semplici applicazioni da inserire nella rete. In realtà oltre all'applicazione sono dotate di un intero sistema operativo. Problemi di gestione, amministrazione e fiducia.
Templates
La sicurezza dei template è un fattore critico della sicurezza dell'intera infrastruttura. Compromettere il template significa prendere il controllo di tutti i sistemi creati in futuro.
Sistemi di monitoraggio Monitoraggio
Il monitoraggio delle macchine virtuali è molto più complesso. Impossibile recuperare informazioni dall'hardware. Zone “buie” nella comunicazione tra macchine virtuali sul medesimo host fisico.
Instabilità della rete Instabilità della rete
La tecnologia degli snapshot e la possibilità di avviare o fermare macchine virtuali in tempo reale modificano la “linea del tempo” dell'infrastruttura. Non è più possibile garantire la stabilità della gestione delle macchine.
VMSprawl VM Sprawl
L'aumento incontrollato del numero delle macchine virtuali rende impossibile gestirle. Quali sono le macchine? Chi le aggiorna e ne verifica la sicurezza? Chi sono gli amministratori? Quale è il processo di creazione delle VM?
Segregation of duties Segregation of duties
Il paradigma di amministrazione delle macchine virtuali viola i principi della SoD. La stessa entità logica crea le macchine, le profila, installa il sistema operativo, configura la rete e prepara le applicazioni.
Virtualization Management Review La revisione della governance degli aspetti legati alla virtualizzazione. Virtualization Architecture Review L'analisi degli aspetti tecnici dell'infrastruttura.
Grazie per l'attenzione Virtualization Security Smau 2009 Claudio Criscione c.criscione@securenetwork.it

Empfohlen

The Good The Bad The Virtual
The Good The Bad The VirtualThe Good The Bad The Virtual
The Good The Bad The VirtualClaudio Criscione
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
Standing on the clouds
Standing on the cloudsStanding on the clouds
Standing on the cloudsClaudio Criscione
 
Introduzione alla computer forensic - acquisizione
Introduzione alla computer forensic - acquisizioneIntroduzione alla computer forensic - acquisizione
Introduzione alla computer forensic - acquisizioneClaudio Criscione
 
[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization Security[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization SecurityClaudio Criscione
 
Virtually Pwned
Virtually PwnedVirtually Pwned
Virtually PwnedClaudio Criscione
 
Defending against Java Deserialization Vulnerabilities
Defending against Java Deserialization Vulnerabilities Defending against Java Deserialization Vulnerabilities
Defending against Java Deserialization VulnerabilitiesLuca Carettoni
 
Sicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroSicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroCentro di competenza ICT-SUD
 

Empfohlen

The Good The Bad The Virtual
The Good The Bad The VirtualThe Good The Bad The Virtual
The Good The Bad The VirtualClaudio Criscione
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
Standing on the clouds
Standing on the cloudsStanding on the clouds
Standing on the cloudsClaudio Criscione
 
Introduzione alla computer forensic - acquisizione
Introduzione alla computer forensic - acquisizioneIntroduzione alla computer forensic - acquisizione
Introduzione alla computer forensic - acquisizioneClaudio Criscione
 
[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization Security[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization SecurityClaudio Criscione
 
Virtually Pwned
Virtually PwnedVirtually Pwned
Virtually PwnedClaudio Criscione
 
Defending against Java Deserialization Vulnerabilities
Defending against Java Deserialization Vulnerabilities Defending against Java Deserialization Vulnerabilities
Defending against Java Deserialization VulnerabilitiesLuca Carettoni
 
Sicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroSicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroCentro di competenza ICT-SUD
 
CloudWALL VAM | Vulnerability Management
CloudWALL VAM | Vulnerability ManagementCloudWALL VAM | Vulnerability Management
CloudWALL VAM | Vulnerability ManagementCloudWALL Italia
 
Virtualizzazione&Cloud Computing
Virtualizzazione&Cloud ComputingVirtualizzazione&Cloud Computing
Virtualizzazione&Cloud ComputingVMEngine
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriSimone Onofri
 
Sophos 4.5: Upgrade Endpoint
Sophos 4.5: Upgrade EndpointSophos 4.5: Upgrade Endpoint
Sophos 4.5: Upgrade EndpointGiovanni Solone
 
Virtualizzazione - Roberto Anzalone
Virtualizzazione - Roberto AnzaloneVirtualizzazione - Roberto Anzalone
Virtualizzazione - Roberto AnzaloneAlug Avola Linux User Group
 
Joomla day 2010 Virtualizzare in locale pro e contro
Joomla day 2010 Virtualizzare in locale pro e controJoomla day 2010 Virtualizzare in locale pro e contro
Joomla day 2010 Virtualizzare in locale pro e controAndrea Adami
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureMarcoMarinello2
 
Virtualizzazione
VirtualizzazioneVirtualizzazione
VirtualizzazionePaolo Campegiani
 
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMHackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMSimone Onofri
 
Claudio Panerai - Achab
Claudio Panerai - Achab Claudio Panerai - Achab
Claudio Panerai - Achab VMUG IT
 
Nss 2007
Nss 2007Nss 2007
Nss 2007Antonio Parata
 
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015VMUG IT
 
Seminario VMWare 2014
Seminario VMWare 2014Seminario VMWare 2014
Seminario VMWare 2014Giuseppe Luciano
 
Virtualizzazione: soluzioni per Server e Client
Virtualizzazione: soluzioni per Server e ClientVirtualizzazione: soluzioni per Server e Client
Virtualizzazione: soluzioni per Server e ClientNicola Bressan
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilitàraffaele_forte
 
Smau 2017. Linee guida per la messa in sicurezza di un server web
Smau 2017. Linee guida per la messa in sicurezza di un server webSmau 2017. Linee guida per la messa in sicurezza di un server web
Smau 2017. Linee guida per la messa in sicurezza di un server webRegister.it
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...Simone Onofri
 
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloudAutomatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloudSonia Pepe
 

Weitere ähnliche Inhalte

Ähnlich wie Sicurezza della virtualizzazione - SMAU 2009

CloudWALL VAM | Vulnerability Management
CloudWALL VAM | Vulnerability ManagementCloudWALL VAM | Vulnerability Management
CloudWALL VAM | Vulnerability ManagementCloudWALL Italia
 
Virtualizzazione&Cloud Computing
Virtualizzazione&Cloud ComputingVirtualizzazione&Cloud Computing
Virtualizzazione&Cloud ComputingVMEngine
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriSimone Onofri
 
Sophos 4.5: Upgrade Endpoint
Sophos 4.5: Upgrade EndpointSophos 4.5: Upgrade Endpoint
Sophos 4.5: Upgrade EndpointGiovanni Solone
 
Joomla day 2010 Virtualizzare in locale pro e contro
Joomla day 2010 Virtualizzare in locale pro e controJoomla day 2010 Virtualizzare in locale pro e contro
Joomla day 2010 Virtualizzare in locale pro e controAndrea Adami
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureMarcoMarinello2
 
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMHackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMSimone Onofri
 
Claudio Panerai - Achab
Claudio Panerai - Achab Claudio Panerai - Achab
Claudio Panerai - Achab VMUG IT
 
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015VMUG IT
 
Virtualizzazione: soluzioni per Server e Client
Virtualizzazione: soluzioni per Server e ClientVirtualizzazione: soluzioni per Server e Client
Virtualizzazione: soluzioni per Server e ClientNicola Bressan
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilitàraffaele_forte
 
Smau 2017. Linee guida per la messa in sicurezza di un server web
Smau 2017. Linee guida per la messa in sicurezza di un server webSmau 2017. Linee guida per la messa in sicurezza di un server web
Smau 2017. Linee guida per la messa in sicurezza di un server webRegister.it
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...Simone Onofri
 
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloudAutomatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloudSonia Pepe
 

Ähnlich wie Sicurezza della virtualizzazione - SMAU 2009 (20)

CloudWALL VAM | Vulnerability Management
CloudWALL VAM | Vulnerability ManagementCloudWALL VAM | Vulnerability Management
CloudWALL VAM | Vulnerability Management
 
Virtualizzazione&Cloud Computing
Virtualizzazione&Cloud ComputingVirtualizzazione&Cloud Computing
Virtualizzazione&Cloud Computing
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofri
 
Sophos 4.5: Upgrade Endpoint
Sophos 4.5: Upgrade EndpointSophos 4.5: Upgrade Endpoint
Sophos 4.5: Upgrade Endpoint
 
Virtualizzazione - Roberto Anzalone
Virtualizzazione - Roberto AnzaloneVirtualizzazione - Roberto Anzalone
Virtualizzazione - Roberto Anzalone
 
Joomla day 2010 Virtualizzare in locale pro e contro
Joomla day 2010 Virtualizzare in locale pro e controJoomla day 2010 Virtualizzare in locale pro e contro
Joomla day 2010 Virtualizzare in locale pro e contro
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
 
Virtualizzazione
VirtualizzazioneVirtualizzazione
Virtualizzazione
 
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMHackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
 
Claudio Panerai - Achab
Claudio Panerai - Achab Claudio Panerai - Achab
Claudio Panerai - Achab
 
Nss 2007
Nss 2007Nss 2007
Nss 2007
 
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015
 
Seminario VMWare 2014
Seminario VMWare 2014Seminario VMWare 2014
Seminario VMWare 2014
 
Virtualizzazione: soluzioni per Server e Client
Virtualizzazione: soluzioni per Server e ClientVirtualizzazione: soluzioni per Server e Client
Virtualizzazione: soluzioni per Server e Client
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
 
Smau 2017. Linee guida per la messa in sicurezza di un server web
Smau 2017. Linee guida per la messa in sicurezza di un server webSmau 2017. Linee guida per la messa in sicurezza di un server web
Smau 2017. Linee guida per la messa in sicurezza di un server web
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...
 
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloudAutomatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloud
 

Sicurezza della virtualizzazione - SMAU 2009

  • 1. Virtualization Security Smau 2009 Claudio Criscione
  • 3. Questa versione della presentazione contiene slide extra di commento alla presentazione originale, identificabili dal logo di Seacure.it
  • 4.
  • 5. Il peccato originale – la sicurezza della virt è uguale a quella fisica Il peccato originale
  • 6. L'errore principale nella gestione della sicurezza della virtualizzazione: supporre che i vecchi metodi di governance funzionino. L'astrazione logica della virtualizzazione è una pura finzione di progettazione.
  • 7. Errore: non tutto è uguale Tutto come prima
  • 9. L'host di virtualizzazione è dotato di un comune sistema operativo. Come tale, può essere aggredito direttamente. Anche altri software in esecuzione sul sistema sono potenziali bersagli.
  • 11. L'interfaccia di amministrazione dei sistemi di virtualizzazione è una applicazione come tutte le altre. Soggetta a vulnerabilità e spesso non correttamente documentata.
  • 12.
  • 13.
  • 14. Sicurezza dei Client insicuri client
  • 16. Il VM Hopping consiste nel “saltare” tra una Virtual Machine e l'altra o tra una VM ed il sistema Host. E' la madre di tutte le vulnerabilità della virtualizzazione. E' già successo: CloudBurst
  • 17. Hardening Hardening
  • 18. Le macchine virtuali possono essere tanto sicure quanto quelle fisiche? Potenzialmente, grazie alle funzionalità di ispezione della memoria e dei dischi, si:. Anzi, più sicure. Praticamente, a causa di limitazioni negli hypervisor, no. Per esempio nel caso di UDEREF.
  • 19. Virtual Appliances Virtual Appliance
  • 20. Le virtual appliance sono percepite come semplici applicazioni da inserire nella rete. In realtà oltre all'applicazione sono dotate di un intero sistema operativo. Problemi di gestione, amministrazione e fiducia.
  • 22. La sicurezza dei template è un fattore critico della sicurezza dell'intera infrastruttura. Compromettere il template significa prendere il controllo di tutti i sistemi creati in futuro.
  • 24. Il monitoraggio delle macchine virtuali è molto più complesso. Impossibile recuperare informazioni dall'hardware. Zone “buie” nella comunicazione tra macchine virtuali sul medesimo host fisico.
  • 26. La tecnologia degli snapshot e la possibilità di avviare o fermare macchine virtuali in tempo reale modificano la “linea del tempo” dell'infrastruttura. Non è più possibile garantire la stabilità della gestione delle macchine.
  • 27. VMSprawl VM Sprawl
  • 28. L'aumento incontrollato del numero delle macchine virtuali rende impossibile gestirle. Quali sono le macchine? Chi le aggiorna e ne verifica la sicurezza? Chi sono gli amministratori? Quale è il processo di creazione delle VM?
  • 29. Segregation of duties Segregation of duties
  • 30. Il paradigma di amministrazione delle macchine virtuali viola i principi della SoD. La stessa entità logica crea le macchine, le profila, installa il sistema operativo, configura la rete e prepara le applicazioni.
  • 31.
  • 32. Virtualization Management Review La revisione della governance degli aspetti legati alla virtualizzazione. Virtualization Architecture Review L'analisi degli aspetti tecnici dell'infrastruttura.
  • 33. Grazie per l'attenzione Virtualization Security Smau 2009 Claudio Criscione c.criscione@securenetwork.it