Je třeba si uvědomit, že každý SW prochází zpravidla během svého vývoje několika různými prostředími. Běžně se jedná o vývojové, testovací a produkční prostředí. Vzhledem k tomu, že testovací prostředí se může ve velkých společnostech dále dělit na integrační a akceptační, jsme postaveni před poměrně nelehký úkol: zajistit zachování důvěrnosti, integrity a dostupnosti informačních aktiv během celého životního cyklu vývoje softwaru a to ve všech těchto čtyřech prostředích. Podívejme se nyní společně na největší rizika, kterým musíme čelit.

Riziko: narušení důvěrnosti

Hrozba: Únik důvěrných dat z vývojového a testovacího prostředí. Je zajímavé, že zatímco data v produkčním prostředí bývají velice často chráněna a společnosti vydávají nemalé prostředky na jejich ochranu, tak ve vývojovém a testovacím prostředí tomu tak není. Podle průzkumu, který provedla společnosti Compuware a organizace Ponemon Institute, používá většina společností při vývoji a testování aplikací skutečná data.

Opatření: Ve vývojovém a testovacím prostředím nepracovat s reálnými daty. Pokud je to možné, mělo by se provést jejich zneplatnění, např. formou kódování, scrambling, apod. V opačném případě musí být před přenesením skutečných dat do vývojového nebo testovacího prostředí zajištěn souhlas vlastníka. Vlastník by měl být s rizikem úniku důvěrných dat prokazatelně seznámen, toto riziko akceptovat a s testováním nad reálnými daty souhlasit. Podepisování nejrůznějších NDA je sice možné, ale v praxi vás to stejně před únikem důvěrných dat neochrání.

Riziko: narušení integrity

Hrozba: Neupravený konfigurační soubor může způsobit, že server z vývojového nebo testovacího prostředí bude komunikovat přímo se serverem z produkčního prostředí. Může se tak snadno stát, že např. požadavek na smazání vybraných záznamů se místo na DB serveru v testovacím prostředí provede na DB serveru v produkčním prostředí. Pokud se na tuto skutečnost nepřijde včas, může to mít pro společnost zcela katastrofální následky.

Opatření: Jako vhodné řešení se jeví oddělit od sebe vývojové, testovací a produkční prostředí a to tak, aby servery z jednoho prostředí nemohly komunikovat se servery z druhého prostředí.

Hrozba: Osoba s přístupem do produkčního i testovacího prostředí může provést úmyslný nebo úmyslný a z pohledu společnosti nežádoucí zásah do SW vybavení a dat

Opatření: Vývojářský tým by měl mít přístup pouze do vývojového a integračního prostředí, neboť nemá dělat nic jiného než unitní a integrační testy. Testovací tým by měl mít přístup zase jen do akceptačního prostředí.

Hrozba: Osoba s přístupem do více prostředí si může splést prostředí v jakém pracuje a provést nežádoucí změnu v SW vybavení a datech.

Opatření: Pokud chce společnost toto riziko co nejvíce eliminovat, je asi nejlepším řešením zablokovat uživateli po dobu testování přístup do konkrétní aplikace v produkčním prostředí a po skončení testů mu ho zase odblokovat. Vzhledem k tomu, že se každé testování velice pečlivě plánuje (předpokládám, že váš Plán testování obsahuje všechny náležitosti), tak kdo a kdy bude testovat je v dostatečném časovém předstihu známo a tak by pro vás neměl být problém účet testera do aplikace v produkčním prostředí zablokovat. Je na test managerovi, aby si ověřil a zajistil, že přístupy testerů do aplikace v testovacím prostředí jim budou aktivovány až poté, co jim bude zablokován přístup do aplikace v produkčním prostředí. Výhodou tohoto řešení je, že pracovník se nemusí nikam stěhovat a může testování provádět ze svého pracoviště. Tímto způsobem lze výrazně ušetřit, neboť není nutné budovat speciální pracoviště a vybavovat ho dalšími počítači, které by byly navíc mimo testování nevyužity.

Opatření: Přístup do testovacího prostředí umožnit jen z počítačů, které budou umístěny v chráněných a oddělených prostorách společnosti. Na takové pracoviště se bude muset pracovník před započetím testu dostavit. V praxi se bohužel ukazuje, že ani přesun pracovníka na jiný počítač není dostatečnou zárukou. Je možné si to vysvětlit tím, že většina kancelářských prostor vypadá úplně stejně, takže za chvíli pracovník už ani neví, kde že to vlastně sedí.

Opatření: Jednotlivá prostředí od sebe odlišit např. odlišnou barvou okna, změnou promptu, titulku okna, jiným pozadím pracovní plochy apod.. Bohužel, stejně jako v předchozím případě i zde se ukazuje, že toto opatření v praxi selhává, protože v okamžiku, kdy mají testeři současný přístup do více prostředí a mezi jednotlivými prostředími se přepínají, vždy se najde někdo, kdo se splete. Toto opatření lze nasadit snad jen jako doplněk k předchozím opatřením, samo o sobě riziko moc nesnižuje.

Riziko: narušení dostupnosti

Hrozba: Nežádoucí síťová komunikace iniciována servery z vývojového nebo testovacího prostředí může vést až k zahlcení produkčních serverů a síťové infrastruktury.

Opatření: Jako vhodné řešení se jeví oddělit od sebe vývojové, testovací a produkční prostředí. To lze provést např. za použití firewallů a nastavení příslušných pravidel spočívající v povolení komunikaci pouze pro konkrétní IP adresu, protokol a port.

Závěr: Je zajímavé, že ač společností investují nemalé prostředky do vybudování jednotlivých prostředí, tak jejich zabezpečení spočívající v implementaci vhodných opatření věnují minimální nebo vůbec žádnou pozornost. A jak výše uvedená rizika zvládáte vy ve vaší společnosti?

Related posts:

1. Testovací log
2. Testovací scénář
3. Testovací případ

Vzhledem k tomu, že v období krize obecně klesá poptávka po určitých produktech a službách, snaží se společnosti nabízet jen ty produkty a služby, o které je zájem a udržují jen takový stav zaměstnanců, aby byly schopni tuto poptávku uspokojit. Vyšší než nezbytně nutný počet zaměstnanců udržují jen kapitálově silné společnosti nebo ty, co jsou ochotni se dočasně spokojit s minimálním nebo žádným ziskem. Naprostá většina společnosti však nadbytečné zaměstnance propouští.

Jak však tato všeobecně známá skutečnost souvisí s informační bezpečností? Možná více, než jste ochotni si připustit. Z nedávno provedených průzkumů [1] totiž jasně vyplynulo, že většina zaměstnanců je připravena si odnést v okamžiku, kdy se dozvědí, že by měli být propuštěni, spolu se svými osobními věcmi i firemní data. Část z nich v anonymním průzkumu dokonce uvedla, že si je již odnesla a je připravena je využít ve svém novém zaměstnání.

Tito zaměstnanci sice nejsou žádnými experty na IT, ale přesto si velice dobře uvědomují, jakou hodnotu informace, se kterými denně pracují, pro společnost mají. Oproti správcům systémů znají navíc detailně i business procesy a vědí, kdo přesně informace pořizuje, zpracovává a kdo je využívá. K informacím mají v rámci plnění svých pracovních povinností legitimní přístup, a pokud nemají možnost si je odnést, mohou se pokusit je alespoň pozměnit a věřte, že to mohou udělat tak, že na to nemusíte hned tak přijít, viz můj již dříve publikovaný příspěvek na téma „Integrita“. Jedno je jisté, ať už si data odnesou nebo je úmyslně pozmění, nebude škoda, kterou svým jednáním způsobí, rozhodně zanedbatelná.

Nejsou to ale jen vlastní zaměstnanci, kdo společnost ohrožují, ale i konkurenční firmy, které též bojují o holé přežití. V době krize je nutné počítat s tím, že se konkurenční boj zostří a rozhodně se nebude jednat o cenovou válku nebo nějaké laciné marketingové triky, ale o něco mnohem horšího – odposlechy, špionáž, sociální inženýrství atd. Uvědomte si laskavě, že nikdo nechce svou pozici, které si na trhu vydobyl, dobrovolně opustit, každý chce přežít a když půjde do tuhého, začne používat i ne zcela legální praktiky.

Zvýšenou pozornost je proto třeba v době krize věnovat personální bezpečnosti, tedy nejen přijímaní a propouštění zaměstnanců, ale především vyvinout odpovídající úsilí k udržení opravdu kvalitních zaměstnanců, jinak se může stát, že odejdou mezi prvními a s nimi odejde i tolik potřebné know-how.

V době krize také není vhodné snižovat prostředky na informační bezpečnost. Naopak by mělo dojít k jejich navýšení, neboť společnost je v období krize velice zranitelná. Informační aktiva jsou více než kdy jindy ohrožena, neboť výrazně roste riziko narušení jejich důvěrnosti, integrity a dostupnosti. Ochraně informací je vhodné věnovat zvýšenou pozornost, především zavedením vhodných opatření na úrovni personální a administrativní bezpečnosti. Samozřejmě, pokud jste žádný systém řízení bezpečnosti informací ve vaší společnosti dosud nezavedli, těžko to teď doženete a zvýšenými výdaji do informační bezpečnosti už pravděpodobně také nic nezachráníte.

[1] http://www.cyber-ark.com/news-events/pr_20081201.asp a http://www.cyber-ark.com/news-events/pr_20080827.asp

Related posts:

1. Průzkum stavu informační bezpečnosti
2. Informační bezpečnost
3. Informační bezpečnost: životní cyklus informace

V tomto závěrečném díle bychom se měli zamyslet nad tím, jaká je pravděpodobnost, že zaměstnanec bude útočníkem donucen k činnosti, která povede k narušení důvěrnosti, integrity a dostupnosti dat.

Pokud se útočník rozhodne data ukrást nebo zmodifikovat a slabé metody sociálního inženýrství selžou a bezpečnostní opatření se mu nepovede překonat, neboť zjistí, že k provedení svého záměru bude potřebovat aktivní spolupráci někoho z dané společnosti, bude se muset rozhodnout, zda předem vytipovaného pracovníka, který disponuje vzdáleným přístupem do IS, donutí k provedení dané akce na pracovišti nebo u něho doma. Lze očekávat, že s největší pravděpodobností se rozhodne donutit ho k provedení dané akce u něj doma, protože takové pracoviště:

• není hlídáno ostrahou a je snadné se na něj dostat;
• není napojeno na pult centrální ochrany;
• není vybaveno kamerovým systémem;
• nejsou zde osoby, které by mohly danému jednání zabránit;
• nejsou zde svědci, kteří by mohli útočníka z daného jednání usvědčit.

Jak by v praxi takový útok asi probíhal, nechám čistě na představivosti čtenáře. Ale asi není příliš těžké si představit, že útočník bude našeho zaměstnance nějakou dobu sledovat, poté vnikne do jeho bytu, tam mu přiloží pistoli k hlavě a slušně ho poprosí, aby se přihlásil do informačního systému a udělal přesně to, co chce. Poté mu poděkuje a odejde. Ovšem je potřeba počítat i s tím, že útočník nebude zrovna gentleman.

Ke zvýšení bezpečnosti můžeme zavést tato opatření:

• bezpečnostní fólie na sklo;
• mříže do oken;
• bezpečnostní dveře a zámek;
• čidla a alarm;
• napojení na pult centrální ochrany;
• ostraha objektu;
• recepce;
• hlídací pes;
• kamerový systém;

Dosti problematická situace může nastat v okamžiku, kdy bude do systému povolen přístup pracovníkům s různým oprávněním. Pokud by například jeden pracovník měl práva jen pro čtení (říkejme mu pan R) a nejednalo by se o data důvěrná, mohli bychom prohlásit, že takový pracovník může pracovat v podstatě odkudkoliv a nemusí být na jeho domácím pracovišti zavedena žádná opatření. Teď si ale představme, že máme druhého pracovníka, který má do aplikace též přístup, ale má přidělena práva pro zápis (říkejme mu pan W). Je zřejmé, že v jeho případě může dojít k narušení integrity nebo dostupnosti těchto dat úmyslnou nebo neúmyslnou modifikací, případně může všechna data i smazat. Mimochodem o tom, jak hrůzné následky může mít narušení integrity, pojednává článek integrita. Rozhodneme se tedy, že pracoviště takového zaměstnance zabezpečíme lépe. Jestliže je cílem útočníka provést změny v datech ke komu domů půjde? K pracovníkovi R nebo k pracovníkovi W? Správně k R, protože tam žádné opatření nebude muset překonávat a na účet uživatele W se přihlásí i z pracoviště uživatele R. Na první pohled se jako řešení jeví umožnit daným pracovníkům přihlásit se jen z vybraného počítače a v danou dobu.

Ovšem pořád jsme nevyřešili ten problém, kdy máte pistoli u hlavy a máte provést přesně to, co po vás útočník chce. Jako řešení se nabízí možnost přihlásit se do jiného systému, kde budou jiná data nebo se přihlásit na speciální účet, který bude monitorován a v okamžiku, kdy k přihlášení dojde, bude zahájena akce podle předem naplánovaného scénáře. I toto řešení má však své úskalí. Pracovník může tvrdit, že se stal obětí přepadení a že útočník věděl o tom, že společnost použila takovéto řešení a donutil ho přihlásit se na normální server nebo účet. Toto tvrzení však nemusí být vůbec pravdivé a útok může být pouze fingovaný.

A co vy, umožňujete svým zaměstnancům přistupovat vzdáleně do všech aplikací a systémů?

Related posts:

1. Rizika práce z domova – pokračování
2. Rizika práce z domova
3. Lesk a bída HR v ČR: práce z domova

V tomto pokračování bychom se měli zamyslet nad tím, jaká je pravděpodobnost, že zaměstnanec svojí nedbalostí způsobí narušení důvěrnosti, integrity a dostupnosti dat. Rozhodnutí o tom, zda bude umožněno danému zaměstnanci pracovat z domova a bude mu tedy povolen i vzdálený přístup do IS společnosti, by mělo být založeno na výsledcích hodnocení daného pracovníka a dalších okolnostech (např. zda nemá finanční problémy, časté absence, neuspořádaný rodinný život atd.)

Pro stanovení míry hrozby můžeme vyjít např. i z počtu bezpečnostních incidentů tohoto typu. V každém případě je nutno počítat s tím, že domácí prostředí bude zaměstnance svádět k tomu, že:

• si bude zapisovat hesla a nechávat je poblíž počítače, aby si je nemusel pamatovat nebo je dlouho hledat (Bylo by naivní předpokládat, že hesla bude mít doma uložena v trezoru.);
• nebude dodržovat zásadu prázdného stolu; (Na jeho stole se tak budou pravděpodobně povalovat jak papírové dokumenty, tak i datová média.);
• nebude správně likvidovat citlivá data (Je jedno zda se budou nacházet na CD nebo v papírové podobě, v obou případech nejspíš skončí v koši.);
• nebude počítač uzamykat (Přístup k počítači a tedy i datům tak získá neoprávněná osoba, což jsou i děti, které mohou nechtěně něco smazat nebo změnit.);
• výpočetní techniku bude používat i pro soukromé účely (Tak se mu pravděpodobně velice brzy povede nějaký škodlivý kód do svého počítače stáhnout.)

Vzhledem ktomu, že zaměstnanec vybavený notebookem se může připojovat do IS svého zaměstnavatele vpodstatě odkudkoliv, tzn. nejen od sebe zdomova, ale i zprostředků městské hromadné dopravy, kaváren a dalších míst, kam má veřejnost přístup, nelze se na opatření fyzické bezpečnosti příliš spoléhat. Je lepší počítat stím, že notebook bude někde zapomenut nebo ukraden. Proti krádeži nebo ztrátě dat lze aplikovat sadu opatření, jejíž zavedení není příliš náročné. Pokud cestujete a pracujete na veřejně přístupných místech:

• notebook nikde neodkládejte a noste ho raději všude sebou, nenechávejte ho dokonce ani v hotelovém pokoji, v kavárně nebo restauraci, byť si potřebujete jen odskočit;
• při přepravě v autě notebook nenechávejte na viditelném místě např. na zadním sedadle a raději ho uložte do zavazadlového prostoru;
• při cestování letadlem nebo vlakem přepravujte notebook jako příruční zavazadlo, ostatní zavazadla se často ztrácejí;
• notebook přenášejte v běžném zavazadle, nikdo tak na první pohled nepozná, že cestujete s notebookem;
• vybavte notebook speciálním bezpečnostním filtrem, který zúží pozorovací úhel a tak zajistí, že informace zobrazené na displeji jsou čitelné pouze pro vás.
• uvědomte si, že i papírové dokumenty vám může někdo ukrást nebo číst přes rameno jejich obsah.

Vzhledem k tomu, že notebook můžete někde snadno ztratit, zapomenout ho nebo se stát obětí krádeže, je třeba s touto situací dopředu počítat a učinit taková opatření, aby se útočník k vašim datům nedostal.

• Data na počítači a vyměnitelných mediích šifrujte;
• hesla si nikam nezapisujte;
• používejte 2 faktorovou autentizaci;
• volte kvalitní hesla a pravidelně je měňte;
• autentizační token nenechávejte nikde volně ležet;
• dávejte si pozor na to, aby autentizační údaje nikdo neodpozoroval.

Nezapomeňte také na to, že útočník nepotřebuje získat fyzický přístup k vašemu počítači a že útok může proběhnout i po síti a proto:

• data při přenosu šifrujte;
• používejte aktuální verzi antivirové ochrany;
• používejte osobní firewall;
• zajistěte si včasnou aktualizaci SW;
• neinstalujte na váš počítač žádný další SW;
• neprovádějte zásahy do konfigurace a nastavení počítače;
• na internetu navštěvujte jen ty stránky, které souvisí s vaší pracovní náplní.

K výše uvedeným případům s největší pravděpodobností dojde, především proto, že zaměstnance nebude na jeho domácím pracovišti nikdo kontrolovat. A těžko ho někdo donutí, aby dodržoval zásady uvedené v bezpečnostní politice, případně souvisejících bezpečnostních standardech, které jsou pro něj závazné bez ohledu na to, kde svou práci vykonává. To, že v prostorách zaměstnavatele zaměstnanec předpisy dodržuje, je spíš proto, že má strach z postihu ze strany zaměstnavatele, než že by byl natolik uvědomělý a záleželo mu na tom, aby společnost v důsledku jeho nezodpovědného chování neutrpěla ztrátu.

V příštím závěrečném díle se zamyslíme nad tím, jaká je pravděpodobnost, že zaměstnanec bude útočníkem donucen k činnosti, která povede k narušení důvěrnosti, integrity a dostupnosti dat.

Related posts:

1. Rizika práce z domova
2. Rizika práce z domova – dokončení
3. Lesk a bída HR v ČR: práce z domova

Obě strany by měly znát rizika, která podstupují. Zaměstnavatel může, pokud jeho zaměstnanci pracují z domova, výrazně ušetřit na provozních nákladech, protože nemusí hradit náklady na pracovní místo, osvětlení a klimatizaci pracoviště, el. energii potřebnou k napájení počítače a v neposlední řadě i spotřebu vody. A rozhodně se nejedná o zanedbatelné náklady. Konečně, zaměstnavatel by neměl důvod práci z domova podporovat, pokud by to pro něho nebylo výhodné. V některých případech však tato forma práce může být výhodná i pro zaměstnance. Například když náklady na dojíždění nebo problémy s ním spojené jsou větší.

V tomto svém příspěvku však nechci řešit často uváděná rizika související se ztrátou produktivity nebo zhoršení sociálních vztahů při práci z domova, neboť je zřejmé, že práce z domova není vhodná pro každého. Je nepochybné, že práce z domova vyžaduje ze strany zaměstnance disciplínu a ze strany zaměstnavatele schopnost tyto zaměstnance řídit. Jelikož o výše uvedených rizicích toho bylo již napsáno mnoho, zaměřím se na rizika, o kterých se moc často nemluví.

Pokud zaměstnanec pracuje z domova, bývá obvykle nutné mu zajistit vzdálený přístup do IS společnosti. Nejčastěji se jedná o přístup k poště, intranetu a souborovému systému. Dále se může jednat o přístup k vybraným aplikacím. Zaměstnanec i zaměstnavatel by si měli uvědomit, že zaměstnanec:

• se bude pohybovat z pohledu fyzické bezpečnosti v nechráněném prostředí. Těžko lze předpokládat, že jeho domácí pracoviště bude chráněno lépe než pracoviště v prostorách zaměstnavatele;
• bude vystaven vyššímu riziku fyzického napadení, při kterém může být ohrožen nejen jeho život, ale i život jeho rodinných příslušníků.

Výše uvedené nás vede k úvaze, že bychom měli v případě každého zaměstnance, který by měl pracovat z domova a přistupovat tak do IS společnosti, provést detailní analýzu rizik. První, co nás asi napadne, je rozlišit, do jaké aplikace bude mít daný pracovník přístup, s jakými daty bude pracovat a o jaký typ přístupu se bude jednat. Ve své podstatě bychom nedělali nic jiného, než že bychom se snažili stanovit hodnotu dopadu, tedy jaká největší škoda by mohla být tímto pracovníkem způsobena. Dále bychom určili míru hrozby, zranitelnosti a spočítali výsledné riziko.

Nejprve bychom si ale měli položit tyto otázky:

• Jaká je pravděpodobnost, že důvěrnost, integrita a dostupnost dat bude zaměstnancem narušena úmyslně?
• Jaká je pravděpodobnost, že k narušení důvěrnosti, integrity a dostupnosti dat dojde působením vyšší moci?
• Jaká je pravděpodobnost, že zaměstnanec svojí nedbalostí způsobí narušení důvěrnosti, integrity a dostupnosti dat?
• Jaká je pravděpodobnost, že zaměstnanec bude útočníkem donucen k činnosti, která povede k narušení důvěrnosti, integrity a dostupnosti dat?

Jaká je pravděpodobnost, že důvěrnost, integrita a dostupnost dat bude zaměstnancem narušena úmyslně?

O tom, jaká je pravděpodobnost, že důvěrnost, integrita a dostupnost dat bude zaměstnancem narušena úmyslně, nebudeme uvažovat, protože pokud se zaměstnanec rozhodne škodit, je v podstatě jedno, jestli se danou činnost rozhodne provést z pracoviště zaměstnavatele nebo od sebe z domova.

Jaká je pravděpodobnost, že k narušení důvěrnosti, integrity a dostupnosti dat dojde působením vyšší moci?

Jako nejčastější hrozba se v tomto případě uvádí výpadek el. proudu nebo selhání datové komunikace. Pravděpodobnost, že dojde k výpadku el. napájení nebo k selhání datové komunikace na domácím pracovišti uživatele je větší, než na pracovišti zaměstnavatele, který má el. okruh s největší pravděpodobností zálohován a k datům přistupuje prostřednictvím LAN, kde je bezesporu zaručena větší dostupnost. Často se uvádí, že uživatel svoji činnost v IS společnosti nebude moci v případě výpadku proudu nebo selhání datové komunikace dokončit a integrita dat tak bude narušena. Vzhledem k tomu, že většina zaměstnavatelů vybavuje své zaměstnance notebooky, nebude mít pravděpodobně tato hrozba příliš velkou šanci se uplatnit. Notebook většinou napájí baterie a ty vydrží i několik hodin. Míst odkud se dá do internetu připojit je též spousta a také přístup do informačního systému povětšinou probíhá přes nějaký terminál server nebo si aplikace sama drží integritní ochranu. Narušení integrity nebo dostupnosti působením vyšší moci se proto není nutno příliš obávat. Jsou zde mnohem závažnější hrozby.

V příštím díle se zamyslíme nad tím, jaká je pravděpodobnost, že by zaměstnanec mohl svojí nedbalostí způsobit narušení důvěrnosti, integrity a dostupnosti dat.

Related posts:

1. Rizika práce z domova – pokračování
2. Rizika práce z domova – dokončení
3. Lesk a bída HR v ČR: práce z domova

Druhy virtualiazace

• Emulace – softwarově se emuluje hardwarová platforma, která není fyzicky dostupná. Vzhledem k tomu, že se musí kompletně emulovat hardwarová platforma, může dojít k viditelnému zpomalení systému, na kterém se emulátor spouští.
• Plná virtualizace – není potřeba provádět žádné modifikace operačního systému ani aplikací, které mají běžet ve virtuálním serveru. Hostovaný OS je důsledně oddělený od HW. Vzhledem k tomu, že je nutné emulovat řadu operací jako je přístup k paměti, většinu instrukcí CPU, přístup na disk, není možné dosáhnout plného výkonu.
• Paravirtualizace – vzhledem k tomu, že se simulace HW neprovádí, lze dosáhnout mnohem vyššího výkonu a s menší režií, je však nutné modifikovat jádro hostovaného OS.

Jak virtualizace funguje

Na fyzický server se nainstaluje nějaký virtualizační software, který je schopen přidělovat systémové prostředky jednotlivým virtuálním serverům podle potřeby a aktuálního zatížení. Základem virtualizačního SW je tzv. hypervizor, což je softwarová vrstva mezi hardwarem a virtualními servery, která se stará o přidělování prostředků jednotlivým virtuálním serverům. Důležité je, že virtuální server nikdy nepřistupuje k HW přímo, ale využívá služeb, které poskytuje hypervizor. Velikost hypervizoru se pohybuje v řádech několika málo KB až MB. Nabízí se tedy úvaha, že čím menší bude velikost hypervizoru, tím bude jednodušší a tedy i odolnější proti útokům.

Pokud se zamyslíte nad tím, jak virtuální server funguje, jistě sami přijdete na to, že asi nebude příliš dobrý nápad používat virtuální server pro takovou aplikaci, která provádí velký počet I/O operací. A to z toho důvodu, že ke sběrnici stejně jako k paměti nebo procesoru nemá váš virtuální server přímý přístup. Nezapomínejme na to, že všechny požadavky na přístup k HW musí jít vždy přes hypervizora, pokud se nejedná o virtualizaci na úrovni hardwaru nebo firmwaru, takže k určitému zpomalení, byť v mnoha případech nepodstatnému, zde přesto dochází.

Pro některé aplikace však toto zpomalení může být kritické. Nasazení do produkčního prostředí by proto měl předcházet důkladný performance test, jedině tak se lze vyhnout nepříjemnému překvapení. Po virtualizaci lze pozorovat pokles výkonu systému v řádech několika málo procent. Pozitivní ale je, že např. přenos dat mezi dvěma guesty na stejném hostu je výrazně rychlejší než mezi dvěma fyzickými systémy, protože nejste omezováni rychlostí přenosové soustavy.

Rizika virtualizace

Virtualizace bezesporu vede ke snížení nákladů, ale zároveň nějak musíme zvládat rizika, která jsme možná předtím, když každá aplikace běžela na svém vlastním fyzickém serveru, moc řešit nemuseli.

Zhoršení kvality poskytování služeb

ICT může podlehnout euforii a začít na stávajícím fyzickém serveru vytvářet další a další instance virtuálních serverů. Především proto, že vytvořit další virtuální server je mnohem jednodušší než zakoupit další fyzický server. Časem tak může dojít ke zprovoznění většího počtu virtuálních serverů než kolik jich je fyzický server schopen zvládnout a ICT nebude moci dostát svým závazkům. Na plánování nového virtuálního serveru by se proto měl podílet celý tým zahrnující správce systému, aplikace, databáze, sítě apod., tak jako jste to nejspíš dělali, když jste si pořizovali nový fyzický server.

Útok na fyzický server

Je třeba si uvědomit, že fyzický server, na kterém poběží několik virtuálních serverů, bude sice pořád čelit stejným hrozbám jako předtím, ale pravděpodobnost výskytu některých hrozeb bude spíše vyšší, než nižší. Především proto, že pro útočníka se stane tento server mnohem zajímavějším cílem. Když se mu totiž podaří tento server vyřadit z provozu, vyřadí tím z provozu i všechny virtuální servery, které na něm běží a způsobí tak mnohem větší škodu.

Útok na hypervizora

Hypervizor vytváří prostředí pro běh virtuálních strojů, izoluje je od sebe a zprostředkovává přístup k fyzickým zdrojům. Zranitelnost hypervizoru je velice nízká, stejně jako  pravděpodobnost hrozby útoku. Avšak v okamžiku, kdy se útočníkovi podaří kompromitovat hypervizora, získá přístup ke všem běžícím virtuálním serverům a tedy i aplikacím a datům v nich zpracovávaných. Toto riziko je potřeba monitorovat, protože to, že zatím nebyl dokumentován úspěšný útok na hypervozora neznamená, že k němu nemůže v budoucnu někdy dojít.

Spuštění nezabezpečeného systému

Rychlost a snadnost, s jakou lze klonováním vytvářet nové virtuální stroje může vést k tomu, že dojde ke spuštění systému, který nebude obsahovat aktuální antivirové prostředky, patche a nebude splňovat bezpečnostní standardy. Takový systém pak bude zranitelný a útočník těchto zranitelností může zneužít např. k tomu, aby získal práva administrátora na tomto serveru.

Obnova neaktuální verze

Rychlost a snadnost s jakou lze provést obnovu systému v případě havárie může vést k obnově nějaké starší verze. A starší verze mohla např. obsahovat jinou business logiku. Toho si zpočátku nemusí nikdo všimnout, ale najednou se začnou objevovat staré chyby, které již byly jednou odstraněny. V okamžiku, kdy si těchto chyb někdo všimne, může již být pozdě.

Nedostatečné oddělení serverů

Virtualizace umožňuje snadno vytvořit síťová propojení mezi jednotlivými virtuálními servery, které byly dříve od sebe odděleny firewallem nebo se mezi nimi nacházel nějaký IDS/IPS.

Vyšší chybovost

Snadnost a rychlost s jakou lze provádět změny a přidávat další virtuální servery přináší i vyšší možnost zanesení chyby např. od značně přetíženého nebo nezkušeného správce.

Špatně nastavená práva

Mohou být špatně nastavena oprávnění pro manipulaci s virtuálními systémy.

Závěr: Ochraně serveru, na kterém běží mnoho virtuálních serverů, bychom měli věnovat zvýšenou pozornost a implementovat vhodná opatření vedoucí ke snížení rizik. Pokud se rozhodnete virtualizovat, volte takové řešení, které vám umožní provozovat virtualizaci nad více fyzickými stroji, především proto, aby bylo možné zakoupením a integrací dalšího fyzického stroje celkový výkon podle potřeby zvyšovat. V opačném případě budete, co se zvyšování výkonu týká, značně omezeni možnostmi stávajícího fyzického serveru. Dále doporučuji začít nejprve s virtualizací testovacího a vývojového prostředí. Poté můžete pokračovat s méně důležitými aplikacemi a teprve až když získáte dostatek zkušeností, můžete přistoupit k virtualizaci aplikací pro vás kritických.

Poznámka: Správa virtuálních serverů je časově podstatně méně náročná než správa klasických fyzických serverů. Rovněž doba pořízení a nasazení nového serveru se může zkrátit z několika měsíců nebo dnů až na několik málo hodin nebo minut. Z těchto důvodů se dá očekávat i snížení počtu zaměstnanců ICT, kteří mají správu serverů na starost.

No related posts.

Už jste někdy učinili rozhodnutí na základě informací uvedených ve spreadsheetu? Ať už jste na tuto otázku odpověděli kladně nebo záporně, měli byste si přečíst tento článek. Problém je v tom, že zatímco původní data jsou pořizována, zpracovávána a uchovávána v relativně bezpečných systémech, tak poté jsou exportována do velice zranitelných spreadsheetů, ve kterých lze velice obtížně zajistit požadovanou integritu. A je jedno, zda se jedná o spreadsheet vytvořený v produktu OpenOffice.org Calc nebo MS Excel. Je třeba si uvědomit, že v podstatě kdokoliv může ve spreadsheetech velice snadno provést jakoukoliv změnu, a to od prosté změny hodnot, až po změnu výpočetní logiky, která nebude nikde dokumentována. Spreadsheet je specifický právě tím, že obsahuje v jednom souboru jak vlastní data, tak i výpočetní logiku, tedy něco, co běžně bývá od sebe nějakým způsobem důsledně odděleno.

Spreadsheety jsou také velice často používány jako vstupní data pro vznik dalších spreadsheetů a nezřídka také dochází k propojování spreadsheetů mezi sebou, to znamená, že chyba v jednom se tak může velice rychle přenést i do dalších spreadsheetů. Spreadsheety jsou pak běžně používány napříč organizační strukturou. Nižší, střední i vrcholový management organizace je používá jako zdroj informací pro operativní, taktické a strategické řízení. Je zvláštní, že ač jsou na základě informací v nich uvedených činěna velice závažná rozhodnutí, není kvalitě spreadsheetů věnována dostatečná pozornost! Je asi zbytečné zdůrazňovat, že takovýto přístup může vést k chybným a nevratným rozhodnutím s velice vážnými následky. Většina společnosti si rizika spojená s používáním spreadsheetů neuvědomuje (v podstatě se jedná o nevědomou retenci rizik).

I u tvorby spreadsheetu je proto vhodné, stejně jako u vývoje jakéhokoliv jiného software, použít nějakou metodiku vývoje software, která obvykle začíná definicí požadavků, analýzou, návrhem, odsouhlasením, pokračuje vlastním vývojem, testováním a končí nasazením a údržbou. Možná vám to na první pohled připadá zbytečné, ale když si uvědomíte, pro koho jsou spreadsheety určeny, k čemu slouží, a jak složité výpočty se v nich často provádějí, tak zjistíte, že to až tak přehnané požadavky vlastně nejsou. Jsem přesvědčen, že v okamžiku, kdy zavítáte na stránky http://www.eusprig.org/stories.htm, kde jsou uvedeny skutečné příklady špatných rozhodnutí na základě informací uvedených ve spreadsheetech, nebudete už vůbec pochybovat o smyslu zavedení nějaké metodiky.

Minimálně byste měli stanovit závazná pravidla pro:

• vývoj a změnu spreadsheetů, resp. pro celý životní cyklus spreadsheet,
• testování, které by měla kromě autora provádět minimálně ještě jedna nezávislá osoba,
• pojmenování spreadsheetů, kde by již z názvu mělo být patrné jaké informace obsahuje,
• číslování verzí, často existuje tolik verzí, že nikdo neví, který spreadsheet je aktuální,
• evidenci spreadsheetů (jaké spreadsheety se vytváří, k čemu slouží, jaké je jejich úložiště, pro koho jsou určeny)
• zálohování a archivaci spreadsheetů,
• řízení přístupu ke spreadsheetům.

Dále byste měli zajistit, že

• součástí spreadsheetu bude vždy aktuální dokumentace – nejlépe na prvním listu,
• ve spreadsheetu bude uvedeno:
  • jméno autora spreadsheetu, – toho, kdo spreadsheet vytvořil a je odpovědný za jeho správnou funkčnost,
  • jméno vlastníka spreadsheetu – toho, kdo do spreadsheetu zadal data a je odpovědný za jejich správnost.
  • jaký je jeho klasifikační stupeň – např. tak jak jsme si uvedli v článku důvěrnost.
• veškeré změny ve spreadsheetu budou dokumentovány a auditovány.

Při vlastní tvorbě spreadsheetu je vhodné dodržovat tato pravidla:

• Navrhnout spreadsheet tak, aby bylo možné jej číst přirozeně, to znamená zleva doprava a shora dolů. Stejně tak listy v sešitu by měly jít za sebou v takovém pořadí, v jakém mají být čteny.
• Barevně od sebe odlišit buňky, do kterých se zadávají hodnoty, od těch ve kterých se zobrazují výsledky a kde probíhají výpočty. V legendě byste poté měli uvést, co jednotlivé barvy znamenají.
• V některý případech je vhodné mít jeden list pro zadávání hodnot, druhý list pro výpočty a třetí list pro zobrazení konečných výsledků.
• Pojmenovat buňky tak, aby jasně vystihovaly co je jejich obsahem.
• Konstanty uvádět v samostatných buňkách.
• Dlouhé vzorce raději rozdělit do více buněk.
• Provádět kontrolu hodnot na vstupu i na výstupu.
• Využívat možnosti komentáře v buňkách k popisu toho, co obsahují nebo výpočtu, který se v nich odehrává.
• Všechny buňky, do kterých se nezadávají hodnoty, zamknout a případně i chránit heslem, aby se zabránilo náhodnému nebo úmyslnému smazání či změně jejich obsahu.
• Pokud spreadsheet obsahuje makra, měla by být doplněna vhodnými komentáři a chráněna heslem, aby se zabránilo jejich náhodné nebo úmyslné nežádoucí modifikaci.

Odkazy:

http://www.eusprig.org/smbp.pdf – popisuje životní cyklus vývoje spreadsheetu v 6 fázích a to Scope->Specify->Design->Build->Test->Use

http://www.eusprig.org/hdykysir.pdf – obsahuje užitečné rady a praktické příklady včetně ukázek zdrojových kódů některých maker.

A na základě jakých informacích se rozhodujete vy? Jsou ve vaší společnosti zavedená některá výše uvedená pravidla? A dodržujete je?

No related posts.