Cumulus Cloud

IaaS beveiliging – logisch toch?

Infrastructure-as-a-Service (IaaS) is aan een flinke opmars bezig en veel bedrijven overwegen IaaS ter vervanging van een gedeelte van de server infrastructuur.  Een zorg hierbij is de beveiliging van deze externe infrastructuur, het gaat tenslotte om een gedeelde infrastructuur die ook nog eens verbonden is met het Internet. Hoe gaan we hiermee om? En hoe past het aloude beveiligingsprincipe van scheiding in een steeds meer virtuele infrastructuur?

Kijken we naar de eigen externe IaaS infrastructuur dan willen we scheidingen aanbrengen met het internet, maar ook met andere klanten van dezelfde aanbieder. De scheiding met Internet kan op netwerkniveau via virtuele netwerken (VLAN’s) en firewalling plaatsvinden maar voor de scheiding met de andere klanten zullen we ook moeten kijken naar de virtualisatie- en storagelaag.

Van oudsher is het best practice netwerkscheiding op fysiek niveau te laten plaatsvinden waar mogelijk. Zo zijn fysiek gescheiden netwerken te prefereren boven scheiding door VLAN tagging. Hiermee samenhangend prefereert men ook fysieke firewalls boven virtuele appliances.

In een gedeelde IaaS omgeving kunnen gemakkelijk 20-40 virtuele servers op één fysieke machine staan, vaak toebedeeld aan verschillende klanten. De virtuele servers worden allen bediend door een zogenaamde hypervisor en een veelbesproken risico is de ‘VM escape‘ waarbij een virtuele server via deze hypervisor en/of gedeelde infrastructuur op een andere virtuele server zou kunnen binnendringen.

Voor IaaS storage zitten we in hetzelfde schuitje. De storage is meestal gecentraliseerd op een Storage Area Network (SAN). Dit betekent dus dat deze wordt gedeeld met alle andere IaaS klanten van de aanbieder en dat alle scheiding ook hier op logisch niveau plaatsvindt. Het is dus software die bepaald welke bitje aan welke virtuele server beschikbaar wordt gesteld, gaat deze software in opstand dan kan theoretisch data van klant x beschikbaar worden gesteld aan klant y.

In een steeds meer virtuele infrastructuur is fysieke scheiding nauwelijks meer haalbaar. Waar dit nog wel haalbaar zou zijn, bijvoorbeeld met fysieke switches en firewalls, heeft dit weer grote nadelen met betrekking tot additionele kosten (rackruimte is duur) en failover. Virtuele firewalls en switches kunnen eenvoudig worden opgenomen  in de virtualisatie failover infrastructuur (High Availability – HA). Losse fysieke apparaten zouden hierbij volledig buiten de boot vallen en op een andere manier weer redundant moeten worden uitgevoerd.

Naar onze mening hoeft logische scheiding niet onder te doen voor fysieke scheiding zolang het weloverwogen en op meerdere niveau’s gebeurt. Voor IaaS is men daarvan een groot deel afhankelijk van de kwaliteit van de aanbieder, de hard- en software die zij gebruiken, en de processen voor het inregelen en up-to-date houden hiervan.