[...] > Nei giorni scorsi nella mia ditta abbiamo avuto un problema sw. su > uno switch di un blade center che ospita un Vmware Virtualcenter. [...] > business? Si può parlare per queste soluzioni di reale security e > governance?
Esempio fuori tema, ma domanda rilevante. Le infrastrutture che ho osservato sino ad ora - e sono tante - sono generalmente progettate e gestite senza considerare i differenziali di sicurezza e le peculiarità dei software di virtualizzazione. In quanti sanno che un accesso RDP di qualsiasi livello al vCenter è uguale alla compromissione dell'infrastruttura? O che il sistema di autoupdate di VMware è stato vulnerabile fino alla 4.1 U1? O che la prima interfaccia web di XEN era talmente broken che è stata ritirata dal download perchè era impossibile metterla in sicurezza? Serve competenza specifica, e non è ancora diffusa. In linea di massima le best practice le detta il vendor e ci si ferma lì.. quando pure. Anzi con l'occasione raccomando la lettura delle hardening guide di VMware a CHIUNQUE si occupi di virtualizzazione. A volte sono inesatte, ma sono fatte molto bene come starting point. Secondo me (<spot>e parlerò di questo a BlackHat Europe</spot>) su questo ambito c'è da lavorare, e tanto, sul design sicuro e sulla sicurezza verticale delle soluzioni... per non parlare dei problemi di management. Però PRIMA bisogna iniziare con il know how VERO, oppure si finisce per percepire come differenziale di sicurezza cose che non hanno niente a che vedere con la virtualizzazione. -- Claudio Criscione Secure Network srl ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
