Мэтью Гэррет, один из разработчиков ядра Linux и эксперт по безопасности компании Nebula, рассказал ZDNet о проблемных точках облачных технологий. С одной стороны, использование гипервизоров, которые генерируют, запускают и обслуживают виртуальные машины пользователей, существенно повышает общий уровень защищенности за счет изолированности процессов. С другой стороны, сами гипервизоры не лишены уязвимостей, и теоретически хакеры могут получить полный доступ к облачным системам управления миллионами прикладных серверов.
Поэтому к ведущим облачным провайдерам имеется ряд серьезных вопросов. Какова схема оперативного реагирования на выявленную ошибку в гипервизоре? Насколько защищенными будут виртуальные машины, если гипервизор окажется скомпрометирован? Может ли поставщик сервиса уверенно выявить факт взлома корневого сервера? Какие инструменты он использует для этих целей? Провайдеры крайне неохотно отвечают на такие вопросы, потому что если под сомнение ставится надежность гипервизора, то скомпрометированным становится и облачный сервис в целом.
Например, позиция Amazon по поводу безопасности своих сервисов (“гипервизор защищает гостевые ОС от взаимодействия друг с другом”) не обновляется с 2008 г.! С тех пор, понятно, многие технологии претерпели кардинальные изменения. И хотя пока не было известных случаев взлома гипервизоров в массовых публичных облаках, эксперты предупреждают, что атаки на эти сложные системы, предоставляющие множество публичных точек входа и зависящие от тонкостей работы оборудования, не прекращаются ни на минуту.