Statens It: Opdeling i 3 lag væsentligere end at skelne mellem fysiske og virtuelle servere

Forskellige kunder hos Statens It kan godt køre på de samme fysiske servere. Dermed har Statens It ikke indrettet sig i overensstemmelse med Datatilsynets vurdering af CSC-sagen. Til gengæld holdes databaser langt væk fra webservere.

Virtualisering er i dag helt almindelig praksis i it-drift, men når flere virtuelle servere deles om den samme fysiske server, rejser det spørgsmålet om, hvorvidt sikkerheden er lige så god, som hvis der var tale om separate fysiske servere. Hos Statens It vælger man i stedet at betragte problemet fra en anden vinkel.

»Vi ser det meget mere som en netværksdiskussion,« siger direktør Michael Ørnø fra Statens It til Version2.

»Om applikationerne kører på virtuelle eller fysiske servere, forholder vi os ikke til, fordi vi har det i forskellige netværk.«

Praksis omkring adskillelse i Statens It er interessant, fordi Datatilsynet har udtalt, at fysiske servere og logiske partitioner ikke er det samme, når det gælder om at holde it-systemer adskilt. Det er et af kritikpunkterne i Datatilsynets afgørelse i en undersøgelse af sikkerheden omkring Rigspolitiets it-systemer i forbindelse med hackerangrebet i 2012.

»Opdeling af én mainframe i fire LPAR'er kan sikkerhedsmæssigt ikke sidestilles med drift i fire fra hinanden fysisk isolerede/adskilte mainframes,« lød ét af de centrale kritikpunkter fra Datatilsynet.

IBM har på version2.dk udtrykt lodret uenighed om den sag, og nu fastslår Statens It altså også, at separate fysiske servere ikke er en absolut nødvendighed.

Læs også: Hullet webserver hos CSC delte virtuel server med Schengen-register

It-driften i Statens It foregår i et virtualiseret servermiljø, som Statens It helst ønsker at opdele i en trelagsarkitektur, når kunderne kan overbevises om det.

»Vi har de virtuelle miljøer i forskellige netværk. Så vi kan eksempelvis have en webfrontend til et system i vores DMZ (den del af netværket, der er tilgængelig fra internettet, red.); bag en firewall kører så selve applikationen, og bag en anden firewall står databasen,« forklarer Michael Ørnø.

På den måde kører tre dele af et system på tre fysiske maskiner, der er adskilt af firewalls. Men på hver af de fysiske servere kan de virtuelle maskiner dele kapacitet med andre applikationer.

»Det hænder, at vi har nogle applikationer, der kører på fysiske maskiner for sig selv. Det kan eksempelvis være en datawarehouse-applikation eller noget, hvor opgaven er så stor, at den kan fylde hele den fysiske maskines kapacitet,« siger Michael Ørnø.

Det sikkerhedsmæssige aspekt af virtualiseringen klares altså ved netværksopdelingen for de systemer, hvor det er muligt at adskille eksempelvis databasen med følsomme data fra en webserver, der skal være tilgængelig fra internettet og dermed også vil være mål for hackere.

Statens It står for en væsentlig del af it-driften for ti ministerområder og omkring 80 styrelser og andre offentlige institutioner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Frimann

Både Statens IT og Datatilsynet har vel en pointe. Det afhænger i høj grad af lovgivning, sikkerheds behov og midler. Altså hvad for nogle systemer snakker man om ?

Hvis man f.eks. ser på sådan noget, CPR loven's paragraf 55 stk. 1 så siger denne:

"Økonomi- og Indenrigsministeriet træffer foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse af CPR i tilfælde af krig eller lignende forhold"

Altså så skal 'CPR systemet' kunne destrueres. Det betyder sådan lidt i praksis, at det nok er temmelig svært at hoste noget som helst af det system på andet en dedikeret hardware (som så godt kan være virtualizeret IMHO). Med mindre de systemer man hoster systemet sammen med har samme 'sikkerheds klassificering'.

Desuden vil der som regel også være krav om, hvem der kan have fysisk adgang og hvordan dette sikres. Og det gør igen, at du ikke sådan bare lige kan cohoste offentlige systemer med følsomme persondata, sammen med andre systemer, hvor der gælder andre kontraktuelle forhold.

// Jesper

  • 3
  • 0
Poul-Henning Kamp Blogger

Datatilsynet har ret: Virtuelle servere er ikke nær så godt adskilt som fysiske servere -- uanset hvad IBMs markedsføringsafdeling iøvrigt måtte mene om det.

Forskellen er ret lille, men ikke altid uvæsentlig.

F.eks er det meget nemt at etablere "covert channels" imellem virtuelle servere og på den måde lække information og da langt de fleste applikationer ikke er skrevet så de forsvarer sig imod sådanne angreb, behøver man ikke nødvendigvis at have kompromiteret den virtuelle maskine der indeholder de attråværdige informationer.

Det er f.eks gentagne gange demonstreret hvorledes man aflytter den private nøgle i certifikater i en anden virtuel maskine via cache-timing attacks.

Om dette er en relevant bekymring afhænger naturligvis af alt muligt.

I en verden hvor man rimeligvis må forvente at NSA eller andre udenlandske spionage-foretagener med held har forsøgt at hardware/software-trojan'e de servere som specielt Statens IT har købt, og derved efterladt ubevogtede bagdøre som enhver der kender detaljerne kan vade ind igennem, er det ikke en triviel detalje.

Statens IT's 3-trins netværk er bestemt en god ide, men det er slet ikke nok til at eliminere relevante sikkerhedsbekymringer ved at bruge virtuelle maskiner.

Som et minimum bør de sikre at virtuelle maskiner på en given fysisk maskine alle hører under den same persondataansvarliges resort.

  • 10
  • 2
Tim Carstensen

En ting er selv sikkerheden i de tilstedeværende produkter - Hvis de er anvendt/konfigureret korrekt. Et helt andet punkt er muligheden for fejlkonfigurationer som efterlader potentielle svagheder i "skodderne" mellem de forskellige løsninger. Særligt hvor den krævede konfiguration går på tværs af faggrænser (Netværk<>Servere).

Kompleksiteten som nævnt af Rune kræver således en væsentlig mere "fascistisk" change process, og bør også udløse mere regelmæssige audits eller kontroller som sikrer at intet er efterladt utilsigtet.

  • 1
  • 0
Michael Erichsen

Det hedder i datatilsynets rapport: "Hackerangrebet er foregået mod én fysisk computer, en såkaldt mainframe af fabrikat IBM. Mainframen var konfigureret i fire partitioner, såkalte LPAR’s (Logical Partitions). De fire LPAR’s er benævnt D11, D12, D13 og D14." og at "Rigspolitiet har oplyst, at Rigspolitiets systemer blev driftet i LPAR D11 og D14." samt "Datatilsynet lægger i det følgende til grund, at LPAR D11 er blevet anvendt af både Moderniseringsstyrelsen og Rigspolitiet."

Ingen udenforstående kan selvfølgelig udtale sig om den konkrete opsætning, men den normale opsætning af et mainframesystem i dag er, at man har mindst to fysiske maskiner på adskilte lokationer.

Dernæst har man et eller flere SysPlex'er, som typisk er delt over de fysiske maskiner, så man kan afvikle hele sit load på den ene maskine, mens man vedligeholder den anden, eller hvis noget fysisk står af på en af dem.

Et SysPlex består igen af en eller flere LPAR's. Så når der tales om fire LPAR's, er det ikke sandsynligt, at de ligger på samme fysiske maskine, men at de er dele af samme SysPlex og afvikles på to eller flere fysiske maskiner i to eller flere adskilte lokationer. Ellers ville det ikke give meget mening at afvikle Politiets systemer på to LPAR's. Især ikke, når man ved, at det vil forøge softwarelicensomkostningerne.

I ikke-mainframe-systemer har man på samme måde systemer, der fremtræder som ét system, men består af clusters af virtuelle maskiner på tværs af fysiske maskiner, f.eks. VMWare-farme.

Så måske er det mere interessant at diskutere, hvad og hvordan data deles, end om maskinerne er fysisk adskilte eller ej? Det har også betydning, når vi diskuterer cloud sikkerhed, hvor vi måske ikke engang ved, hvor og hvordan data er lagret?

  • 2
  • 0
Morten Brønsby

Var der ikke også noget med at authenticeringen var delt af de 4 LPARs?
Nu er jeg bestemt ikke virtualiseringsekspert, men hvis flere systemer deler Authenticering, så er det ikke mærkeligt at man kan tilgå et system, hvis først man har kompromitteret et af de andre, og dermed får fat i listen over usernames og passwords.

  • 3
  • 0
Jens Henrik Sandell

Det er nu spøjst, at læse om Demilitarized Zone i konteksten for en civil myndighed. Det er jo netop i DMZ'en, at man ofte placerer de fleste, eller de stærkeste, forsvarsværker.

Jeg så i øvrigt gerne at sikkerhedsparadigmet "Voldgrav og bymur" blev udfordret af flere systemejere, dataansvarlige og brugere. Alt for mange systemer har ikke andre forsvarsværker (sikkerhedsfunktioner) og hvis der endelig er en trusselsvurdering, så behandler den kun trusler fra eksterne kilder.

  • 0
  • 0
Jens Henrik Sandell

I en verden hvor man rimeligvis må forvente at NSA eller andre udenlandske spionage-foretagener med held har forsøgt at hardware/software-trojan'e de servere som specielt Statens IT har købt, og derved efterladt ubevogtede bagdøre som enhver der kender detaljerne kan vade ind igennem, er det ikke en triviel detalje.

Hvorfor gøre det så besværligt? Man kan bare distribuere trojaneren ad de almindelige kanaler.

Nu er der vel ingen (eller kun få) systemadministratorer her i kongeriget, der kan gennemskue om den patch eller hotfix, man har modtaget fra fabrikant XX (indsæt selv din leverandør "oracle", "ibm", "microsoft", osv.) ikke er sponseret af NSA, med henblik på at installere en trojaner. Sådan en patch kommer naturligvis med fuldt gyldige certifikater via fabrikantens egen push-tjeneste.

Hvor mange skarpe systemadministratorer dobbeltjobber både inden for staten og kommercielt, og kan samtidig holde hoved og hale i den strøm af opdateringer der ugentligt sendes ud?

Snowdens afsløringer om interception af pakkeforsendelser af hardware er ganske foruroligende, men hvor mange modtagere var det, NSA angreb på den måde?

  • 2
  • 0
Jesper Frimann

Jo jo, .. nu ved jeg ikke om man kan lave covert channels på en PRSM partitioneret Mainframe, men det kan man på andre Virtualizerings platforme.. og dem bruger 'det offentlige nok også'.

Men er det grundlæggende problem ikke, at man i centraladministrationen ikke er interesseret i IT og Datasikkerhed, med mindre der lige kommer 'lig på bordet'.

Data skal jo helst være nemt tilgængeligt, de ydelser man køber skal jo helst være billige, bruge de rigtige Buzzwords (hvornår ser vi CPR registret i Clouden ?), jo flere data man har på borgerne jo bedre (Man kunne jo få brug for det en dag) og hvis man kan tjene penge på borgernes data.. så er det bare endnu bedre.

Jeg synes, jeg mangler en offentlig sikkerhedsmodel. Eller er det bare mig der er uvidende ?

// Jesper

  • 3
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Virtualisering er i dag helt almindelig praksis i it-drift, men når flere virtuelle servere deles om den samme fysiske server, rejser det spørgsmålet om, hvorvidt sikkerheden er lige så god, som hvis der var tale om separate fysiske servere. Hos Statens It vælger man i stedet at betragte problemet fra
en anden vinkel. »Vi ser det meget mere som en netværksdiskussion,« siger direktør Michael Ørnø fra Statens It til Version2. »Om applikationerne kører på virtuelle eller fysiske servere, forholder vi os ikke til, fordi vi har det i forskellige netværk.« Praksis omkring adskillelse i Statens It er interessant, fordi Datatilsynet har udtalt, at fysiske servere og logiske partitioner ikke er...