Wirtualne (nie)bezpieczeństwo
Firmy coraz częściej korzystają z wirtualizacji, więc muszą dokładać starań, aby zapewnić bezpieczeństwo takiemu właśnie środowisku. Wymaga to zdecydowanie odmiennego podejścia niż w przypadku ochrony tradycyjnej, fizycznej infrastruktury.
Środowisko wirtualne, ze względu na swoją specyfikę, wymusza stosowanie nieco innych zabezpieczeń niż używane wcześniej. Zadaniem resellera jest więc nie tylko dostawa produktów, ale również edukacja klientów. Niewłaściwe podejście do ochrony maszyn wirtualnych może mieć bowiem poważny, negatywny wpływ na bezpieczeństwo danych oraz wydajność aplikacji.
Wybór właściwych rozwiązań należy poprzedzić w tym przypadku gruntowną analizą potrzeb klienta oraz oferty rynkowej. Ta jest bowiem bardzo szeroka i obejmuje trzy główne kategorie oprogramowania. Po pierwsze produkty do ochrony punktów końcowych, a więc pakiety antywirusowe. Po drugie wirtualne urządzenia, które są odpowiednikami tradycyjnych sprzętowych i programowych zabezpieczeń działających w maszynach wirtualnych. I wreszcie mamy do czynienia z zupełnie nową kategorią produktów przeznaczonych do ochrony wirtualnych sieci, które działają na poziomie hypervisora.
Największy wybór mają użytkownicy platformy VMware vSphere, gdyż przez lata była niemal jedynym rozwiązaniem wykorzystywanym w środowiskach produkcyjnych. Jednak obecnie również rozwiązanie Microsoft Hyper-V zdołało przekonać do siebie duże grono użytkowników, co skłania vendorów do wprowadzania kolejnych wersji swoich produktów zgodnych z tym właśnie hypervisorem.
Ochrona punktów końcowych
Większość tradycyjnych pakietów antywirusowych wyposażono w mechanizmy, które umożliwiają im rozpoznanie, czy działają w maszynach wirtualnych. Jednak w takim środowisku oferują jedynie podstawowe mechanizmy ochronne, przez co poziom bezpieczeństwa jest niewystarczający. Krótko mówiąc, nie zapewniają maszynom wirtualnym wystarczającej ochrony przed współczesnymi zagrożeniami. Niezależnie, czy chodzi o platformę VMware, Microsoft, Citrix, czy inną.
Krzysztof Rachwalski
dyrektor regionalny w Europie Wschodniej, Veeam Software
Wirtualizacja serwerów to często pierwszy z kroków, które podejmują firmy, by zbudować wydajną infrastrukturę IT. Wspólnie z resellerami chcemy pomóc klientom w tym zadaniu przez zapewnienie stałej dostępności w centrach danych. By działać efektywnie i zaspokajać potrzeby klientów, należy nie tylko stworzyć kopie zapasowe danych, ale też sprawnie je przywracać oraz mieć możliwość sprawdzania backupów i testowania nowych aplikacji w stworzonym do tego środowisku.
Tradycyjne oprogramowanie zabezpieczające wykorzystuje tzw. agentów. W każdym chronionym punkcie końcowym – fizycznym bądź wirtualnym – musi działać agent realizujący różne zadania związane z ochroną. W przypadku środowiska wirtualnego oznacza to, że na serwerze będzie działać tylu agentów, ile jest na nim maszyn wirtualnych, a to może powodować problemy związane z wydajnością. W efekcie otrzymujemy też bardzo wysoki poziom duplikacji w wirtualnych maszynach i poważne obciążenie zasobów sprzętowych. Poza tym, jeśli w firmowej sieci zostanie wykryte szkodliwe oprogramowanie i wdrożone reguły bezpieczeństwa wymuszą uruchomienie skanowania w celu wykrycia infekcji, może dojść do paraliżu sieci, a szansa na wykrycie wirusa spadnie. Również rutynowe zadania, jak pobieranie nowych definicji wirusów, mogą nadmiernie obciążać sieć.
Obecnie najpopularniejsze są dwa sposoby podejścia do zapewnienia bezpieczeństwa w środowisku wirtualnym: bezagentowe oraz wykorzystanie tzw. lekkich agentów (light agent). W rozwiązaniach bezagentowych funkcje bezpieczeństwie są w całości zaimplementowane na poziomie hypervisora. Natomiast „lekki agent” to oprogramowanie instalowane w maszynach wirtualnych, które realizuje część podstawowych funkcji typowego agenta. Istnieje też sposób, który łączy zalety rozwiązań agentowych i bezagentowych – zadania wymagające większej mocy obliczeniowej są przekazywane do specjalnej maszyny wirtualnej. W większości przypadków użytkownicy stosują w swojej architekturze więcej niż jedną metodę zabezpieczania. Proporcje zależą od tego, jakie zasoby wymagają ochrony. Serwery, które nie mają bezpośredniego połączenia z Internetem, wymagają zupełnie innych zabezpieczeń niż serwer, do którego dostęp mają na przykład klienci sklepu internetowego.
Często zapomina się, że celem ataku mogą być również obrazy wyłączonych maszyn wirtualnych. Jeśli oprogramowanie (system operacyjny, aplikacje) w tych obrazach nie jest aktualizowane, uruchomienie po dłuższej przerwie takiej maszyny oznacza wystawienie się na niepotrzebne ryzyko. Dlatego trzeba pamiętać o instalowaniu aktualizacji w wyłączonych maszynach wirtualnych. Jedną z interesujących koncepcji zapewnienia bezpieczeństwa maszynom wirtualnym jest założenie, że zainfekowaną maszynę należy skasować, a następnie utworzyć nową. Jednak okazuje się, że są już zagrożenia, które rozprzestrzeniają się po sieci w sposób umożliwiający im powrót i infekowanie nowych maszyn wirtualnych.
Wirtualne urządzenia
Już dwa lata temu analitycy z IDC zauważyli, że firmy zaczynają preferować wdrażanie zabezpieczeń w postaci oprogramowania instalowanego w maszynach wirtualnych (tzw. virtual appliance), zamiast stosowania tradycyjnych rozwiązań sprzętowych i programowych. W tej formie można uruchomić zaporę sieciową, system IPS/IDS, aplikację antyspamową. Według IDC rynek rozwiązań służących do ochrony poczty elektronicznej będzie w 2015 r. wart globalnie 4,8 mld dol. (dla porównania: w 2011 – 2,7 mld dol.). Coraz większą jego część będą stanowiły rozwiązania wirtualne. IDC przewiduje, że w 2015 r. ich udział wyniesie 12,2 proc., a w 2010 stanowiły zaledwie 1,8 proc. tego rynku. Analitycy dodają, że analogiczny trend występuje, lecz w mniejszym nasileniu, również w innych kategoriach zabezpieczeń, takich jak firewalle i systemy IDS/IPS.
Piotr Wyrzykowski
inżynier systemowy, CommVault
Prawie wszyscy użytkownicy mają zarówno wirtualne środowiska IT, jak i aplikacje, które potrafią działać sprawnie tylko w środowisku fizycznym. Są to na przykład serwery z aplikacjami zabezpieczonymi fizycznymi kluczami sprzętowymi. Ze środowisk wirtualnych bardzo często wyłącza się systemy bazodanowe, od których wymaga się odpowiedzi w czasie poniżej kilku milisekund, systemy medyczne, podłączone bezpośrednio pod maszyny rejestrujące wyniki badań, i wiele innych. W tym obszarze przewagę ma ten, kto potrafi uniwersalnie zabezpieczyć oba środowiska: wirtualne i fizyczne.
Z kolei Infonetics donosi, że wartość rynku wirtualnych urządzeń służących bezpieczeństwu w 2013 r. wyniosła 150 mln dol. W porównaniu z danymi z poprzedniego roku daje to aż 44 proc. wzrostu. Zdaniem analityków łączna sprzedaż w latach 2014–2018 na tym rynku ma wynieść globalnie 1,35 mld dol. Obecnie liderami sprzedaży w tym obszarze są Cisco, Juniper oraz Fortinet. Wprawdzie ten obszar najszybciej podbijają nowi, mali producenci, ale często są wkrótce przejmowani przez potentatów. Tak stało się na przykład z wyspecjalizowaną w wirtualnych firewallach firmą Altor, którą kupił Juniper.
Ochrona na poziomie hypervisora
W maszynach wirtualnych szkodliwy kod działa tak samo, jak w tradycyjnym środowisku. Stwarza więc analogiczne zagrożenia, a do tego dochodzą nowe płaszczyzny ataku. Jeśli włamywacz uzyska dostęp do jednej maszyny wirtualnej, a następnie za jej pośrednictwem włamie się do hypervisora, będzie miał dostęp do wszystkich maszyn wirtualnych działających na danym serwerze fizycznym. Tym samym będzie mógł sięgnąć po przechowywane w nich dane.
W obrębie jednego serwera fizycznego powstaje sieć wirtualnych połączeń między maszynami wirtualnymi. Pojawiły się już ataki ukierunkowane właśnie na wirtualną sieć, ponieważ często przepływ danych, które nie wychodzą poza jeden serwer fizyczny, nie jest kontrolowany. Administratorzy sieciowi powinni monitorować i chronić ruch w wirtualnych sieciach w sposób podobny do tego, jaki stosują w sieciach fizycznych. Narzędzia do monitoringu umożliwiają wykrycie takich zagrożeń, jak botnety czy ataki na infrastrukturę. Dlatego konieczna jest instalacja systemu IDS czy innych zabezpieczeń. Według ekspertów z firmy badawczej Research and Markets wirtualizacja to główny czynnik napędzający wzrost sprzedaży właśnie w segmencie rozwiązań do ochrony sieci.
Bezpieczeństwo na poziomie wirtualnej sieci mogą zapewnić rozwiązania integrujące się z hypervisorem przez API (np. VMware vShield lub Juniper Virtual Gateway). Innym sposobem jest stosowanie mechanizmów dostępnych w wirtualnych przełącznikach (są w ofercie m.in. firm Cisco, Citrix, IBM, Microsoft i VMware). Najnowsza generacja to rozwiązania typu SDN (Software Defined Network), które mają wbudowane również funkcje bezpieczeństwa (np. VMware NSX).
Backup i przywracanie
Kopie zapasowe zawartości maszyn wirtualnych można tworzyć, używając tradycyjnych narzędzi do backupu, wymagających instalowania agentów w każdym serwerze wirtualnym. Jednak, analogicznie jak w przypadku rozwiązań bezpieczeństwa, efektem może być poważne obniżenie wydajności. To główny czynnik, który zdecydował o powstaniu systemów backupu, które są dostosowane do specyfiki środowisk wirtualnych. Najpierw na rynku pojawiły się specjalizowane produkty umożliwiające ochronę wyłącznie środowisk wirtualnych. Niedługo po tym twórcy tradycyjnego oprogramowania do backupu wyposażyli swoje produkty w mechanizmy uwzględniające właściwości środowisk wirtualnych.
Klienci stoją więc przed zasadniczą decyzją: wybrać rozwiązanie przeznaczone wyłącznie do ochrony środowiska wirtualnego (i używać dwóch różnych systemów – drugiego do ochrony systemów fizycznych) czy raczej system, który potrafi chronić jednocześnie serwery fizyczne i wirtualne. Trudno wskazać, które podejście jest lepsze. Często kluczowym czynnikiem może być po prostu cena.
Wirtualizacja daje pewne nowe możliwości w zakresie backupu. Ponieważ maszyna wirtualna to plik, można za jednym razem skopiować zarówno dane, jak i parametry konfiguracyjne danej maszyny. Do jej zabezpieczenia wykorzystuje się technologię kopii migawkowych (snapshot). Na początku wykonywania kopii plik wirtualnej maszyny jest „zamrażany” (do momentu zakończenia procesu kopiowania), a wprowadzane do niego zmiany wynikające z ciągłej pracy maszyny trafią do pliku tymczasowego. Po wykonaniu kopii oba pliki są synchronizowane.
Mechanizmy tworzenia kopii zapasowych są wbudowane w hypervisory, ale ich funkcjonalność oraz skalowalność są ograniczone. Zatem w praktyce najczęściej stosuje się dodatkowe narzędzia. Przykładowo, świetną funkcją jest przywracanie wybranych obiektów (np. pojedynczych plików) z pełnej kopii maszyny wirtualnej.
Jeżeli porównamy funkcje najpopularniejszych systemów backupu środowisk wirtualnych, okaże się, że różnice są niewielkie. Większe różnice występują w zakresie funkcji służących przywracaniu danych. Starannej analizy wymagają też modele licencjonowania, ponieważ producenci dokładają starań, aby je skomplikować i utrudnić porównanie z ofertą konkurencji.
Krzysztof Waszkiewicz
Business Solutions Architect, VMware
Jednym z obszarów, który cieszy się wyraźnym wzrostem zainteresowania odbiorców, jest szyfrowanie ruchu sieciowego i samych pamięci masowych. Skoro cała maszyna wirtualna zawierająca dane jest plikiem na dysku, chcemy ten plik zabezpieczyć przed niepowołanym dostępem, zarówno w miejscu jego składowania, czyli w macierzy, jak i w czasie przesyłania do niego danych, czyli w sieci SAN lub LAN. Drugim obszarem, w którym reseller może znaleźć okazję na zwiększenie przychodów, jest przeprowadzanie wszelkiego rodzaju audytów, co wymaga jednak większego zaangażowania i umiejętności. Czasami są to czynności uzupełniane audytami producenta, np. VMware. W innym przypadku reseller może samodzielnie sprzedawać w całości swoją usługę, bazując na posiadanych kompetencjach.
Podobne artykuły
Bezpieczeństwo infrastruktury krytycznej
Ochrona infrastruktury krytycznej zależy nie tylko od oceny ryzyka cyberzagrożeń dla jej integralności, znajomości wektorów ataku i zapewnienia bezpieczeństwa sieci informatycznej. Trzeba brać pod uwagę także awarie sprzętu, ryzyko błędu ludzkiego, klęski żywiołowe oraz przerwy w dostawie prądu.
Bezpieczeństwo infrastruktury krytycznej
Infrastruktura krytyczna narażona jest nie tylko na awarie i działanie warunków atmosferycznych, ale również na ataki cyfrowe.
BlackBerry: bezpieczeństwo tkwi w naszym DNA
BlackBerry, chociaż nie produkuje już telefonów komórkowych, kontynuuje działalność w obszarze, dzięki któremu były one doceniane przez miliony użytkowników. Obecnie firma specjalizuje się w rozwiązaniach cyberochronnych, które bazują na budowanym od 35 lat fundamencie.