Od wirtualizacji serwerów jest już tylko jeden krok do chmury. Dlatego warto myśleć perspektywicznie i oferować zabezpieczenia, które zapewniają ochronę środowisk typu cloud. Według Grand View Research światowy rynek bezpieczeństwa chmury będzie wart prawie 14 mld dol. w 2024 r. W zeszłym roku przychody w tym obszarze wyniosły ok. 5 mld. dol.

Spodziewany wzrost na rynku bezpieczeństwa chmury jest związany z rosnącym popytem na rozwiązania służące zabezpieczaniu danych poza granicami firmowych sieci. Przyczyniają się do tego m.in. regulacje prawne nakładające na organizacje określone obowiązki związane z ochroną danych w przypadku korzystania z chmury. W szczególności dotyczy to niektórych branż, np. ochrony zdrowia i sektora finansowego.

Wraz ze wzrostem liczby przedsiębiorstw korzystających z chmury zwiększy się częstotliwość cyberataków i ich zaawansowanie. Przedsmak skali tego zjawiska pokazują zdarzenia z ostatnich dwóch lat, w tym spektakularne ataki na serwisy Ashley Madison, Home Depot, Anthem, a nawet na niektórych producentów zabezpieczeń, np. Kaspersky Lab.

Myśląc o ochronie systemów cloud computingu, warto skupić się przede wszystkim na zabezpieczeniu chmury hybrydowej. Właśnie w tym kierunku będą ewoluować dzisiejsze środowiska wirtualne wykorzystywane przez firmy. W przyszłości mają się bowiem składać z lokalnej, prywatnej infrastruktury IT oraz chmury publicznej. Oba obszary potrzebują zabezpieczonych kanałów komunikacji (np. szyfrowania) oraz zunifikowanego zarządzania. Eksperci z Kaspersky Lab przewidują, że do 2020 r. wydatki na bezpieczeństwo chmury hybrydowej zwiększą się od 2,5 do 3 razy w porównaniu z prognozami na 2017 r.

 

Zabezpieczenia zaprojektowane pod kątem wirtualizacji

Nowoczesne centra danych zmieniają się gwałtownie pod wpływem wirtualizacji, chmury i nowych metod wdrażania aplikacji, jak kontenery. Wiele firm korzystających z wirtualizacji i chmury uważa, że zabezpieczenie tego rodzaju środowisk wymaga zupełnie nowych metod. Jednak w praktyce trudno zauważyć fundamentalne różnice. Wciąż potrzebne są rozwiązania ochronne, które wykorzystuje się w lokalnym środowisku. Powinny być jednak uzupełnione o nowe możliwości, związane z dostosowaniem do dynamicznego charakteru chmury obliczeniowej i koniecznością nadążania za zmianami zachodzącymi w infrastrukturze IT.

 

Wyzwaniem jest poszukiwanie balansu między wydajnością środowiska wirtualnego a jego bezpieczeństwem. Zastosowanie tradycyjnego rozwiązania ochronnego, wykorzystującego tzw. agenty, to zły wybór w przypadku infrastruktury wirtualnej. Używanie takich zabezpieczeń może pozbawić użytkownika większości zalet wirtualizacji w wyniku nadmiernego obciążenia zasobów i ruchu sieciowego. Dlatego najlepiej oferować klientom zabezpieczenia, w których wprowadzono istotną zmianę – działają one bezagentowo (lub z lekkim agentem) dzięki ścisłej integracji z platformami wirtualizacji. W rozwiązaniach bezagentowych funkcje bezpieczeństwa są w całości zaimplementowane na poziomie hypervisora. Z kolei lekki agent to oprogramowanie instalowane w maszynach wirtualnych, który realizuje część podstawowych funkcji typowego agenta. Zadania wymagające większej mocy obliczeniowej są zaś przekazywane do specjalnej maszyny wirtualnej.

Błędem jest przyjmowanie, że zabezpieczenia sprzętowe, które dobrze sprawdzają się w środowisku fizycznym, będą równie dobrze współpracować z maszynami wirtualnymi. Z drugiej strony warto jednak pamiętać, że producenci zabezpieczeń i systemów zarządzania wyposażają je w coraz nowsze funkcje i narzędzia, które są „świadome” wirtualizacji. Zdecydowanie warto więc stosować oprogramowanie emulujące zabezpieczenia fizyczne, które można zainstalować w specjalnie przygotowanych do tego celu maszynach wirtualnych.

 

Wirtualizacja i backup

Kopie zapasowe maszyn wirtualnych można tworzyć, używając produktów do backupu maszyn fizycznych. Wymagają one instalowania agentów w każdym chronionym serwerze. Jednak, podobnie jak w przypadku rozwiązań ochronnych, ubocznym efektem jest poważny narzut. To główny czynnik, który zdecydował, że na rynku pojawiły się narzędzia backupowe specjalnie do ochrony środowisk wirtualnych. Klienci stoją więc przed zasadniczą decyzją: wybrać rozwiązanie stworzone wyłącznie z myślą o wirtualizacji (i używać dwóch różnych systemów – drugiego do ochrony systemów fizycznych) czy raczej system, który potrafi chronić jednocześnie serwery fizyczne i wirtualne. Trudno wskazać, które podejście jest lepsze; często decydującym czynnikiem może po prostu okazać się cena.

Jak zarobić…

Gdy mowa o ochronie środowisk wirtualnych, potencjalnych klientów należy szukać wśród użytkowników najpopularniejszych platform do wirtualizacji (VMware vSphere, Microsoft, Hyper-V, Citrix XenServer/XenDesktop czy KVM). Co istotne, dostępne na rynku rozwiązania mogą być licencjonowane w zależności od liczby chronionych wirtualnych desktopów lub serwerów czy też rdzeni serwerów fizycznych, na których działa środowisko wirtualne.

Ważne jest integrowanie rozwiązań do zabezpieczenia środowisk wirtualnych z całym systemem bezpieczeństwa funkcjonującym w danym przedsiębiorstwie. Użytkownikom umożliwia to uzyskanie pełnej widoczności sieci i zdolności do scentralizowanego zarządzania, co staje się wyzwaniem w coraz mniej fizycznych infrastrukturach. Dzięki integracji zabezpieczeń i infrastruktury klienci mogą szybciej reagować w przypadkach naruszeń bezpieczeństwa. Jeśli zostaną wdrożone odpowiednie mechanizmy automatyzacji, niektóre działania czy zmiany mogą być wprowadzane bez udziału człowieka. Warto zwrócić uwagę na zabezpieczenia, które można integrować z platformami do wirtualizacji.

Kolejnym „źródłem” przychodów jest regulacja RODO. W związku z jej wprowadzeniem klientom można zaproponować usługi audytu infrastruktury. Celem takiego audytu jest analiza, w jakim stopniu poszczególne elementy firmowego środowiska IT są przygotowane na zmiany prawne, oraz wykrycie potencjalnych słabych ogniw w obszarach takich jak: sieć firmowa, centrum danych czy zarządzanie tożsamością i dostępem. Konsekwencją nieprzestrzegania nowego prawa są m.in. surowe kary finansowe.

 

Wirtualizacja daje pewne nowe możliwości w zakresie backupu. Ponieważ maszyna wirtualna to plik, można za jednym razem skopiować zarówno dane, jak i konfigurację danej maszyny. Wówczas podstawowy plik maszyny wirtualnej jest blokowany w celu wykonania jego tzw. kopii migawkowej (snapshot), zaś wprowadzane w tym czasie zmiany związane z aktywnością maszyny są rejestrowane i wprowadzane później do pliku.

Mechanizmy tworzenia kopii zapasowych są wbudowane w hypevisor, ale nie skalują się dobrze i w praktyce najczęściej stosuje się dodatkowe narzędzia, które umożliwiają wykorzystanie wszystkich zalet, jakie daje wirtualizacja w zakresie backupu. Przykładowo świetną funkcją jest przywracanie wybranych obiektów (np. pojedynczych plików) z pełnej kopii maszyny wirtualnej.

 

Problemy użytkowników, które można pomóc rozwiązać

Dużym wyzwaniem dla klientów okazuje się różnorodność ich środowisk IT – najczęściej jest to połączenie serwerów wirtualnych i fizycznych, które wymagają zabezpieczenia. Istotnym ułatwieniem w takiej sytuacji są rozwiązania, które umożliwiają zarządzanie bezpieczeństwem wszystkich serwerów, bez względu na miejsce, w którym się znajdują (serwery fizyczne, wirtualne, chmura publiczna).

Dynamiczna natura wirtualizacji z punktu widzenia bezpieczeństwa stanowi wyzwanie, jeśli chodzi o przypisywanie reguł do maszyn wirtualnych i ich przestrzeganie. Poza tym maszyny wirtualne mogą być modyfikowane sposobami, jakie w przypadku serwerów fizycznych zdarzają się niezwykle rzadko. Przykładowo można bardzo szybko dokonać zmiany interfejsów sieciowych czy grupowania portów, co może sprawić, że wprowadzony wcześniej podział sieci na strefy przestanie funkcjonować. W środowisku wirtualnym można uzyskać pożądany rodzaj izolacji czy podział na strefy, ale trudność sprawia przyporządkowanie wdrożonych reguł do maszyn wirtualnych. Należy zatem oferować rozwiązania, które ułatwią zarządzanie regułami sieciowymi i będą współpracować z hypervisorami, co da im wgląd w środowisko wirtualne. Myśląc długofalowo, warto wybierać zintegrowane rozwiązania, które lepiej „wiążą” reguły bezpieczeństwa z maszynami wirtualnymi.

Zdaniem integratora

Aleksander Jagosz, kierownik Wydziału Rozwiązań IT, Integrated Solutions

Skuteczne zabezpieczenie środowiska wirtualnego wiąże się z szeregiem nowych wyzwań, jak choćby zmierzenie się z dynamiczną naturą wirtualnych serwerów. Zabezpieczenia znane ze świata fizycznego nie zawsze dadzą się zastosować w środowisku wirtualnym. Wiele praktyk bezpieczeństwa powszechnie stosowanych w fizycznych serwerach, np. używanie sprzętowych zapór sieciowych do tworzenia odseparowanych stref w sieci, kompletnie nie sprawdza się w środowiskach wirtualnych.

 

Ważną kwestią jest też bezpieczeństwo maszyn wirtualnych, które są wyłączone. Są one bowiem narażone na zainfekowanie szkodliwym kodem, a poza tym zdarza się, że są pomijane przez skanery antywirusowe. W efekcie w momencie uruchamiania takich maszyn wewnątrz firmowego środowiska może dojść do aktywacji wirusa, który nie zostanie wykryty przez zabezpieczenia działające na brzegu sieci.

Warto wspomnieć, że wyjątkowo uciążliwą bolączką dla użytkowników infrastruktury wirtualnych desktopów (VDI) są ataki typu ransomware. Najczęściej słyszy się o przypadkach zaszyfrowania dysków w fizycznych stacjach roboczych, ale to samo może się stać również z wirtualnymi pulpitami. Co więcej, w tym drugim przypadku skutki ataku mogą być dużo poważniejsze. Maszyna wirtualna jest bowiem uruchamiana z centrum danych, co oznacza, że aktywacja złośliwego kodu może mieć wpływ na całą infrastrukturę i procesy biznesowe. Jeśli ransomware zaszyfruje wzorcowy obraz (tzw. golden image), z którego korzysta wiele wirtualnych desktopów, każdy z nich będzie zainfekowany. Dlatego zabezpieczanie VDI nie może ograniczać się do zainstalowania programów ochronnych w każdej maszynie wirtualnej. Dodatkowo potrzebne jest rozwiązanie zaprojektowane specjalnie pod kątem zwirtualizowanego środowiska.

 

Bezpieczeństwo sieci

Wirtualizacja sprawia, że w jednym serwerze fizycznym powstaje sieć wirtualnych połączeń. Pojawiły się już ataki ukierunkowane na wirtualne sieci, ponieważ często komunikacja niewychodząca poza serwer fizyczny nie jest kontrolowana. Administratorzy sieciowi powinni monitorować i zabezpieczać ruch w wirtualnych sieciach w sposób podobny do tego, jaki ma miejsce w przypadku sieci fizycznych.

Narzędzia do monitoringu umożliwiają wykrycie takich zagrożeń jak botnety czy inne rodzaje ataków. Dlatego konieczna jest instalacja systemu IDS czy innych zabezpieczeń. Według firmy badawczej Research and Markets wirtualizacja to główny czynnik napędzający wzrost sprzedaży właśnie w segmencie rozwiązań do ochrony sieci.

 

Rozwój zabezpieczeń

Najwyraźniejszym trendem technologicznym jest dążenie do maksymalnej integracji rozwiązań zabezpieczających różne środowiska, aby uzyskać w nie pełny wgląd i usprawnić zarządzanie. Widać też wzrost liczby ataków na środowiska wirtualne i hybrydowe, ponieważ są one coraz powszechniej wykorzystywane w przedsiębiorstwach. Obszar ten wymaga więc szczególnej uwagi pod kątem wykrywania nowych, zaawansowanych zagrożeń.

Ponadto same zabezpieczenia będą coraz częściej oferowane w postaci wirtualnej bądź chmurowej. Już kilka lat temu analitycy z IDC zauważyli, że firmy zaczynają preferować wdrażanie zabezpieczeń w postaci oprogramowania instalowanego w maszynach wirtualnych (tzw. virtual appliance) zamiast stosowania tradycyjnych rozwiązań sprzętowych i programowych. W tej formie można uruchomić zaporę sieciową, system IPS/IDS czy aplikację antyspamową. Z kolei rozwiązania typu vCPE (virtual Customer Premise Equipment) udostępniają klientom np. funkcje firewalli czy połączeń VPN za pomocą oprogramowania, a nie sprzętu. Technologie tego typu umożliwiają klientom zamawianie na żądanie nowych usług lub dostosowywanie już używanych rozwiązań.