Nie wszystkim się udaje właściwie chronić środowiska wirtualne, co wynika z faktu, że przedsiębiorcy stosują firewalle na brzegach sieci, IPS/IDS wewnątrz systemów operacyjnych czy Web Application Firewall. Zdaniem specjalistów takie podejście nie gwarantuje pełnego bezpieczeństwa, gdyż na jednym fizycznym serwerze x86 może być uruchomionych nawet kilkaset maszyn wirtualnych, a komunikacja między nimi nie jest w żaden sposób poddawana kontroli.

Nic dziwnego, że nadzór nad „wirtualkami” często wymyka się spod kontroli osób odpowiedzialnych za bezpieczeństwo. Największe atuty maszyn wirtualnych, a więc prostota, szybkość ich tworzenia i łatwość przenoszenia, stają się zmorą administratorów. Problem dotyczy zwłaszcza małych i średnich firm, które odczuwają deficyt specjalistów IT. Ale również większe przedsiębiorstwa natrafiają na przeszkody związane z zarządzaniem i ochroną wirtualnej infrastruktury. Chętnie wykorzystują platformy wirtualizacyjne do obsługi ważnych procesów biznesowych, więc szkody, które ponoszą w wyniku ataków na maszyny wirtualne, są dla nich bardziej dotkliwe niż te wymierzone w infrastrukturę fizyczną. Dlatego dobrze, że firmy poszukujące produktów zabezpieczających „wirtualki” nie mogą narzekać na brak ofert.

Klienci wybierający narzędzia do ochrony środowisk wirtualnych mają większe pole manewru niż podczas poszukiwania systemów zabezpieczających serwery fizyczne bądź desktopy. Poza tym oprogramowanie do wirtualizacji ma wbudowane mechanizmy, które zapewniają wysoką dostępność i ochronę w przypadku awarii. Dobrym przykładem jest tworzenie klastrów, między którymi maszyny wirtualne są przenoszone w locie – mówi Mateusz Łuka, Product Manager w Konsorcjum FEN.

Co ważne, kluczowi gracze na rynku wirtualizacji nie powiedzieli jeszcze ostatniego słowa w kwestii bezpieczeństwa. Ich działania zmierzają w kierunku integracji funkcji ochronnych z własnym oprogramowaniem. Koncepcja ma na celu ograniczenie lub wyeliminowanie wielu agentów i dodatkowych urządzeń. Pat Gelsinger, CEO w firmie VMware, uważa, że tego typu działania przyczynią się do zmniejszania powierzchni podatnej na ataki.

 

(Nie)potrzebne antywirusy

Ostatnio antywirusy znalazły się na cenzurowanym. Krytykowane są za niewielką skuteczność w zakresie wykrywania malware’u, a także nadmierne wykorzystywanie mocy obliczeniowych urządzeń, w których pracują. Wspomniany już Pat Gelsinger podczas ostatniego VMworld w Barcelonie oznajmił, że mechanizmy ochronne powinny być wbudowane w infrastrukturę i koncentrować się na analizie zachowania użytkowników i aplikacji. Nie oznacza to jednak, że VMware postawił krzyżyk na oprogramowaniu antywirusowym.

Wręcz namawiamy naszych klientów, żeby wykorzystywali oprogramowanie antywirusowe, bo nawet mikrosegmentacja nie zwalnia ze stosowania ochrony wewnątrz systemu operacyjnego. Wiodący producenci coraz częściej wprowadzają do swych rozwiązań samouczące się algorytmy, które pozwalają wykryć wcześniej nieznane zagrożenia. Polecamy właśnie takie aplikacje – mówi Mikołaj Wiśniak, Manager Systems Engineering w VMware.

Niemniej jednak wśród ekspertów od wirtualizacji nie ma jednomyślności co do potrzeby instalowania oprogramowania antywirusowego. Czasami jego zastosowanie jest bezzasadne.

Niektórzy specjaliści zalecają, żeby w przypadku środowisk wirtualnych aplikacji oraz desktopów nie instalować antywirusów bezpośrednio w maszynach wirtualnych, takich jak VDI czy serwer usług terminalowych. Mogą być uruchamiane ze „złotego obrazu”, służącego tylko do odczytu. Natomiast należy monitorować wszystkie systemy i miejsca, do których użytkownicy mają dostęp – tłumaczy Sebastian Kisiel, Senior Sales Engineer w Citrix Systems.

Istnieje również szkoła klasyczna, której zwolennicy zalecają zabezpieczenie i kontrolę całego środowiska bez wyjątku. Kolejna dyskusja między fachowcami od bezpieczeństwa i wirtualizacji dotyczy zastosowania agentów. Większość producentów antywirusów ma przygotowane swoje rozwiązania do wykorzystania na dwa sposoby: z agentem i bez agenta. W ramach tej drugiej opcji oferują system przeznaczony do obsługi używanej przez klienta platformy wirtualnej: VMware, Microsoft Hyper-V lub KVM. To umożliwia wykorzystanie centralnej maszyny wirtualnej i tzw. lekkich agentów instalowanych w zewnętrznych systemach. Zaletą takiego rozwiązania jest przyspieszenie procesu skanowania i niewielkie zużycie zasobów obliczeniowych.

Zastosowanie wersji bezagentowej oznacza zapotrzebowanie na moc procesora oraz pamięć RAM nawet o kilkanaście procent mniejsze niż w alternatywnym rozwiązaniu. Ponadto łatwiej uaktualnia się środowiska, w których zamiast kilkuset agentów proces ten obejmuje kilkanaście urządzeń wirtualnych – podkreśla Mikołaj Wiśniak.

Jednak w niektórych przypadkach instalacja oprogramowania antywirusowego z agentami ma uzasadnienie. Chociażby w celu zabezpieczenia procesów związanych z przetwarzaniem danych z kart kredytowych. Warto dodać, że antywirusy bez agenta mają swoje ograniczenia, a jednym z nich jest brak niektórych funkcji z klasycznych rozwiązań. Michal Jankech, Principal Product Manager w Eset, uważa, że wraz ze wzrostem mocy obliczeniowej wersje bezagentowe zaczną odchodzić do lamusa. Jednym z powodów ma być poprawa poziomu bezpieczeństwa, a z drugiej lepsza integracja oprogramowania antywirusowego z systemem operacyjnym i wykorzystywanie wszystkich warstw ochrony.

 

(Nie)bezpieczna sieć

Wirtualizacja najpierw wkroczyła do świata serwerów, następnie pamięci masowych, by wreszcie dotrzeć do sieci. Tak długa droga nie jest dziełem przypadku, bowiem sieć to wyjątkowo złożona materia. Nie bez znaczenia dla rozwoju tego segmentu rynku była hegemonia Cisco, bo producentowi przez dłuższy czas było nie po drodze z wirtualizacją. Punktem zwrotnym stało się przejęcie w 2012 r. przez VMware’a startupu Nicira, pracującego nad oprogramowaniem SDN (Software Defined Network). Z czasem koncepcja polegająca na rozdziale warstwy sterowania od transportowej miała coraz więcej zwolenników, którzy dostrzegali jej liczne walory, m.in. obniżenie kosztów operacyjnych, optymalne wykorzystanie zasobów sieciowych, łatwość i szybkość wprowadzania nowych funkcji.

Jednak sieć zdefiniowana programowo wymaga nowego sposobu myślenia o bezpieczeństwie. Klasyczne rozwiązania nie są przystosowane do ochrony wirtualnych centrów danych ani chmury publicznej. Zdecydowanie lepiej w tej roli sprawdzają się wyspecjalizowane systemy opracowane z myślą o ochronie zwirtualizowanych zasobów sieciowych. W nowym modelu ruch nie musi być przekierowywany z wirtualnej infrastruktury do zewnętrznego punktu kontrolnego. Funkcje bezpieczeństwa można uruchomić wszędzie tam, gdzie są potrzebne, np. jako aplikację na hypervisorze „bare metal” lub jako usługę w maszynie wirtualnej.

Rozwiązania natywnej ochrony maszyn wirtualnych istnieją już od pewnego czasu. Na rynku dostępne są różne produkty przystosowane do współpracy z oprogramowaniem do wirtualizacji sieci (m.in. VMware NSX), wirtualne narzędzia sieciowe oraz rozwiązania służące do monitorowania sieci, wykorzystujące SDN – wymienia Michal Jankech.

Przykładem nowoczesnego podejścia do ochrony centrów danych jest mikrosegmentacja, która pozwala administratorom na kontrolę ruchu między maszynami wirtualnymi w centrum danych. Rozwiązanie to zyskuje na znaczeniu wraz ze wzrostem popularności SDN oraz wirtualizacją sieci. Paweł Bociąga, CEO Symmetry, zwraca uwagę na dwie różne koncepcje ochrony sieci lansowane przez Cisco oraz VMware.

Walorem VMware NSX jest bliska integracja z hypervisorem i stosunkowo łatwa implementacja. Ale rozwiązanie to nie uwzględnia fizycznych przełączników. Z kolei technologia ACI, opracowana przez Cisco, umożliwia mikrosegmentację w warstwie przełączników fizycznych, natomiast nie zarządza wirtualnymi switchami – wyjaśnia Paweł Bociąga.

Backup środowisk wirtualnych

Ochrona środowisk wirtualnych to w większości przedsiębiorstw rzecz oczywista, ale i zadanie z roku na rok coraz trudniejsze. Dzieje się tak z kilku powodów. Jednym z nich jest dynamiczny wzrost liczby wirtualnych maszyn, tym bardziej że zaczynają się już pojawiać takie o pojemności kilku terabajtów. Minęły też czasy, kiedy firmy wybierały popularną platformę wirtualizacyjną vSphere (VMware) lub Hyper-V (Microsoft). Obecnie przedsiębiorcy zaczynają sięgać po alternatywne rozwiązania, np. Citrix Xen, Oracle VM, Huawei FusionCompute, Red Hat czy Promox. Rośnie też liczba firm i instytucji używających więcej niż jednego hypervisora.

Warto bazować przynajmniej na dwóch produktach, żeby łatwiej negocjować ceny oprogramowania. Ponadto pojawiają się klienci wymagający wirtualizacji warstwy aplikacyjnej lub konteneryzacji. Użytkownicy stosują rozwiązania wielu marek, a dostawcy muszą brać to pod uwagę – wyjaśnia Przemysław Mazurkiewicz, dyrektor działu System Engineering w regionie EMEA East, Commvault.

 

Taki stan rzeczy stanowi niemałe wyzwanie dla integratorów dostarczających rozwiązania do ochrony danych. Paweł Bociąga przyznaje, że choć nie ma najmniejszych kłopotów z wyborem narzędzia do backupu dwóch najpopularniejszych platform – VMware vSphere i Microsoft HyperV. Sytuacja się komplikuje, kiedy trzeba wybrać odpowiednie oprogramowanie dla platform wirtualizacyjnych Xen, KVM i ich licznych odmian. Oferta dostawców w tym zakresie jest bardzo skromna. Innym problemem, na który mogą natrafić klienci, jest brak integracji oprogramowania do ochrony danych z antywirusami. Wcześniej mało kto zwracał uwagę na ten aspekt, ale nasilenie się ataków ransomware sprawiło, że zaczęto go dostrzegać.

Antywirusy są zawsze krok za napastnikami. Dlatego system do backupu i oprogramowanie antywirusowe powinny się uzupełniać. Zdarzają się przypadki, że kopia zapasowa maszyny wirtualnej jest zainfekowana. Czasami wynika to z braku aktualizacji antywirusa. Współpraca gwarantuje pełniejszą kontrolę. Nie tylko zabezpieczamy dane, ale podczas odtwarzania sprawdzamy, czy nie są zawirusowane – mówi Tomasz Krajewski, Director Technical Sales Eastern EMEA w Veeamie.

W najbliższych latach jednym z częstych zajęć działów IT będzie porządkowanie danych i aplikacji rozproszonych po serwerach fizycznych, wirtualnych bądź chmurach publicznych. Wprawdzie wyspecjalizowane systemy do backupu maszyn wirtualnych wciąż cieszą się dużą popularnością, ale prędzej czy później firmy zaczną stawiać na uniwersalne systemy do ochrony i przechowywania danych w różnych środowiskach. Nowe produkty Commvault, Dell EMC oraz mniej znanych graczy, takich jak Rubrik czy Cohesity, nie pozostawiają żadnych złudzeń: przyszłość należy do wielofunkcyjnych kombajnów.

Zdaniem integratora

Tomasz Spyra, CEO, Rafcom

Wielu administratorów stara się wybrać takie rozwiązanie, które spełniałoby wymagania firmowej polityki bezpieczeństwa w zakresie funkcji i wydajności, a jednocześnie było dostosowane do budżetu, którym dysponują. Niestety, nie zawsze się to udaje. Ochrona środowisk wirtualnych w pewnym stopniu pokrywa się z zabezpieczeniem urządzeń fizycznych i w tym przypadku administratorzy zazwyczaj nie mają kłopotów z doborem rozwiązań. Jednak w obszarach, gdzie pojawiają się różnice, nie brakuje problemów.

 

Zdaniem specjalistów

Łukasz Milic, Business Development Representative, QNAP

Łączenie środowisk różnych dostawców mechanizmów wirtualizacji jest na szczęście rzadko spotykane. Jeśli chodzi o sprzęt, klienci korzystają z usług różnych producentów, ale w przypadku wirtualizacji starają się ograniczać tylko do jednego. Jest to związane z kwestią łatwiejszego zarządzania i unifikacji zasobów. Zdarza się jednak, że klienci są zmuszeni do korzystania z różnych środowisk. A to niestety stawia przed nimi wiele wyzwań.

Tomasz Krajewski, Director Technical Sales, Eastern EMEA, Veeam

Dostawcy antywirusów i oprogramowania do backupu muszą dokonywać integracji z systemami do wirtualizacji. Powinni wykorzystywać najnowsze funkcje i jak najszybciej zapewniać zgodność z najnowszą wersją. Nie można narażać klientów na czekanie na aktualizację całego systemu wirtualizacji tylko dlatego, że antywirus czy backup nie jest jeszcze z nim zgodny. Przyjęliśmy zasadę, że w ciągu 90 dni od pojawienia się nowej wersji VMware lub Hyper-V przygotowujemy nową wersję naszego oprogramowania.

Przemysław Mazurkiewicz, dyrektor działu System Engineering w regionie EMEA EAST, Commvault

Rozwiązania służące do backupu maszyn wirtualnych muszą nadążać za rynkiem aplikacji i uwzględniać również oprogramowanie open source. Bardzo ważne jest także wsparcie narzędziowe procesu migracji do chmury oraz transferu danych między różnymi środowiskami. Systemy przyszłości będą wyposażane w silnik przeszukiwania, który może być stosowany także do zapewnienia zgodności z regulacjami typu RODO. Będą również gwarantowały wyższy poziom bezpieczeństwa i ochrony przed ransomware’em oraz uwzględniały rozwiązania z zakresu sztucznej inteligencji.

Przemysław Biel, Key Account Manager Poland, Synology

Systemy do tworzenia kopii bezpieczeństwa mają różne formy, niektóre są instalowane na serwerach Windows, inne bezpośrednio w systemach NAS. Oprogramowanie do backupu należy dostosować do infrastruktury firmy. Gdy maszyny wirtualne są przechowywane na serwerze NAS, świetnym rozwiązaniem jest skorzystanie z zainstalowanego na nim oprogramowania. Takie podejście ułatwia zarządzanie kopiami z każdego miejsca oraz wykorzystanie dodatkowych mechanizmów bezpieczeństwa wbudowanych w aplikacje serwera.

Mariusz Kochański, członek zarządu, dyrektor Działu Systemów Sieciowych, Veracomp

Ochrona środowisk wirtualnych stała się nowym wyzwaniem dla administratorów. Teoretycznie w środowisku wirtualnym zarządzanie bezpieczeństwem poszczególnych warstw wygląda podobnie jak w rozwiązaniach tradycyjnych. W praktyce, zwłaszcza gdy zastosowano kontenery oraz współużytkowanie zasobów fizycznych w modelu IaaS albo Paas, pojawia się kwestia bezpieczeństwa poszczególnych instancji. Błędy konfiguracyjne mogą dotyczyć nie tylko hypervisora, systemu operacyjnego czy aplikacji. Zła konfiguracja sieci lub narzędzi do uwierzytelniania może doprowadzić do nieświadomego, niekontrolowanego wycieku danych.