facebook adres e-mail telefon

Wirtualizacja maszyn a bezpieczeństwo systemów i danych

Wirtualizacja maszyn jest coraz częściej stosownym rozwiązaniem.

Konsolidacja zasobów w ramach wirtualizacji niesie ze sobą trudne zadania, a jednym z najważniejszych jest ochrona cyfrowych zasobów. Wymaga ona opracowania odpowiedniej polityki bezpieczeństwa i często wybrania innych rozwiązań niż stosowane w tradycyjnym środowisku.

Nie wszystkim się udaje właściwie chronić środowiska wirtualne, co wynika z faktu, że przedsiębiorcy stosują firewalle na brzegach sieci, IPS/IDS wewnątrz systemów operacyjnych czy Web Application Firewall. Zdaniem specjalistów takie podejście nie gwarantuje pełnego bezpieczeństwa, gdyż na jednym fizycznym serwerze x86 może być uruchomionych nawet kilkaset maszyn wirtualnych, a komunikacja między nimi nie jest w żaden sposób poddawana kontroli.

Nic dziwnego, że nadzór nad "wirtualkami" często wymyka się spod kontroli osób odpowiedzialnych za bezpieczeństwo. Największe atuty maszyn wirtualnych, a więc prostota, szybkość ich tworzenia i łatwość przenoszenia, stają się zmorą administratorów. Problem dotyczy zwłaszcza małych i średnich firm, które odczuwają deficyt specjalistów IT. Ale również większe przedsiębiorstwa natrafiają na przeszkody związane z zarządzaniem i ochroną wirtualnej infrastruktury. Chętnie wykorzystują platformy wirtualizacyjne do obsługi ważnych procesów biznesowych, więc szkody, które ponoszą w wyniku ataków na maszyny wirtualne, są dla nich bardziej dotkliwe niż te wymierzone w infrastrukturę fizyczną. Dlatego dobrze, że firmy poszukujące produktów zabezpieczających „wirtualki” nie mogą narzekać na brak ofert.

Co ważne, kluczowi gracze na rynku wirtualizacji nie powiedzieli jeszcze ostatniego słowa w kwestii bezpieczeństwa. Ich działania zmierzają w kierunku integracji funkcji ochronnych z własnym oprogramowaniem. Koncepcja ma na celu ograniczenie lub wyeliminowanie wielu agentów i dodatkowych urządzeń. Pat Gelsinger, CEO w firmie VMware, uważa, że tego typu działania przyczynią się do zmniejszania powierzchni podatnej na ataki.

Wirtualizacja maszyn a bezpieczeństwo systemów i danych

(Nie)potrzebne antywirusy - wirtualizacja

Ostatnio antywirusy znalazły się na cenzurowanym. Krytykowane są za niewielką skuteczność w zakresie wykrywania malware’u, a także nadmierne wykorzystywanie mocy obliczeniowych urządzeń, w których pracują. Wspomniany już Pat Gelsinger podczas ostatniego VMworld w Barcelonie oznajmił, że mechanizmy ochronne powinny być wbudowane w infrastrukturę i koncentrować się na analizie zachowania użytkowników i aplikacji. Nie oznacza to jednak, że VMware postawił krzyżyk na oprogramowaniu antywirusowym.

Niemniej jednak wśród ekspertów od wirtualizacji nie ma jednomyślności co do potrzeby instalowania oprogramowania antywirusowego. Czasami jego zastosowanie jest bezzasadne.

Istnieje również szkoła klasyczna, której zwolennicy zalecają zabezpieczenie i kontrolę całego środowiska bez wyjątku. Kolejna dyskusja między fachowcami od bezpieczeństwa i wirtualizacji dotyczy zastosowania agentów. Większość producentów antywirusów ma przygotowane swoje rozwiązania do wykorzystania na dwa sposoby: z agentem i bez agenta. W ramach tej drugiej opcji oferują system przeznaczony do obsługi używanej przez klienta platformy wirtualnej: VMware, Microsoft Hyper-V lub KVM. To umożliwia wykorzystanie centralnej maszyny wirtualnej i tzw. lekkich agentów instalowanych w zewnętrznych systemach. Zaletą takiego rozwiązania jest przyspieszenie procesu skanowania i niewielkie zużycie zasobów obliczeniowych.

Jednak w niektórych przypadkach instalacja oprogramowania antywirusowego z agentami ma uzasadnienie. Chociażby w celu zabezpieczenia procesów związanych z przetwarzaniem danych z kart kredytowych. Warto dodać, że antywirusy bez agenta mają swoje ograniczenia, a jednym z nich jest brak niektórych funkcji z klasycznych rozwiązań. Michal Jankech, Principal Product Manager w Eset, uważa, że wraz ze wzrostem mocy obliczeniowej wersje bezagentowe zaczną odchodzić do lamusa. Jednym z powodów ma być poprawa poziomu bezpieczeństwa, a z drugiej lepsza integracja oprogramowania antywirusowego z systemem operacyjnym i wykorzystywanie wszystkich warstw ochrony.

(Nie)bezpieczna sieć

Wirtualizacja najpierw wkroczyła do świata serwerów, następnie pamięci masowych, by wreszcie dotrzeć do sieci. Tak długa droga nie jest dziełem przypadku, bowiem sieć to wyjątkowo złożona materia. Nie bez znaczenia dla rozwoju tego segmentu rynku była hegemonia Cisco, bo producentowi przez dłuższy czas było nie po drodze z wirtualizacją. Punktem zwrotnym stało się przejęcie w 2012 r. przez VMware’a startupu Nicira, pracującego nad oprogramowaniem SDN (Software Defined Network). Z czasem koncepcja polegająca na rozdziale warstwy sterowania od transportowej miała coraz więcej zwolenników, którzy dostrzegali jej liczne walory, m.in. obniżenie kosztów operacyjnych, optymalne wykorzystanie zasobów sieciowych, łatwość i szybkość wprowadzania nowych funkcji.

Jednak sieć zdefiniowana programowo wymaga nowego sposobu myślenia o bezpieczeństwie. Klasyczne rozwiązania nie są przystosowane do ochrony wirtualnych centrów danych ani chmury publicznej. Zdecydowanie lepiej w tej roli sprawdzają się wyspecjalizowane systemy opracowane z myślą o ochronie zwirtualizowanych zasobów sieciowych. W nowym modelu ruch nie musi być przekierowywany z wirtualnej infrastruktury do zewnętrznego punktu kontrolnego. Funkcje bezpieczeństwa można uruchomić wszędzie tam, gdzie są potrzebne, np. jako aplikację na hypervisorze „bare metal” lub jako usługę w maszynie wirtualnej.

Przykładem nowoczesnego podejścia do ochrony centrów danych jest mikrosegmentacja, która pozwala administratorom na kontrolę ruchu między maszynami wirtualnymi w centrum danych. Rozwiązanie to zyskuje na znaczeniu wraz ze wzrostem popularności SDN oraz wirtualizacją sieci. Paweł Bociąga, CEO Symmetry, zwraca uwagę na dwie różne koncepcje ochrony sieci lansowane przez Cisco oraz VMware.

Backup środowisk wirtualnych - wirtualizacja

Ochrona środowisk wirtualnych(wirtualizacja) to w większości przedsiębiorstw rzecz oczywista, ale i zadanie z roku na rok coraz trudniejsze. Dzieje się tak z kilku powodów. Jednym z nich jest dynamiczny wzrost liczby wirtualnych maszyn, tym bardziej że zaczynają się już pojawiać takie o pojemności kilku terabajtów. Minęły też czasy, kiedy firmy wybierały popularną platformę wirtualizacyjną vSphere (VMware) lub Hyper-V (Microsoft). Obecnie przedsiębiorcy zaczynają sięgać po alternatywne rozwiązania, np. Citrix Xen, Oracle VM, Huawei FusionCompute, Red Hat czy Promox. Rośnie też liczba firm i instytucji używających więcej niż jednego hypervisora.

Taki stan rzeczy stanowi niemałe wyzwanie dla integratorów dostarczających rozwiązania do ochrony danych. Paweł Bociąga przyznaje, że choć nie ma najmniejszych kłopotów z wyborem narzędzia do backupu dwóch najpopularniejszych platform – VMware vSphere i Microsoft HyperV. Sytuacja się komplikuje, kiedy trzeba wybrać odpowiednie oprogramowanie dla platform wirtualizacyjnych Xen, KVM i ich licznych odmian. Oferta dostawców w tym zakresie jest bardzo skromna. Innym problemem, na który mogą natrafić klienci, jest brak integracji oprogramowania do ochrony danych z antywirusami. Wcześniej mało kto zwracał uwagę na ten aspekt, ale nasilenie się ataków ransomware sprawiło, że zaczęto go dostrzegać. 

W najbliższych latach jednym z częstych zajęć działów IT będzie porządkowanie danych i aplikacji rozproszonych po serwerach fizycznych, wirtualnych bądź chmurach publicznych. Wprawdzie wyspecjalizowane systemy do backupu maszyn wirtualnych wciąż cieszą się dużą popularnością, ale prędzej czy później firmy zaczną stawiać na uniwersalne systemy do ochrony i przechowywania danych w różnych środowiskach. Nowe produkty Commvault, Dell EMC oraz mniej znanych graczy, takich jak Rubrik czy Cohesity, nie pozostawiają żadnych złudzeń: przyszłość należy do wielofunkcyjnych kombajnów. 

Źródło: CRN.pl

CSK dostarcza swoim klientom rozwiązania wirtualizacji serwerów HyperV i Vmware, co umożliwia efektywniejsze wykorzystanie istniejących zasobów sprzętowych. W przypadku pytań zapraszamy do kontaktu.

Poprzedni artykuł: Bazy danych odlecą w chmurę - usługi cloudingowe

Masz pytania? Napisz do nas!

Wyślij wiadomość