Zalecenia dla środowiska wirtualnego

Podczas konferencji VMworld, RSA udostępnił rekomendacje w zakresie bezpieczeństwa i zgodności dla środowisk wirtualnych. Opublikowane wskazówki skupiają się przede wszystkim na optymalnym wykorzystaniu narzędzi zarządzania i bezpieczeństwa udostępnionych przez VMware.

Zarówno ta firma, jak i RSA należą do EMC. Opracowanie Security Compliance in a Virtual World zwraca uwagę na fakt, że każda infrastruktura IT, która została zwirtualizowana w części lub całości, musi spełniać wymagania różnych obowiązujących regulacji, takich jak PCI DSS (Payment Card Industry Data Security Standards), HIPAA i wymagania dotyczące ochrony danych obowiązujących w Unii Europejskiej, a także różnych krajowych przepisów.

Tak jak w wypadku tradycyjnego środowiska IT, audytorzy będą wymagać w tym względzie dowodów istnienia mechanizmów kontrolnych zapewniających ochronę przed nieautoryzowanym dostępem, rozgraniczanie obowiązków administracyjnych, izolowanie systemów przetwarzających informacje chronione oraz monitorowanie dostępu. RSA stwierdza w opracowaniu, że wirtualizacja jest nadal relatywnie nową technologią i stwarza konieczność zmiany paradygmatu techniki komputerowej, tak więc organizacje muszą poświęcić czas i wysiłek na naukę, jak radzić sobie z tym wyzwaniem.

RSA zwraca uwagę w opracowaniu, że środowiska tradycyjne i zwirtualizowane są istotnie różne z natury. W środowisku zwirtualizowanym nie istnieje wzajemne jednoznaczne odwzorowanie pomiędzy fizycznym hostem i serwerem. Maszyny wirtualne mogą równie dobrze pracować na jednym lub na wielu fizycznych hostach. Powiązania te zmieniają się dynamicznie, utrudniając utrzymanie pełnej kontroli nad nimi. W rezultacie praktyki zarządzania konfiguracją i zmianami stają się dużo bardziej krytyczne w środowiskach wirtualnych. RSA zaleca, aby zarządcy IT wykorzystywali narzędzia, których już używają w środowiskach fizycznych do zmniejszenia obciążeń związanych z zarządzaniem zgodnością w środowiskach wirtualnych.

W opracowaniu specjaliści RSA podkreślają, iż chcą przenieść dyskusję o bezpieczeństwie z płaszczyzny koncentrującej się na bezpieczeństwie hypervisora na płaszczyznę generalnej zgodności z wymaganiami bezpieczeństwa, audytu, rejestrowania i zbierania informacji o zdarzeniach. Mieszanka środowisk tradycyjnych i zwirtualizowanych to dziś bowiem dość powszechna sytuacja w wielu organizacjach wprowadzających wirtualizację - tworzy środowisko hybrydowe, które musi być administrowane i odpowiednio rejestrowane z powodu obowiązujących przepisów o ochronie informacji.