Masowa wirtualizacja: czy to bezpieczne?

Gdy dokonuje się konsolidacji wielu systemów, działających w różnych strefach usługowych, pojawia się pytanie o ryzyko biznesowe związane z bezpieczeństwem takiej instalacji.

Najczęściej poruszanym zagadnieniem związanym z bezpieczeństwem wirtualizacji jest przełamanie zabezpieczeń hypervisora, które dawałoby dostęp do innych systemów hostowanych na tej samej maszynie fizycznej (bezpośrednio lub pośrednio). Luki w bezpieczeństwie ujawniane podczas wstępnych etapów rozwoju najpopularniejszych hypervisorów (VMware, Xen, KVM, VirtualBox) były czymś zupełnie normalnym i wynikały ze skomplikowania dzisiejszego oprogramowania. Obecnie są to jednak produkty dojrzałe, w których najważniejsze luki zostały już dawno załatane. Można zatem założyć, że prawdopodobieństwo przełamania zabezpieczeń typowego hypervisora pracującego w produkcyjnym środowisku jest niskie. Zakładamy przy tym poprawną konfigurację i ciągłe utrzymywanie oprogramowania w stanie aktualności, zgodnie z zaleceniami producenta.

Mimo wszystko, przy ocenie należy brać pod uwagę poziom ryzyka biznesowego, który zależy od prawdopodobieństwa naruszenia bezpieczeństwa (w tym przypadku jest ono małe) przemnożonego przez wpływ. W przypadku konsolidacji wielu serwerów, wpływ ten jest bardzo poważny, zatem typowo akceptowalny poziom ryzyka obejmuje jedynie konsolidację usług z jednej grupy pod względem klasyfikacji danych. Znacznie większe ryzyko jest związane z kompleksową wirtualizacją, obejmującą także strefę DMZ.

Centralizacja ochrony w datacenter

Wirtualizowane systemy należy chronić co najmniej tak sprawnie, jak eksploatowane w tradycyjnym środowisku. Jeden ze schematów zakłada wirtualizację systemów z przydzieleniem fizycznych interfejsów i realizację standardowych zabezpieczeń sieciowych między maszynami. W ten sposób można skorzystać z tradycyjnych zapór sieciowych oraz urządzeń IDS/IPS, niezależnie, czy system pracuje bezpośrednio na sprzęcie, czy wewnątrz hypervisora. W przypadku dużych centrów przetwarzania danych, realizujących wirtualizowane usługi dla zewnętrznych klientów, takie rozwiązanie jest związane z koniecznością instalacji wielu urządzeń zabezpieczających.

Wychodząc naprzeciw potrzebom dużych centrów przetwarzania danych, firma Juniper opracowuje rozwiązania centralizujące ochronę, umożliwiając przy tym delegację uprawnień. W ten sposób można zrealizować schemat ochrony, w którym ruch wychodzący z konkretnej maszyny, przypisany do wybranej podsieci VLAN, zostaje przekierowany do wirtualnego IPS-a i przechodzi przez niego. System ten umożliwia nie tylko przypisanie maszyny do konkretnego wirtualnego urządzenia, ale także delegowanie uprawnień administracyjnych.
"Ponieważ każda z firm dzierżawiących usługi w dużym datacenter może posiadać inne założenia polityki bezpieczeństwa, opracowaliśmy system wirtualnych urządzeń IPS, w którym odbywa się przydzielenie wybranych uprawnień różnym osobom. W ten sposób można przypisać uprawnienia administracyjne różnym pracownikom z osobna do każdego z wirtualnych IPS-ów, tak jakby to były niezależne, fizyczne urządzenia" - mówi Wojciech Głażewski, country manager w firmie Juniper.

Technika wirtualnych IPS-ów umożliwia wydzielenie wirtualnego systemu ochrony przetwarzania danych dla każdego klienta datacenter z osobna. Połączenie takiej usługi z dzierżawieniem wirtualizowanych zasobów obliczeniowych wydaje się przyszłością wielu centrów przetwarzania danych.

Ochrona podąża za maszyną

Rozwiązanie polegające na przydzieleniu statycznych interfejsów ma swoje ograniczenia, wynikające ze sztywnego przypisania maszyn. Tych ograniczeń jest pozbawione programowe rozwiązanie ochrony, zintegrowane ze środowiskiem VMware za pomocą interfejsu API VMSafe. Interfejs ten sprawia, że rozwiązania firm trzecich mogą współpracować z mechanizmem przenoszenia maszyn wirtualnych między fizycznymi serwerami i wpływać na ruch sieciowy między nimi. Rozwiązanie z tej grupy posiada w swojej ofercie firma Trend Micro.