Bezpieczna wirtualizacja

Systematycznie rośnie nie tylko liczba narzędzi wspomagających audyt, monitorowanie i bezpieczną konfigurację systemów zwirtualizowanych, ale pojawią się nowe, innowacyjne pomysły, jak wykorzystać ich funkcje do minimalizacji zagrożeń.

Systematycznie rośnie nie tylko liczba narzędzi wspomagających audyt, monitorowanie i bezpieczną konfigurację systemów zwirtualizowanych, ale pojawią się nowe, innowacyjne pomysły, jak wykorzystać ich funkcje do minimalizacji zagrożeń.

Bezpieczeństwo wirtualnych serwerów to coraz częściej poruszany problem. Wirtualizacja, jak każda inna tak poważna zmiana technologii, ma bowiem wpływ na wiele elementów środowiska IT, które zapewniają względnie efektywną jego ochronę przed zagrożeniami. Choć producenci oprogramowania wirtualizacyjnego starają się dostarczyć nie tylko same systemy, ale również dodatkowe narzędzia do zarządzania i zabezpieczania (Computerworld 25/2008 "Wirtualne bezpieczeństwo"), które mają pozwolić na budowę kompletnych środowisk nie ustępujących pod względem funkcjonalności i bezpieczeństwa klasycznym systemom IT wykorzystującym serwery fizyczne, ale nie jest to zadanie dla jednej firmy.

10-krotnie

nawet tyle razy wzrosła w niektórych krajach liczba zleceń związanych z przypadkami utraty danych w środowiskach wirtualnych.

"W efekcie, oferta narzędzi do zarządzania i zabezpieczania serwerów wirtualnych wciąż jest daleka od zadowalającej" - mówi Edward Haletky, ekspert ds. wirtualizacji z AstroArch Consulting. Na rynku pojawia się też coraz więcej pomysłów i aplikacji opracowywanych zarówno przez znanych producentów, jak i nowe, niezależne firmy, które widzą swoją szansę na dynamicznie rozwijającym się rynku rozwiązań wirtualizacyjnych. Niektóre z nich są dobrą ilustracją, jak funkcje i cechy oprogramowania wirtualizacyjnego, które z punktu widzenia dotychczasowych przyzwyczajeń i narzędzi są potencjalnym zagrożeniem dla bezpieczeństwa, można wykorzystać, by to bezpieczeństwo zwiększyć.

Znikający VM

Z samej natury wirtualna infrastruktura umożliwia łatwe tworzenie wirtualnego serwera oraz wirtualnej sieci i umieszczenie w tym systemie wrażliwych danych oraz praw dostępu do nich. Procedura taka zajmuje zaledwie 10-30 minut i dlatego pojawienie się nowych elementów jest trudne do kontrolowania przez administratorów systemu. To poważny problem. Aby zapewnić bezpieczeństwo, pracownicy działu IT muszą dobrze znać i rozumieć działanie oprogramowania wirtualizacyjnego i jego mechanizmów zabezpieczeń, a także wiedzieć w jaki sposób przeprowadzić audyt systemu, by szybko wykryć potencjalny atak. Liczba narzędzi do wspomagania kontrolowania pojawiających się i znikających maszyn wirtualnych nie jest zbyt duża, ale na szczęście jest ich coraz więcej. Można tu wymienić choćby VMware Life Cycle Manager.

Ruchomy cel

Możliwość szybkiego tworzenia wirtualnych serwerów daje nowe możliwości zwiększenia bezpieczeństwa, czego przykładem jest technologia SCIT (Self Cleansing Intrusion Tolerance). Dobrze zarządzane i starannie skonfigurowane wirtualne serwery mogą być celem znacznie trudniejszym do ataku niż klasyczne maszyny dzięki możliwości zredukowania przedziału czasu, przez który są one bezpośrednio widoczne w Internecie, uważa prof. Arun Sood z George Mason University, który opracował oprogramowanie SCIT umożliwiające automatyczne włączanie i wyłączanie maszyn wirtualnych.

SCIT ogranicza czas, przez który wirtualne serwery są dostępne online, a jednocześnie zawiera mechanizmy synchronizacyjne, pozwalające na zamianę maszyn wirtualnych na nowe. Tego typu rozwiązanie umożliwia istotne ograniczenie potencjalnych szkód, które mogą przynieść udane ataki na systemy biznesowe. Oprogramowanie SCIT powinno wkrótce pojawić się na rynku, oferowane przez nową firmę SCIT Labs, którą założył Arun Sood.

Klasyczne serwery fizyczne są eksponowane w Internecie nawet przez kilka miesięcy, co istotnie ułatwia hakerom przygotowanie i wykonanie udanego ataku. Natomiast technologia SCIT umożliwia zdefiniowanie czasu, przez który serwer wirtualny jest widoczny i skrócenie go nawet do pojedynczych sekund. Jak mówi Arun Sood, SCIT może być elementem wielowarstwowego systemu zabezpieczania sieci. W praktyce nie zastępuje on standardowych systemów do zapobiegania włamaniom IPS lub innych technik zabezpieczania sieci, ale je uzupełnia. Pomysł wziął się z obserwacji, że standardowe oprogramowanie IPS nie jest w stanie zablokować każdego ataku, więc Arun Sood zaczął się zastanawiać w jaki sposób można zbudować system, który mógłby być odporny na ataki i kontynuować swoje działanie nawet w wypadku, gdy hakerzy osiągną sukces dzięki mechanizmom automatycznego naprawiania stanu serwera, gdy wrogi kod zostanie do niego wprowadzony.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200