Czy wirtualizacja serwera warta jest ryzyka?

Korzyści z przejścia z tradycyjnych serwerów na układy maszyn wirtualnych (VM) to oszczędności wynikające z konsolidacji sprzętu oraz duża elastyczność operacyjna. Jednak mniej pożądane mogą już być konsekwencje powstawania luk bezpieczeństwa i żywiołowego rozrastania się serwerów wirtualnych.

Środowisko VM (niezależnie czy oparte na VMware, XenSource czy rozwiązaniu Microsoftu) - podobnie jak bardziej tradycyjne sieci - potrzebuje stosowania dobrych praktyk, zdefiniowanych w standardzie ISO 27002 dla systemów bezpiecznych.

Oprogramowanie VM prosto z pudełka nie jest dostatecznie bezpieczne. Maszyny wirtualne mają niekorzystną z punktu widzenia bezpieczeństwa cechę mobilności - serwery fizyczne są po prostu klonowane i w ten sposób zanika tożsamość fizycznego serwera, a istniejące narzędzia do administrowania opierają się głównie na założeniu, że zarządzane serwery są fizyczne.

I tak np. wykorzystując zarządzanie VMware VirtualCenter, trudno będzie zapobiegać problemowi niekontrolowanego przyrastania maszyn wirtualnych, ponieważ numery identyfikacyjne VM mogą być zmieniane i ponownie ustawiane. Nie jest możliwe zapewnienie unikatowego systemu VM ID w przedsiębiorstwie używającym więcej niż jednego VirtualCenter.

Oprogramowanie Embotics, które współpracuje z VirtualCenter, próbuje temu zaradzić poprzez użycie kryptograficznego skrótu, połączonego z metadanymi VM, zapewniając unikatowe i możliwe do uwierzytelnienia "VM ID". Inne rozwiązania, takie jak Fortisphere i MangeIQ, również podejmują problemy rozprzestrzeniania VM. Niektórzy dostawcy środków bezpieczeństwa są przekonani, że główni dostawcy oprogramowania VM w takim pośpiechu wprowadzają swoje produkty na rynek, że bezpieczeństwo pozostaje na dalszym planie.

Wycieki danych - niewygodny problem dla zarządu?

DLP (Data-Loss Prevention), czyli ochrona przed wyciekami danych, pozwala na monitorowanie zawartości pod kątem nieautoryzowanych transmisji. Jednak organizacje mające pewne doświadczenia z rozwiązaniami DLP uważają, iż pokazuję one też ciemne zakamarki sieci, których istnienie może narazić przedsiębiorstwa na konsekwencje prawne. DLP pozwala wyeksponować złe praktyki przechowywania danych, które wymagają ulepszenia.

Zastosowanie tych technologii często może powodować wywieranie presji na zarządy do przeprowadzania pewnych zmian.

Czy zatem możliwość odsłaniania słabych punktów w ochronie danych oraz fakt, że rozwiązania DLP nadal są drogie - mogą skutecznie odstraszać potencjalnych kupujących? Z drugiej strony rezygnacja z zakupu może oznaczać także rezygnację z obiecującego podejścia do monitorowania zawartości, które jest być może bolesne w ujawnianiu bałaganu, ale pomocne w utrzymaniu firmy z daleka od problemów prawnych związanych z regulacjami w zakresie ochrony danych.

Wiedząc z wyprzedzeniem, że DLP może być technologią w pewnym sensie destrukcyjną, odpowiedzialni za bezpieczeństwo powinni mieć opracowany plan przygotowania do tego zarządu - prawdziwych właścicieli danych w większości korporacji - a także audytorów i zespołów prawniczych.

Usługi bezpieczeństwa: wygoda czy ryzyko?

Usługi bezpieczeństwa online, często określane modnym teraz terminem: "in-the-cloud", przeznaczone są do: zabezpieczania poczty elektronicznej, ochrony przed atakami DoS, skanowania słabych punktów lub filtrowania Weba. Według ekspertów Gartnera, ich podstawową zaletą jest to, że stanowią alternatywę dla podejścia typu zrób to sam poprzez zakup oprogramowania lub wyposażenia.

Istnieją różne powody sięgania po usługi świadczone online. Przede wszystkim warto pomyśleć o dwóch podstawowych rodzajach tego typu usług bezpieczeństwa. Pierwsze to tzw. usługi w paśmie, takie jak ochrona i odpowiedź na ataki DoS, świadczone przez operatora lub ISP. Alternatywą może być zakup wyposażenia anty-DoS od dostawców specjalizujących się w takich rozwiązaniach, np. Arbor Networks, i ustawianie ochrony we własnym zakresie.

Drugi rodzaj to "bezpieczeństwo jako usługa" (security as a service), całkowicie oddzielone od usługi świadczonej w paśmie. Na przykład używanie usługi antyspamowej wymaga wykorzystania rekordu MX w celu skierowania poczty do usługodawcy, ale to nie wymusza specyficznych usług w paśmie powiązanych z operatorem.

Ten rodzaj obejmuje filtrowanie spamu i funkcje antywirusowe, skanowanie słabych punktów i filtrowanie Weba. Nie uwzględnia natomiast monitorowania i filtrowania zawartości pod kątem DLP lub zarządzania dostępem i tożsamością, które to funkcjonalności są ściśle powiązane z wewnętrznymi zmianami biznesowymi. Używanie "security as a service online" ma największy sens w ochronie mobilnych laptopów lub zapewnianiu ochrony rozproszonym oddziałom zamiejscowym. Takie rozwiązanie może być szczególnie atrakcyjne dla globalnych korporacji.

Prawdopodobnie większość firm, uznając te usługi za łatwe do wdrożenia i kosztowo efektywne, będzie jednak kontynuować ochronę operacji wewnętrznych poprzez wdrażanie we własnym zakresie urządzeń bezpieczeństwa do filtrowania spamu, wirusów i ograniczających dostęp do internetu.

Istnieje potencjalne ryzyko związane z usługami filtrowania. Transmitowanie wrażliwych transakcji biznesowych przez tego rodzaju usługę dostawcy niezależnego może być niepożądane. Poza tym zawsze istnieje jakieś prawdopodobieństwo, że taki usługodawca zniknie pewnego dnia z rynku.

Wszystkie tego rodzaju usługi są nadal stosunkowo nowe, a ich szybki wzrost zaznaczył się dopiero w ostatnich trzech latach, z głównymi dostawcami, takimi jak: MessageLabs, Microsoft, Google Postini i Websense. Gartner ocenia, że usługi bezpieczeństwa online dla poczty elektronicznej nie stanowią więcej niż 20% całego rynku bezpieczeństwa poczty elektronicznej, ale wzrosną do 35% na koniec tego roku i do 70% do końca 2013 r.

Z kolei IDC podaje, że obroty na rynku oprogramowania bezpieczeństwa poczty elektronicznej w roku 2007 wynosiły 1,38 mld USD, a urządzeń tej kategorii - 692,2 mld USD. Usługi online, określane przez IDC jako usługi hostowane, osiągnęły obroty 454 mln USD. Oprogramowanie i urządzenia specjalizowane mają wykazywać stały wzrost sprzedaży, a rynek usług hostowanych uzyska w tym roku wartość 638 mln USD i 1,39 mld USD w 2012 r.