Bezpieczeństwo wirtualizacji – prace wciąż w toku

Ochrona maszyn wirtualnych wymaga zabezpieczeń, które umożliwiają wdrażania reguł bezpieczeństwa, zapobiegają infekcjom oraz oferują funkcjonalności będące w wirtualnym środowisku ekwiwalentem zapory sieciowej, systemu IPS oraz antywirusa.

Produkty do ochrony urządzeń końcowych są rozwijane od dekad. Jednak powstawały z uwzględnieniem specyfiki środowisk fizycznych. Dlatego nie najlepiej nadają się do ochrony maszyn wirtualnych. Podstawowy problem stanowi wydajność. Ochrona fizycznych maszyn opiera się na agentach instalowanych w każdym chronionym komputerze. Jeśli jednak na jednym fizycznym serwerze działa kilkanaście i więcej maszyn wirtualnych, instalacja w każdej agenta, np. antywirusowego czy backupu, ma istotny, negatywny wpływ na wydajność, a także nadmierne wykorzystanie przestrzeni dyskowej. Prosty przykład: każdy agent oddzielnie pobiera kopię sygnatur antywirusowych.

Problemu nie rozwiązują też podejście zakładające nietrwałość maszyn wirtualnych. Najbardziej znanym przykładem realizacji tej koncepcji jest Chaos Monkey. W krótkich odstępach czasu każda maszyna wirtualna jest kasowana, a z nią ewentualne szkodliwe oprogramowanie. Następnie system automatycznie tworzy nowe maszyny wirtualne. Niestety powstały już zagrożenia radzące sobie z takim zabezpieczeniem.

Zobacz również:

  • 5 priorytetów, które obniżają koszty chmury i usprawniają operacje IT
  • IDC CIO Summit – potencjał drzemiący w algorytmach

Stąd potrzeba stosowania specjalizowanych rozwiązań. Wciąż żaden z produktów bezpieczeństwa nie oferuje jednak wszystkich funkcji, które są potrzebne, aby dobrze zabezpieczyć maszyny wirtualne. Chcąc zapewnić kompletną ochronę, trzeba niestety korzystać z więcej niż jednego rozwiązania. Jednakże takie narzędzia, jak Catbird, Hytrust, Trend Micro Deep Security czy Dome9, rzeczywiście znacznie poprawiają bezpieczeństwo wirtualnych serwerów. Każde z nich przedstawia nieco inne podejście do kwestii ochrony.

Hytrust pozostaje liderem jeśli chodzi o zabezpieczanie dostępu do maszyn wirtualnych, działając jako proxy pośredniczące w komunikacji z hypervisorem. Jeśli wyłączenie jednej z maszyn wirtualnych może doprowadzić do problemów z działaniem całego środowiska, warto mieć takie narzędzie w swoim arsenale. Trend Micro Deep Security to rozbudowany pakiet, w którym znajdziemy zaporę sieciową, IPS, antywirusa oraz narzędzie kontroli dostępu i raportujące. Obsługuje także środowiska hybrydowe.

Dome9 to narzędzie oferowane w modelu SaaS, którego zadaniem jest ochrona maszyn wirtualnych działających w chmurze Amazonu. Może być również używane do ochrony w środowisku chmury publicznej, jak i w sieci lokalnej. Catbird to solidne narzędzie do ochrony infrastruktury wirtualnej, zapewniające ochronę tam, gdzie VMware wciąż nie wypełnił luki. Największą słabością tego produktu był brak kontroli dostępu w oparciu o role, ale od wersji 6.0 producent wprowadził odpowiednie udoskonalenia.

Kierunek: chmura hybrydowa

Obecnie producenci skupiają się na rozwoju mechanizmów do obsługi hybrydowych instalacji i oferują możliwości ochrony, np. środowisk zbudowanych z chmury Amazon Web Services (AWS) i lokalnego środowiska wykorzystującego VMware ESX. Trend Micro i Hytrust oferują wsparcie właśnie dla takich konfiguracji. Widać też, że w ostatnich latach producenci położyli nacisk na rozszerzenie zestawu wbudowanych funkcji oraz ułatwienie obsługi. Dzięki temu obsługą mogą zająć się mniej doświadczeni pracownicy.

Biorąc pod uwagę dużą złożoność tych produktów, sporą zaletą jest dostępność wersji próbnych, które dają możliwość przeprowadzenia testów. 30-dniowa wersja Trend Micro Deep Security jest dostarczana z dwoma przykładowymi maszynami wirtualnymi z systemem Windows Server w środku. Maszyny zostały zainfekowane przez producenta i użytkownik ma możliwość prześledzenia w konsoli administracyjnej, jak przebiega proces usuwania szkodliwego kodu. Jest to świetne środowisko testowe, w którym w kilka minut można poznać różne funkcje produktu. Z kolei HyTrust Appliance Community Edition to bezpłatna wersja produktu, która może chronić maksymalnie 3 maszyny wirtualne. Jednakże oprogramowanie trzeba pobrać i zainstalować samodzielnie. Również Dome9 oferuje 30-dniową wersję próbną.

Aby przetestować rozwiązania Catbird, Hytrust oraz Trend Micro, trzeba mieć co najmniej dwa hosty z VMware ESX. Jeden z maszynami wirtualnymi, które będą chronione, a drugi do uruchomienia oprogramowania zabezpieczające i narzędzi do zarządzania, monitorowania oraz raportowania. W przypadku Dome9 wystarczy własne konto AWS.

Przydatne funkcje

Warto przyjrzeć się ich możliwościom w kilku obszarach. Podstawowy to ochrona antywirusowa. Funkcje te działają podobnie, jak oprogramowanie antywirusowe w fizycznym świecie, chroniąc przed próbami uruchomienia szkodliwego kodu wewnątrz maszyn wirtualnych. Takie możliwości spośród wymienionych produktów oferują Trend oraz Catbird.

Kontrola dostępu to funkcje umożliwiające ograniczenie dostępu, aby użytkownik nie mógł zatrzymać czy też zmienić konfiguracji każdej objętej ochroną maszyny wirtualnej. Dome9, Hytrust i Trend Micro mają takie funkcje. Hytrust umożliwia także połączenie mechanizmów kontroli dostępu z użytkownikami w Active Directory.

Ważne są również funkcje wykrywania włamań (IDS) oraz zapory sieciowej. Są to zabezpieczenia, które większości ludzi przychodzą na myśl jako pierwsze, gdy mowa o bezpieczeństwie maszyn wirtualnych. Catbird, Dome9 oraz Trend Micro mają moduły, które częściowo pokrywają te funkcjonalności.

W przypadku firm, których środowisko IT musi spełniać określone wymogi prawne, ważne są również mechanizmy ułatwiające przeprowadzenie audytu. Są to przede wszystkim funkcje raportowania, która ułatwiają określenie zgodności środowisk wirtualnych z regulacjami prawnymi. Istotna jest, m.in. możliwość wygodnego śledzenia wprowadzanych zmian. Takie funkcje oferują wszystkie z wymienionych produktów, choć różnią się w szczegółach.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200