Czarna strona chmury

Zapory nie znają wirtualizacji

Czarna strona chmury

Jak bardzo twoja organizacja obawia się zagrożeń związanych z wirtualizacją?

VMware vShield wraz z produktami firm trzecich może tworzyć system, który podzieli środowisko za pomocą wirtualnych firewalli między segmentami. Chociaż jest to stosunkowo łatwe do wprowadzenia, nie wszystkie organizacje decydują się na zaimplementowanie takiego zabezpieczenia. Jednym z ograniczeń jest fakt, że nie każda z obecnych zapór sieciowych prawidłowo rozpoznaje ruch w środowisku wirtualizowanym. Ruch przepływający między maszynami wirtualnymi również może być problemem, gdyż firewalle oraz systemy IDS/IPS nie są świadome faktu, czy dane maszyny pracują na tym samym sprzęcie. Wprowadzenie kolejnych produktów sprawi z kolei, że infrastruktura firmy stanie się jeszcze bardziej skomplikowana.

Niektórzy specjaliści są zdania, że do czasu rozbudowania rozwiązań dostarczanych przez tradycyjnych dostawców warto skorzystać z produktów, które łączą środowisko pracujące bezpośrednio na sprzęcie wirtualizowanym, nawet jeśli są to produkty mniej znanych firm, takich jak: Altor Networks, Catbird Networks oraz HyTrust.

Firmy związane z bezpieczeństwem środowisk wirtualizowanych, m.in. Trend Micro, oferują oprogramowanie, które pomaga w poprawie bezpieczeństwa, pracując na poziomie hypervisora. Niektórzy eksperci martwią się jednak, że w miarę wzrostu skomplikowania systemów warstwa ta stanie się sama celem ataków. Niemniej jednak systemy bezpieczeństwa wykorzystujące API wirtualizacji mają swoje zalety, gdyż mogą chronić maszyny wirtualne w każdym stanie, nie tylko pracujące.

W przypadku VMware ESX Server oraz innych platform wirtualizacji dane, które przechodzą między maszynami wirtualnymi, nie są szyfrowane. Chociaż VMware przyznaje, że pracuje nad zabezpieczeniem tego ruchu, nadal nie wiadomo, kiedy szyfrowanie zostanie wprowadzone.

Tymczasem działy IT stosują z powodzeniem politykę separacji każdego serwera wirtualnego wewnątrz swojej własnej strefy bezpieczeństwa. Chociaż administratorzy ufają hypervisorom, nadal spotyka się podejście separacji za pomocą zapór sieciowych i systemów IPS umieszczonych poza chronionym środowiskiem.

Problemy mogą dotyczyć także architektury sieciowej - sieci, które pracują dobrze z fizycznymi serwerami, nie zawsze poprawnie funkcjonują w środowisku wirtualizowanym. Należy zatem wdrożyć poprawny routing i podsieci, a także separowanie za pomocą wirtualnych VLAN-ów i zapór sieciowych, które są "świadome" rozwiązań wirtualizowanych. Większość problemów z utrzymaniem ciągłości pracy po migracji do środowiska wirtualizowanego związanych było także z problemami z siecią.

Wdrażać bezpiecznie od początku

Zabezpieczenie wirtualnego środowiska nie oznacza automatycznie zakupu wielu narzędzi. Na rynku znajduje się bardzo szeroka oferta narzędzi przeznaczonych do kontroli środowiska wirtualnego; jedyne, czego brakuje w typowym środowisku IT z wdrożoną wirtualizacją, to zrozumienie, do czego mają służyć i jak należy je stosować w praktyce. Kupno nowego pakietu oprogramowania nie powoduje wzrostu bezpieczeństwa, jeśli narzędzie jest stosowane niewłaściwie.

Najlepszym sposobem zabezpieczenia wirtualnego środowiska jest włączenie w projekt ekspertów od bezpieczeństwa już we wstępnym jego etapie. Niestety, jest to nadal rzadkie podejście, gdyż według Gartnera, 40% organizacji IT nie korzysta z pomocy ekspertów bezpieczeństwa aż do pełnego uruchomienia projektu wirtualizacyjnego.


TOP 200