Czarna strona chmury
-
- 23.11.2010
Problem ten jest znacznie poważniejszy, gdy do takiego środowiska migruje się aplikacje o krytycznym znaczeniu dla organizacji, takie jak ERP, portale firmowe czy poczta elektroniczna. Gdy o bezpieczeństwie myśli się już po wdrożeniu środowiska wirtualizowanego, wszelkie zmiany wymuszane przez kolejne podejścia do wdrożenia zabezpieczeń mogą generować dość duże koszty, związane z przebudową infrastruktury IT.
Wszystko jednak wiąże się z polityką bezpieczeństwa. Jeśli firma nie ma wdrożonej silnej polityki, infrastruktura wirtualizacji obnaży bezlitośnie wszelkie słabości znacznie szybciej niż tradycyjne środowisko, gdyż wewnątrz maszyn wirtualnych wszelkie zmiany, takie jak przenoszenie serwerów czy wdrożenie nowych maszyn, następują bardzo szybko.
Separacja obowiązków
W niemonitorowanym środowisku wirtualizacji, w którym wszyscy administratorzy mają komplet uprawnień, każdy z nich może wykonać operacje, które potencjalnie grożą narażeniem firmy na ryzyko naruszenia bezpieczeństwa. Z drugiej strony niewielu pracowników rozumie istotę tego zagrożenia, zatem mogą się zdarzyć sytuacje, gdy przenosi się maszynę wirtualną do innego serwera, nie zdając sobie sprawy, że taki host znajduje się w niezaufanym segmencie sieci albo może nastąpić uruchomienie źle zabezpieczonego serwera, takiego jak FTP.
Brak implementacji dobrych praktyk ani separacji obowiązków jest dziś dość powszechnym problemem w wielu środowiskach. Rozsądnym wyjściem jest wprowadzenie silnego systemu zarządzania zmianami, który zarządzałby wszelkimi zleceniami związanymi z operacjami IT. Ponieważ w środowisku wirtualizowanym nie ma tak spójnej separacji obowiązków, należy ją wybudować. Wprowadzenie zarządzania zmianami, konfiguracją oraz kontrola dostępu są znaczącym elementem zabezpieczeń środowiska wirtualnego.
na podstawie: Robert L. Mitchell
Dodatkowym zagadnieniem, które należy wziąć pod uwagę, jest zgodność z regulacjami prawnymi, szczególnie istotna w branży finansowej i zdrowotnej. Jean-Louis Nguyen, dyrektor działu inżynierów systemowych w banku Council of Europe Development Bank, mówi: "musimy monitorować aktywność systemów, by mieć pewność, że administratorzy wszystkich 140 maszyn wirtualnych postępują zgodnie z regulacjami prawnymi i wymaganiami eksploatacyjnymi".
Bank ten początkowo wykorzystywał możliwości logowania wbudowane w systemy VMware, ale potrzebował lepszego narzędzia do pozyskiwania, konsolidacji oraz analizy zebranych danych. Samo dotarcie do informacji ukrytej w wielu zapisach logów było nietrywialnym zagadnieniem. Bank zdecydował się na wdrożenie dedykowanej aplikacji HyTrust, która oferuje centralizowane rejestrowanie dzienników systemowych i późniejszą analizę zebranych informacji. Aby zapewnić bezstronność audytu, w banku zrealizowano odseparowane wirtualne środowisko dla oficera bezpieczeństwa, który może monitorować działalność serwerowej infrastruktury fizycznej i wirtualizowanej.
