Desktop w chmurze - jak to zabezpieczyć?

Migracja do środowiska VDI wiąże się z zgromadzeniem wszystkich informacji w jednym miejscu. Należy zadbać o środki, które zapewnią bezpieczeństwo danych, i o dobrą wydajność środowiska.

Gdy przedsiębiorstwo migruje swoją infrastrukturę do wirtualizowanych desktopów, zazwyczaj zmienia się nie tylko model przetwarzania danych, ale także założenia polityki bezpieczeństwa.

Najprostszym przypadkiem jest konsolidacja desktopów za pomocą usług terminalowych. W tym modelu wszyscy użytkownicy działają w obrębie sesji w tym samym systemie operacyjnym serwera, uruchamiając tam same aplikacje ze wspólnego środowiska. Ochrona antywirusowa systemu jest stosunkowo prosta, gdyż standardowe narzędzia są od dawna przystosowane dla tego modelu. W nim uruchamia się tyle kopii oprogramowania, ilu użytkowników jest obecnie zalogowanych, przy czym każde narzędzie pracuje w kontekście użytkownika i jego sesji. Ponieważ opracowano sposób minimalizacji obciążenia polegający na oznaczeniu już skanowanych plików, problem związany z wielokrotnym skanowaniem tego samego pliku praktycznie nie występuje. Jedynym minusem jest większe zużycie pamięci operacyjnej spowodowane wielokrotnym uruchomieniem motoru antywirusowego.

Zobacz również:

Ponieważ hostowanie desktopów udostępnianych za pomocą usług terminalowych w chmurze wiąże się z dużą konsolidacją systemów hostujących, niezbędna jest koordynacja działania oprogramowania antywirusowego, związana z planowanym skanowaniem zawartości systemu. W środowisku hostującym więcej niż jeden serwerowy system operacyjny, który hostuje środowiska terminalowe użytkowników, brak koordynacji powodował bardzo silne obciążenie nie tylko CPU, ale także podsystemu wejścia/wyjścia. To skutkowało poważnym obniżeniem wydajności i komfortu pracy użytkowników. Administratorzy radzili sobie z tym w ten sposób, że planowane skanowanie systemów było ustawiane kolejno, by okresy te nie zachodziły na siebie. Wbrew pozorom hostowanie takich usług w środowisku wirtualizowanym odbywało się dość często, gdyż pewna część aplikacji nie była zgodna z 64-bitowym wydaniem systemu Windows, zatem stosowano Windows Server 2003 w edycji 32-bitowej, uruchamiając go w wirtualizowanym środowisku zapewniającym dużą ilość pamięci RAM - w ten sposób obchodzono limit pamięci RAM wyznaczany przez 32-bitową architekturę. W praktyce takich maszyn wirtualnych na jedną fizyczną instalowano od 4 do 10, zależnie od obciążenia CPU i złe zaplanowanie skanowania antywirusowego sprawia, że obciążenie generowane przez jedną maszynę wirtualną mogło wpływać na pozostałe hostowane na tym samym fizycznym serwerze. Obecnie wiele firm migruje środowiska do najnowszego systemu Microsoftu, w którym nie występuje problem ograniczeń związanych z 32-bitową architekturą - Windows Server 2008 R2 występuje jedynie w edycji 64-bitowej. Nie trzeba zatem dokonywać konsolidacji, by obejść ograniczenia architektury związane z pamięcią RAM, zatem wystarczy pojedyncza instancja serwera terminalowego z zainstalowanym oprogramowaniem antywirusowym.

System osobno, aplikacje osobno, a gdzie antywirus?

O wiele trudniejszym przypadkiem jest środowisko VDI, w którym występuje separacja aplikacji od systemu operacyjnego. W takim środowisku występuje daleko idąca konsolidacja zasobów i bardzo wyraźne szczyty obciążenia, występujące podczas uruchamiania wielu desktopów. Jeśli przedsiębiorstwo jest zorganizowane w ten sposób, że znacząca część użytkowników rozpoczyna pracę w tym samym czasie, nieskoordynowane uruchamianie zaplanowanego skanowania zasobów użytkownika powoduje tak duże obciążenie CPU i zasobów storage, że radykalnie obniża wygodę pracy użytkowników. W takim przypadku należy dysponować narzędziami, które rozróżniają stan obrazu systemu operacyjnego i jeśli został on przeskanowany, omijają niezmienione pliki, to samo dotyczy plików w przestrzeni użytkownika. Z kolei planowane skanowanie powinno odbywać się poza szczytem obciążenia.

W środowisku VDI istnieje pojęcie złotego obrazu - oznacza ono obraz systemu, który został sprawdzony pod kątem konfliktów programowych, aktualizacji oraz obecności złośliwego oprogramowania. Obraz ten jest wykorzystywany przy pracy środowiska VDI, stanowiąc komplet razem ze środowiskiem użytkownika i aplikacjami firmowymi. Dopóki nie zostanie zmodyfikowany, można go oznaczyć w oprogramowaniu antywirusowym, by unikało ono wielokrotnego skanowania tego samego zasobu. Jednocześnie w momencie odłączenia od menedżera sesji program może skanować całą zawartość maszyny, włącznie z systemem.

W każdym przypadku powinno obsługiwać kolejkowanie skanowania uwzględniające lokalizację maszyn wirtualnych na fizycznych hostach. Oznacza to nie tylko ograniczenie ogólnej liczby równoczesnych procesów zaplanowanego skanowania, ale także limit zależny od tego, ile maszyn jest właśnie skanowanych na każdym z fizycznych serwerów hostujących oprogramowanie. Podobnie jak przy skanowaniu, niezbędne jest planowanie aktualizacji , proces ten powinien również uwzględniać rozmieszczenie maszyn na fizycznych hostach i ograniczać liczbę równoczesnych procesów. Wprowadzenie limitów oraz reguł związanych z lokalizacją maszyn na fizycznych serwerach sprawia, że skanowanie przestaje być silnie odczuwalnym obciążeniem dla centralizowanego środowiska VDI. Ceną jest jednak dłuższy czas przeprowadzania tej operacji.

Wiele maszyn, jeden antywirus

Najbardziej rozpowszechniona jest jednak serwerowa, liderem rynku są produkty VMware. Przy hostowaniu maszyn Windows tradycyjne podejście zakłada instalację oprogramowania agenta antywirusowego wewnątrz każdego systemu, co wiąże się z narzutem związanym z kilkukrotnym uruchamianiem tego samego oprogramowania w różnych maszynach. Nawet jeśli rozwiąże się problem uruchamiania skanowania na poszczególnych maszynach, by nie powodować wąskiego gardła wydajności, a oznaczanie już przeskanowanych plików znacznie redukuje liczbę obiektów, które powinny być sprawdzone, nadal na fizycznym hoście pracuje więcej niż jedna kopia narzędzi antywirusowych. Na rynku istnieją rozwiązania, które wykorzystują VMware API, zapewniając ochronę antywirusową bez konieczności instalacji oprogramowania dla Windows w każdej z maszyn wirtualnych. Mechanizm ten zakłada wykorzystanie API do kontroli zasobów każdej z maszyn (plików, dysków, pamięci), dlatego nie wiąże się z uruchamianiem tego samego kodu między poszczególnymi instalacjami. Dodatkową zaletą jest konsolidacja informacji o skanowanych plikach - jeśli w środowisku wirtualizowanym hostuje się kilka obrazów tego samego systemu operacyjnego (co jest niemal regułą), to pliki wspólne dla wielu instalacji Windows będą skanowane tylko raz.

Rozwiązania te redukują znacząco zapotrzebowanie na moc obliczeniową antywirusa, ale wymagają konkretnego hypervisora (w tym przypadku VMware). Przyczyną uzależnienia od konkretnej platformy jest to, że obecnie jedynie VMware dysponuje API umożliwiającym skanowanie maszyn wirtualnych bez konieczności instalacji agentów wewnątrz systemu, a także skanowanie maszyn w innym stanie niż aktywny. Interfejsy te były opracowywane we współpracy z producentami narzędzi związanych z bezpieczeństwem systemów, w tym także z dostawcami oprogramowania antywirusowego.