Bezpieczeństwo wirtualizacji

Firmy w coraz szybszym tempie wdrażają technologie wirtualizacji. Wirtualizuje się serwery, desktopy, pamięci, sieci. Z powodu unikatowej natury środowiska wirtualizacji, tradycyjne środki ochrony statycznej są często niewystarczające. Trudność sprawia nie tylko zarządzanie statycznymi urządzeniami ochronnymi w towarzystwie puli dynamicznych serwerów wirtualnych, ale bezpieczeństwo często wchodzi w kolizję z korzyściami, jakie daje wirtualizacja.

Maszyny wirtualne "uwalniają" serwery wirtualne, pozwalając im na przemieszczanie się na różne serwery fizyczne. Jeżeli jednak kontekst zabezpieczeń nie może podążać za tymi serwerami, to konieczne staje się zablokowanie ich w jednym miejscu. W tym roku widać większe zainteresowanie rynkiem bezpieczeństwa wirtualizowanego.

Przy ocenie rozwiązań wirtualnego bezpieczeństwa trzeba brać pod uwagę m.in.: możliwość obsługi wielu platform (wirtualnych i fizycznych), niezależność od adresów IP, izolowanie VM na tym samym fizycznym hoście w celu ochrony przed lukami bezpieczeństwa wprowadzanymi przez rozprzestrzeniające się maszyny wirtualne oraz centralne zarządzanie, zapewniające pojedynczy punkt administrowania bezpieczeństwem.

Kontrola dostępu do sieci - sama zapora ogniowa już nie wystarcza

Prześwietlanie użytkowników-gości jest jednym z wielu problemów, do którego rozwiązania szczególnie nadaje się NAC. Według analiz Gartnera, większość wdrażających rozwiązania NAC jako priorytet zakłada utworzenie sieci dla użytkowników-gości.

Z kolei funkcje sterowania autoryzacją w NAC mogą być używane do bardziej precyzyjnego przyznawania uprawnień w organizacjach stosujących segmentowanie sieci wg struktury organizacyjnej lub ról użytkowników.

NAC staje się elementem uwarstwionej architektury bezpieczeństwa, która w mniejszym stopniu opiera się na obwodowych zaporach ogniowych, a bardziej na warstwach ochronnych łagodzących zagrożenia. Jest to element szerszego trendu - odchodzenia od ochrony obwodowej.

W raporcie na temat perspektyw tego rynku w roku 2008 Gartner podaje, że ok. połowa z 17 dostawców rozwiązań NAC to firmy nowo powstałe, co w naturalny sposób rodzi pytanie o możliwość ich przetrwania na rynku. Mają one realną szansę na to, aby sprostać obecnym potrzebom, jednak po roku 2009 konkurowanie w obszarze technologii NAC, implementowanej głównie w zestawach ochronnych punktów końcowych sieci oraz w infrastrukturze sieciowej, będzie dużo trudniejsze dla tych nowych firm.

Zabezpieczanie poczty elektronicznej

Bezpieczeństwo poczty elektronicznej pozostaje stałym zmartwieniem administratorów IT, którzy teraz mogą jednak znaleźć więcej rozwiązań do jej ochrony niż jeszcze rok temu. Walka z wirusami i spamem to główne zadania w zabezpieczaniu poczty elektronicznej, ale rozwiązania ochronne poczty elektronicznej rozwijają się również w kierunku realizowania dodatkowych zadań. Obejmują one zabezpieczanie połączeń między użytkownikami - zarówno wewnętrznymi, jak i zewnętrznymi, zapobieganie wyciekom danych korporacyjnych, powstrzymywanie nowych typów zagrożeń, np. phishing i spyware, a także blokowanie DoS i innych ataków sieciowych oraz ataków na poziomie aplikacyjnym na serwery pocztowe.

Na rynku istnieją trzy podstawowe typy rozwiązań ochrony poczty elektronicznej: czysto programowe, w postaci urządzeń programowanych (appliance) i hostowane. Stosunkowo niewiele rozwiązań jest czysto programowych, ponieważ ustawianie takiego oprogramowania jest złożone i łatwo można skonfigurować je błędnie - większość dostawców dostarcza urządzenie, na którym pracuje ich oprogramowanie, co znacznie upraszcza proces instalacji.

Usługa hostingu odbiera wszystkie wiadomości pocztowe wysyłane do domeny danego serwera pocztowego i po przefiltrowaniu kieruje oczyszczony ze spamu i wirusów ruch do serwera. Jedną z zalet rozwiązań hostingu jest to, że wolumen poczty dostarczany do wewnętrznej sieci jest znacznie zmniejszony - o 80 do 90% w większości przypadków.

Piotr Szczepanek, dyrektor Pionu Systemów Sieciowych w Comp Safe Support S.A.

Na rynku rozwiązań systemów bezpieczeństwa, jak zwykle, dzieje się wiele ciekawego, być może przyczyną jest fakt stosunkowo dużej liczby dostawców rozwiązań i wzajemna ostra rywalizacja producentów - porównując np. do rynku produktów sieciowych. Przełomowym dla rozwiązań klasy firewall było podjęcie decyzji przez firmę Checkpoint Software Technologies, co do zmiany strategii i silne ukierunkowanie na własne produkty sprzętowe i platformy systemowe. Checkpoint przestaje być postrzegany jako producent oprogramowania, a staje się dostawcą kompleksowych rozwiązań. Wprawia to oczywiście w pewne zakłopotanie firmy współpracujące z Checkpoint, takie jak Crossbeam System, Nortel czy Nokia (która ponoć ogranicza działalność na rynku bezpieczeństwa).

Z dużym zainteresowaniem obserwuję pierwsze wdrożenia w Polsce systemów klasy IPS w sieciach 10G. Pewne braki w architekturze wysoko wydajnych systemów IPS niweluje mniejszy niż się oczekiwało wolumen zakupów rozwiązań 10G Ethernet dla sieci LAN, tak więc technologia szybkich systemów IPS zyskuje nieco czasu na okrzepnięcie i usunięcie braków i niedociągnięć.

Jednakże technologią, która wydaje się najciekawszą na rok koniec roku 2008 i początek 2009 jest DLP (Data Loss Prevension). Niewątpliwie obszar ochrony "wycieku" danych był do dziś traktowany po macoszemu, trudno też się temu dziwić, bo rynek nie oferował żadnych satysfakcjonujących mechanizmów ochrony przed "świadomym" wyniesieniem danych lub ich kradzieżą. Dziś tacy potentaci rynku bezpieczeństwa, jak Checkpoint, WebSense czy McAfee, koncentrują swoje działania marketingowe właśnie na tym kierunku, upatrując w nim duży dziewiczy obszar do zagospodarowania.