RSA: zalecenia bezpieczeństwa dla środowiska wirtualnego

Podczas konferencji VMworld, RSA, dział bezpieczeństwa EMC, udostępnił rekomendacje w zakresie bezpieczeństwa i zgodności dla środowisk wirtualnych. Opublikowane wskazówki skupiają się przede wszystkim na optymalnym wykorzystaniu narzędzi zarządzania i bezpieczeństwa udostępnionych przez VMware, także należąca do EMC.

Opracowanie "Security Compliance in a Virtual World" zwraca uwagę na fakt, że każda infrastruktura IT, która została zwirtualizowana w części lub całości, musi spełniać wymagania różnych obowiązujących regulacji, takich jak PCI DSS (Payment Card Industry Data Security Standards), HIPAA oraz wymagania dotyczące ochrony danych obowiązujących w Unii Europejskiej, a także różnych krajowych przepisów.

Tak jak w wypadku niezwirtualizowanego środowiska IT, audytorzy będą wymagać w tym względzie dowodów istnienia mechanizmów kontrolnych zapewniających ochronę przed nieautoryzowanym dostępem, rozgraniczanie obowiązków administracyjnych, izolowanie systemów przetwarzających informacje chronione oraz monitorowanie dostępu. RSA stwierdza w opracowaniu, że wirtualizacja jest nadal relatywnie nową technologią i stwarza konieczność zmiany paradygmatu techniki komputerowej, tak więc organizacje muszą poświęcić czas i wysiłek na naukę, jak radzić sobie z tym wyzwaniem.

Zobacz również:

  • 5 priorytetów, które obniżają koszty chmury i usprawniają operacje IT

W swoim opracowaniu RSA zwraca uwagę, że środowiska zwirtualizowane i niezwirtualizowane są jednak istotnie różne z natury. W środowisku zwirtualizowanym nie istnieje wzajemne jednoznaczne odwzorowanie pomiędzy fizycznym hostem i serwerem. Maszyny wirtualne mogą pracować na jednym lub na wielu fizycznych hostach, a host może gościć różne maszyny wirtualne. Powiązania te zmieniają się dynamicznie, utrudniając utrzymanie pełnej kontroli nad nimi.

W rezultacie praktyki zarządzania konfiguracją i zmianami stają się dużo bardziej krytyczne w środowiskach wirtualnych. RSA zaleca, aby zarządcy IT wykorzystywali narzędzia, których już używają w środowiskach fizycznych do zmniejszenia obciążeń związanych z zarządzaniem zgodnością w środowiskach wirtualnych.

W kategorii narzędzi używanych do zapewnienia zgodności opracowanie wymienia VMware vCenter and Orchestrator, VMware Update Manager, RSA eVision - produkt do zarządzania informacjami bezpieczeństwa oraz EMC Ionix Server Configuration Manager.

W opracowaniu RSA podkreśla, iż chce przenieść dyskusję o bezpieczeństwie z płaszczyzny koncentrującej się na bezpieczeństwie hypervisora, na płaszczyznę generalnej zgodności z wymaganiami bezpieczeństwa, audytu, rejestrowania i zbierania informacji o zdarzeniach.

Mieszanka środowisk zwirtualizowanych i niezwirtulizowanych - dość powszechna sytuacja w wielu organizacjach wprowadzających wirtualizację - tworzy środowisko hybrydowe, które musi być administrowane i odpowiednio rejestrowane z powodu obowiązujących przepisów o ochronie informacji.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200