RSA: zalecenia bezpieczeństwa dla środowiska wirtualnego
- Józef Muszyński,
- IDG News Service,
- 07.09.2009, godz. 13:47
Podczas konferencji VMworld, RSA, dział bezpieczeństwa EMC, udostępnił rekomendacje w zakresie bezpieczeństwa i zgodności dla środowisk wirtualnych. Opublikowane wskazówki skupiają się przede wszystkim na optymalnym wykorzystaniu narzędzi zarządzania i bezpieczeństwa udostępnionych przez VMware, także należąca do EMC.
Opracowanie "Security Compliance in a Virtual World" zwraca uwagę na fakt, że każda infrastruktura IT, która została zwirtualizowana w części lub całości, musi spełniać wymagania różnych obowiązujących regulacji, takich jak PCI DSS (Payment Card Industry Data Security Standards), HIPAA oraz wymagania dotyczące ochrony danych obowiązujących w Unii Europejskiej, a także różnych krajowych przepisów.
Tak jak w wypadku niezwirtualizowanego środowiska IT, audytorzy będą wymagać w tym względzie dowodów istnienia mechanizmów kontrolnych zapewniających ochronę przed nieautoryzowanym dostępem, rozgraniczanie obowiązków administracyjnych, izolowanie systemów przetwarzających informacje chronione oraz monitorowanie dostępu. RSA stwierdza w opracowaniu, że wirtualizacja jest nadal relatywnie nową technologią i stwarza konieczność zmiany paradygmatu techniki komputerowej, tak więc organizacje muszą poświęcić czas i wysiłek na naukę, jak radzić sobie z tym wyzwaniem.
Zobacz również:
W swoim opracowaniu RSA zwraca uwagę, że środowiska zwirtualizowane i niezwirtualizowane są jednak istotnie różne z natury. W środowisku zwirtualizowanym nie istnieje wzajemne jednoznaczne odwzorowanie pomiędzy fizycznym hostem i serwerem. Maszyny wirtualne mogą pracować na jednym lub na wielu fizycznych hostach, a host może gościć różne maszyny wirtualne. Powiązania te zmieniają się dynamicznie, utrudniając utrzymanie pełnej kontroli nad nimi.
W rezultacie praktyki zarządzania konfiguracją i zmianami stają się dużo bardziej krytyczne w środowiskach wirtualnych. RSA zaleca, aby zarządcy IT wykorzystywali narzędzia, których już używają w środowiskach fizycznych do zmniejszenia obciążeń związanych z zarządzaniem zgodnością w środowiskach wirtualnych.
W kategorii narzędzi używanych do zapewnienia zgodności opracowanie wymienia VMware vCenter and Orchestrator, VMware Update Manager, RSA eVision - produkt do zarządzania informacjami bezpieczeństwa oraz EMC Ionix Server Configuration Manager.
W opracowaniu RSA podkreśla, iż chce przenieść dyskusję o bezpieczeństwie z płaszczyzny koncentrującej się na bezpieczeństwie hypervisora, na płaszczyznę generalnej zgodności z wymaganiami bezpieczeństwa, audytu, rejestrowania i zbierania informacji o zdarzeniach.
Mieszanka środowisk zwirtualizowanych i niezwirtulizowanych - dość powszechna sytuacja w wielu organizacjach wprowadzających wirtualizację - tworzy środowisko hybrydowe, które musi być administrowane i odpowiednio rejestrowane z powodu obowiązujących przepisów o ochronie informacji.