Realne bezpieczeństwo wirtualnych maszyn

Dla porównania, serwer WWW, który potrzebuje pobrać dane z zasobów bazy wiedzy zawartych w grupie Baza wiedzy, może wymagać jedynie stosunkowo lekkiej ochrony za pomocą zapory sieciowej. W każdym z takich przypadków, system decyduje o sposobie ochrony na podstawie ścisłych reguł.

Odróżnienie ochrony w zależności od założeń polityki bezpieczeństwa sprawia, że można maksymalizować ochronę wrażliwych danych przy bardzo dobrej wydajności. Ruch, który nie musi być ściśle chroniony (np. wyświetlanie firmowej bazy wiedzy lub innych publicznie dostępnych dokumentów), może przechodzić przez zwykłą zaporę sieciową. Pozostały może być chroniony przez różne urządzenia, takie jak firewall, systemy IPS czy druga zapora z proxy aplikacyjnym, połączone w odpowiedniej kolejności. Dla każdej z tych usług konfiguracja ochrony może być inna.

Najważniejszą zaletą takiego przyporządkowania jest możliwość ochrony danych przez przypisanie reguły polityki do konkretnych usług i rodzaju danych. Do tego modelu bardzo dobrze pasują urządzenia, które potrafią konsolidować ruch i dostarczyć różne rozwiązania ochrony ruchu na typowych platformach. Wybór polityki następuje na podstawie decyzji związanej z usługą, której ruch dotyczy. Dzięki ścisłemu podziałowi granic i reguł, zachowane zostają wszystkie założenia polityki bezpieczeństwa.

Prosty sposób w średniej firmie

Realne bezpieczeństwo wirtualnych maszyn

Model drugi oddziela warstwę serwerów webowych od pozostałych warstw aplikacji biznesowych

Zapewnienie bezpieczeństwa tą drogą wymaga dość znacznych nakładów i niektóre średniej wielkości firmy wolą uprościć infrastrukturę, kosztem części elastyczności, którą oferują systemy wirtualizacji. Jednym z założeń jest ograniczenie proceduralne, polegające na tym, że każda z maszyn wirtualnych może korzystać wyłącznie z fizycznego interfejsu sieciowego zainstalowanego w serwerze. Oprócz zmniejszenia elastyczności rozwiązania, wzrastają wymagania odnośnie do sprzętu, gdyż serwer musi być wyposażony w odpowiednią liczbę kart sieciowych. Infrastruktura okablowania bardzo się wówczas komplikuje, ale w zamian za to administratorzy dostają do ręki narzędzie odpowiadające funkcjonalnie staremu modelowi eksploatacji aplikacji bezpośrednio na sprzęcie.

Model ten jest bardzo dobrze znany, a inżynierowie wiedzą, w jaki sposób zapewnić mu żądany poziom bezpieczeństwa. Niestety traci się wtedy separację dostępu na podstawie danych wykorzystywanych przez konkretną usługę. Plusem z kolei jest możliwość wykorzystania standardowych rozwiązań, takich jak zapory sieciowe czy typowe urządzenia IPS, powszechnie dostępne na rynku. Założenie stałego interfejsu sieciowego przy maszynach wirtualnych pojawia się dość często w projektach wirtualizacji w firmach, które przetwarzają dane o różnej klasyfikacji. Jednym z poważniejszych zadań, które muszą wykonać inżynierowie przy opracowywaniu wirtualizacji w takim modelu, jest zapewnienie wysokiej dostępności przy eksploatacji aplikacji. Wtedy nie obejdzie się bez klasycznych rozwiązań klastrowych, co jednak ma swoją cenę. Model trzeci nie ma tego problemu, gdyż wszystko zapewnia system podziału ruchu na podstawie usług i rodzaju danych, abstrahując od szczegółów adresacji IP i fizycznego interfejsu. Niestety wymaga specjalizowanych rozwiązań.

Tekst na podstawie artykułu "Security in a virtual world" z amerykańskiego wydania Network World opracował Marcin Marciniak.


TOP 200