Nowe narzędzia VMware i firm niezależnych mają ułatwić zarządzanie i kontrolę bezpieczeństwa środowisk wirtualnych.

VMware udostępniła ostatnio dwa zestawy do zarządzania i automatyzacji procesów odtwarzania danych po awarii oraz kontrolowania procesów tworzenia serwerów wirtualnych. Firma obiecuje też wprowadzenie dodatkowego zestawu zaawansowanych narzędzi do zabezpieczania systemów wirtualnych w ramach rodziny VMsafe. Na rynku pojawia się także coraz więcej rozwiązań opracowywanych przez niezależne firmy, ale nowe, jeszcze dobrze niesprawdzone technologie wymagają ostrożności w ich implementacji, bo jak podkreśla Edward Haletky, ekspert ds. wirtualizacji z AstroArch Consulting (wcześniej pracował w HP) i autor książki "VMWare ESX Server in the Enterprise: Planning and Securing Virtualization Servers", nieumiejętnie wdrażając niektóre dodatkowe mechanizmy zabezpieczeń, można - paradoksalnie - obniżyć bezpieczeństwo systemu.

Nie zawsze bezpieczniej

Trzy najpopularniejsze obecnie i już dostępne narzędzia do zarządzania bezpieczeństwem wirtualnych systemów VMware to pakiet vmSight zawierający funkcje monitorowania, raportowania i wymuszania stosowania zasad polityki bezpieczeństwa, VirtualShield firmy Bluelane, który umożliwia blokowanie wrogich kodów atakujących znane luki w bezpieczeństwie systemów OS oraz V-Scurity firmy Catbird, pakiet określany przez producenta jako zintegrowane rozwiązanie all-in--one do zarządzania hyperwizorami i maszynami wirtualnymi VM.

vmSight nie jest pakietem zawierającym typowe funkcje bezpieczeństwa, a raczej narzędziem do audytu. Oprogramowanie umożliwia monitorowanie dostępu i wykorzystanie maszyn wirtualnych zgodnie ze zdefiniowanymi wcześniej zasadami. Jest ono jednak bardzo użyteczne dla firm, które muszą przystosowywać swoje systemy do wymagań prawnych, takich jak Sarbanes-Oxley, HIPAA (Health Insurance Portability and Accountability Act) lub PCI DSS (Payment Card Industry Data Security Standard). Natomiast system Bluelane VirtualShield jest wyposażony w zaporę firewall monitorującą i kontrolującą ruch między wirtualnymi przełącznikami i umożliwiającą blokowanie nieuprawnionego dostępu do chronionych przez nią maszyn wirtualnych. Z kolei Catbird V-Security to zestaw zawierający system IPS do zapobiegania włamaniom, mechanizmy kontroli dostępu do sieci NAC (Network Access Control) oraz narzędzie do analizy luk w bezpieczeństwie serwerów zarówno wirtualnych, jak i fizycznych. Oprogramowanie wykorzystuje moduły agenckie, które musza być zainstalowane w każdej chronionej maszynie wirtualnej lub fizycznej.

Jak zauważa Edward Haletky, do efektywnego działania wszystkie te narzędzia potrzebują pełnej kontroli ruchu przekazywanego przez chronione wirtualne przełączniki. Wymaga to modyfikacji standardowych funkcji zabezpieczeń VMware ESX i umożliwienia realizacji połączeń przez porty nie mające określonych identyfikatorów VLAN ID, co w domyślnej, standardowej konfiguracji jest zablokowane ze względów bezpieczeństwa. W fizycznych przełącznikach możliwa jest modyfikacja i kontrola dostępu na poziomie portów, niestety w systemie wirtualnym takiej funkcji nie ma. W efekcie implementacja narzędzi do bezpieczeństwa może paradoksalnie spowodować obecnie dodatkowe zagrożenie dla systemu. Prezentowane oprogramowanie udostępnia użyteczne funkcje audytu, ale warto zdawać sobie sprawę, że ich nieumiejętne wdrożenie może zwiększyć zagrożenie - radzi Edward Haletky.

Odtwarzanie środowisk wirtualnych

VMware udostępniła ostatnio dwa zestawy do zarządzania i automatyzacji przeznaczone do usprawnienia procesów odtwarzania po katastrofie i kontrolowania procesów tworzenia serwerów wirtualnych. Zestawy zawierają udostępnione wcześniej narzędzia wbudowane w oprogramowanie wirtualizacyjne, ale również nowe aplikacje Site Recovery Manager, przeznaczone do uproszczenia procesu odtwarzania maszyn wirtualnych po katastrofie oraz Stage Manager do wdrażania i uaktualniania aplikacji na maszynach wirtualnych. Site Recovery Manager jest elementem VMware Management and Automation Bundle, zestawu zawierającego oprogramowanie Stage Manager i wcześniej wprowadzone programy Lifecycle Manager i Lab Manager. Drugi pakiet IT Service Delivery Bundle, to uproszczona wersja Management and Automation, która jest tańsza i nie zawiera Site Recovery Manager.

W wypadku konieczności odtworzenia systemu po awarii, kiedy trzeba wymusić przejęcie pracy jednego serwera przez inny, często trzeba zmagać się z problemem synchronizacji sprzętu i danych. Zmiany w jednym miejscu muszą być bowiem odzwierciedlone na serwerach zapasowych, a to wymaga dużo ręcznej pracy grożącej pomyłkami. Rozwiązaniem dla takich problemów ma być właśnie Recovery Manager. Oprogramowanie zawiera trzy kluczowe elementy: funkcje zintegrowanego zarządzania planem odtwarzania, pozwalające na tworzenie, uaktualnianie i dokumentowanie planu odtwarzania przy wykorzystaniu VirtualCenter; możliwość zautomatyzowanego testowania planu odtwarzania w izolowanym środowisku testowym i mechanizmy automatycznego korygowania oraz obchodzenie uszkodzeń w procesie odtwarzania systemu.

Natomiast Stage Manager jest przeznaczony przede wszystkim do rozwiązywania problemu "rozmnażania" się serwerów wirtualnych. Jest to dość powszechne, gdy klonowane maszyny wirtualne rozprzestrzeniają się w przedsiębiorstwie przy ograniczonej kontroli i nadzorze działu IT. Administratorzy, nie chcąc wprowadzać zmian bezpośrednio do środowisk produkcyjnych, często tworzą tzw. shadow instances do testowania nowych aplikacji lub ich łatania i uaktualniania, które nie są zsynchronizowane z oprogramowaniem działającym w środowisku produkcyjnym. VMware Stage Manager może automatyzować procesy wdrażania lub uaktualniania aplikacji tak, aby nie trzeba było śledzić wielu instancji w różnych stadiach konfiguracyjnych. Pozwala na uaktualnienie aplikacji używając jej dokładnej repliki produkcyjnej, a następnie podmianę uaktualnionego oprogramowania na serwerze produkcyjnym.

VMware Lifecycle Manager, udostępniony w marcu br., zapewnia zaś zautomatyzowany system realizujący zlecenia założenia, wyposażenia, wdrożenia, uaktualniania i usuwania maszyn wirtualnych.