Bezpieczeństwo wirtualizacji

Wirtualizacja wkracza do firm, obsługując coraz bardziej skomplikowane procesy biznesowe. Warto więc zastanowić się nad przyszłością jej i bezpieczeństwem przetwarzanych danych.

Wirtualizacja wkracza do firm, obsługując coraz bardziej skomplikowane procesy biznesowe. Warto więc zastanowić się nad przyszłością jej i bezpieczeństwem przetwarzanych danych.

O teraźniejszości i przyszłości technologii związanych z wirtualizacją rozmawiali: Artur Cyganek, Senior Distribution Manager w Citrix Eastern Europe; Marek Janas, prezes zarządu DNS Polska; Krzysztof Celmer, Country Manager w NetApp; Cezary Prokopowicz, Territory Sales Manager Central & Eastern Europe w RSA; Marek Świerad, Regional Manager Eastern Europe w VMware.

Jak dziś wygląda bezpieczeństwo środowiska wirtualnego?

Artur Cyganek: Myślę, że jest lepsze niż w tradycyjnym modelu, ze względu na centralizację. Jeśli desktop znajduje się w centrum przetwarzania danych, jest nieporównywalnie bezpieczniejszy niż wtedy, gdy znajduje się na biurku użytkownika. Przeniesienie wszystkich procesów do serwerowni podwyższa bezpieczeństwo, gdyż firma może łatwiej kontrolować procesy, które tam się dzieją.

Marek Świerad: Wirtualna maszyna może zapewnić bezpieczeństwo nieosiągalne w inny sposób. Sama maszyna to jest plik, którego kopię wykonuje się szybko i sprawnie, także podczas pracy maszyny. Można go odtworzyć z kopii, wracając całkowicie do stanu sprzed awarii. W przypadku awarii sprzętu, wystarczy uruchomić maszynę wirtualną na innym komputerze, można to zrealizować automatycznie.

Do niedawna wszystkie mechanizmy zabezpieczeń (zapory, , mechanizmy kontroli integralności systemu) były instalowane w goszczonym systemie operacyjnym. Obecnie współpracujemy z RSA, aby opracować zabezpieczenia, które zatrzymają zagrożenie, zanim dotrze ono do systemu operacyjnego.

Gdzie zatem występują najważniejsze problemy?

Marek Janas: Problemem jest niska świadomość administratorów. Dotyczy ona typowych projektów, polegających na zamianie 100 komputerów desktop na proste środowisko wirtualizowane, bez rozważania konsekwencji. Awaria jednego komputera skutkuje jego wyłączeniem, pozostałe działają. Dla porównania, awaria serwera w prostym rozwiązaniu wirtualizacji, polegającym na przeniesieniu desktopów na serwer i konsolidacji serwerów, wyłącza całą firmę. Jest to poważne zagrożenie dla jej bezpieczeństwa.

Co należy zatem uczynić?

MJ: Rozwiązania powinny uwzględniać zapewnienie wysokiej dostępności usług HA (High Aviability). Obaj najważniejsi dostawcy wspierają HA i trzeba mieć świadomość, że tylko wtedy ma sens. Ludzie od razu myślą o HA, gdy chodzi o systemy pamięci masowych, natomiast zwlekają z realizacją całego środowiska zgodnie z tą technologią. Nadal zastanawiają się, czy w ogóle jest im to potrzebne. Przypuszczam, że różnica wynika z tego, że przez wiele lat wpajano problem ochrony danych, a mały nacisk kładziono przy tym na ciągłość pracy. Wpływ awarii sprzętowej na skonsolidowane środowisko może być bardzo duży i należy wziąć to pod uwagę przy projekcie i wykonaniu.

Gdzie jest miejsce na bezpieczeństwo?

Cezary Prokopowicz: Wszędzie, gdyż nadal rośnie potrzeba zabezpieczenia sesji między użytkownikami a centrum przetwarzania danych. Zabezpieczenia chroniące ruch sprawdzą się dopiero wtedy, gdy uzyskamy niezawodne uwierzytelnienie użytkowników. Chociaż prognozy kilka lat temu mówiły o wyparciu rozwiązań typu token, przez karty inteligentne czy infrastrukturę klucza publicznego PKI, nic takiego nie następuje. Mechanizm tokenów jest bardzo prosty i nadal potrzebny, dlatego przygotowujemy siódmą generację oprogramowania i nowe rozwiązania. Oprócz powszechnie znanych urządzeń z wyświetlaczem oferujemy tokeny programowe, które mogą pracować w telefonach komórkowych i PDA, ponadto rozwijamy rozwiązania autoryzacji za pomocą haseł przesyłanych w wiadomościach SMS.

Co jest potrzebne do stworzenia nowoczesnego środowiska wirtualizacji?

Krzysztof Celmer: Macierze NetApp z serii FAS, zgodne serwery z oprogramowaniem wirtualizującym, połączone za pomocą typowego łącza, np. FibreChannel. Można użyć zarówno rozwiązań firmy Citrix, jak i VMware, oba produkty dobrze integrują się z naszymi macierzami.

Co można jeszcze osiągnąć?

KC: Przyszłość leży w integracji systemu wirtualizującego z systemem składowania danych. Obecne systemy pamięci masowych są traktowane przy wirtualizacji w bardzo prosty sposób, LUN jest jedynie zbiorem bloków. Cała inteligencja, która za nimi stoi, jest dla tych systemów praktycznie niewidoczna. Integracja rozwiązań sprawi, że typowe operacje obejmujące np. kopie migawkowe, będą realizowane w sposób sprzętowy, przez mechanizmy macierzy, a zatem bardzo szybko i sprawnie. Niezbędne jest oprogramowanie, które połączy systemy zarządzania wirtualizacją z rozwiązaniami pamięci masowych, na których pliki maszyn wirtualnych są składowane. Oprogramowanie, które potrafi sterować macierzami NetApp, jest częścią Citrix XenServer, ale właściwą funkcjonalność uzyskuje się też przy integracji z systemami VMware.

Mówi się ostatnio dużo o deduplikacji danych. Jest ona, czy jej nie ma?

KC: Technologia deduplikacji danych jest dostępna od dłuższego czasu w systemach tworzenia kopii bezpieczeństwa. W przypadku samego składowania danych, jest to dość nowe rozwiązanie, choć dostępne jako bezpłatna opcja do wszystkich macierzy z serii FAS. Dotychczas sprzedaliśmy kilkanaście tysięcy licencji obejmujących także tę opcję. Nasze doświadczenia pokazują, że oszczędność powierzchni dyskowej osiągana dzięki deduplikacji mieści się między 80 a 90%. Zależy ona od ilości maszyn wirtualnych i innych czynników, ale w typowych instalacjach są to często osiągane wartości.

Co teraz się robi w dziedzinie bezpieczeństwa?

CP: Skoncentrowaliśmy się na dostarczeniu centralnych systemów zarządzania kluczami do szyfrowania danych w każdym środowisku, także wirtualnym. Budujemy bezpieczeństwa organizacji, którego kluczowym elementem jest serwer zarządzający życiem kluczy, używanych przy składowaniu danych oraz w sieci. Rozwiązanie to dostarcza klucze do macierzy, urządzeń sieciowych, obecnie działa z urządzeniami Cisco i EMC. Takie rozwiązanie jest szczególnie przydatne w wysoko konsolidowanym środowisku. Mamy też rozwiązania związane z uwierzytelnianiem i nadal będziemy dostarczać tę technologię.

W którym kierunku pójdzie rozwój środowisk IT?

MŚ: W tej chwili nie patrzymy już na konsolidację serwerów, gdyż jest to powszechnie znane i wykorzystywane w każdym wdrożeniu. Pół roku temu wydaliśmy darmową edycję ESXi, która ułatwia dokładne zapoznanie się z najważniejszą technologią. Teraz kładziemy nacisk na łatwe zarządzanie, automatyzację niektórych procesów i właśnie bezpieczeństwo.

Celem jest opracowanie narzędzi, które określą, kto może uzyskać dostęp do wirtualnej maszyny, jak długo ta maszyna będzie składowana na macierzy, czy rok, czy dłużej, a potem będzie automatycznie skasowana. Będziemy też zajmowali się produktami wokół samej wirtualizacji, a także oprogramowaniem dla usług w modelu cloud computing. Naszym celem jest opracowanie technologii dla systemów przetwarzania w chmurze realizowanych bezpiecznie zarówno w modelu wewnętrznym, jak i zewnętrznym. Wiąże się z tym opracowanie protokołu współpracy między usługami zewnętrznymi i tymi wewnątrz firmy, aby można było skorzystać z chmury usług zbudowanych przez różnych integratorów oraz działy usługowe wewnątrz firmy. Głównym celem jest oczywiście bezpieczeństwo.

AC: Aktualną wizją naszej firmy jest dostarczenie narzędzi, które umożliwią firmom zrobienie kolejnego kroku w rozwoju infrastruktury IT. Ma on polegać na zmianie klasycznego centrum przetwarzania danych, czyli data center, w centrum dostarczania usług, czyli delivery center, tak jak my to określamy. Chcemy przenieść wszelkie istotne z punktu widzenia biznesowego zarówno informacje, jak i aplikacje do centralnego, bezpiecznego miejsca. Jednocześnie chcemy zagwarantować bezpieczny dostęp użytkownikowi do tych zasobów, wykorzystując przy tym także rozwiązania firm trzecich, z którymi współpracujemy. Razem z udostępnieniem wiąże się też bezpieczne zarządzanie tymi zasobami, składowanymi właśnie w data center. To jest nasza propozycja dla biznesu, który stawia coraz wyższe oczekiwania wobec technologii IT. Z naszego punktu widzenia jesteśmy do tego technologicznie gotowi, mamy też klientów, którzy w bezpiecznym data center przechowują nie tylko dane, ale także aplikacje i desktopy.

MJ: Najczęściej mam do czynienia z ludźmi, ale też korzystam z systemów IT. Te systemy stają się coraz bardziej skomplikowane. Mamy wirtualizację, mamy rozwiązania z dziedziny bezpieczeństwa, mamy tokeny i SMS-owy dostęp do Internetu, do aplikacji dla klientów. Tymczasem najważniejszy problem ma wymiar czysto ludzki. Dzisiejsi inżynierowie są bardzo ukierunkowani na wąską specjalizację i nie obejmują całości zagadnień. Tymczasem użytkownicy korzystający z tych danych na różne sposoby są zainteresowani dostępem do nich, ich nie interesują detale techniczne. Namawiam kolegów inżynierów, aby poszerzali horyzonty myślowe, by znali się na wirtualizacji, pamięciach masowych, bezpieczeństwie, bazach danych i wszelkich zagadnieniach związanych z przetwarzaniem danych. Nie muszą być we wszystkim najlepsi, dla mnie liczy się to, by potrafili poprowadzić projekt związany z siecią dostarczania aplikacji ADN (Application Delivery Network - przyp. red.), który pozwoli na dostarczenie informacji z jednego punktu do drugiego. Oprócz specjalistów od wirtualizowanej infrastruktury w centrum przetwarzania danych, coraz cenniejsi są specjaliści, którzy rozumieją całokształt projektu, potrafią popatrzeć z lotu ptaka na cały system, zostawiając detale poszczególnym inżynierom i administratorom.

KC: Jesteśmy przekonani, że rozwiązania wirtualizacyjne, które powodują zagęszczenie przetwarzania, będą kładły duży nacisk na wzrost przepustowości, wydajności i elastyczności pamięci masowych. Duża konsolidacja, typowa dla środowisk wirtualizowanych, wysoko podnosi poprzeczkę dla tych systemów. W tej chwili bardzo mocno pracujemy nad rozwiązaniami, które pozwalają na łączenie fizycznych systemów składowania danych w jeden logiczny twór (scale-out).

CP: W tej chwili są prowadzone prace badawcze w celu zbudowania frameworku, przeznaczonego do zabezpieczenia danych jako takich. Najważniejszym etapem będzie dopracowanie autoryzacji dostępu do danych, uwierzytelnienie klientów oraz zarządzanie prawami dostępu. Stworzenie spójnego systemu bezpieczeństwa powiązanego z innymi systemami było głównym powodem inwestycji EMC w RSA.


TOP 200