W wielu organizacjach zarządzanie bezpieczeństwem środowisk wirtualizacyjnych jest nie wystarczające. Warto zapoznać się z wynikami niezależnego badania przeprowadzonego na zlecenie firmy CA Technologies. Shirief Nosseir, Dyrektor Marketingu Produktów Bezpieczeństwa na Region EMEA w CA Technologies, przyjrzał się alarmującym kwestiom wynikającym z badania proponując kierunek zmian na przyszłość.
Czego można nie kochać w wirtualizacji?
Możliwość tworzenia dziesiątek maszyn wirtualnych w formie plików w ramach jednego fizycznego serwera to szybka droga do poprawy responsywności rozwiązań informatycznych, podwyższenia produktywności IT, obniżenia kosztów, obniżenia zużycia energii i oszczędności powierzchni. Nic więc dziwnego, że wirtualizacja jest jedną z najszybciej rozwijających się technologii w firmach każdej wielkości. Popyt na przetwarzanie w chmurze obliczeniowej (cloud computing) dodatkowo dolewa oliwy do ognia wirtualizacji.
Niezależne badanie przeprowadzone na zlecenie CA Technologies w Europie i Stanach Zjednoczonych pokazuje, że w centrum uwagi organizacji w dalszym ciągu jest wirtualizacja serwerów. Dla przykładu, 51% badanych organizacji oczekuje, że do końca 2012 roku wprowadzi wirtualizację serwerów w ponad 50% swoich systemów. Działania te mają przynieść oszczędności: 91% firm, jako główną motywację wirtualizacji, podaje efektywność operacyjną IT, na drugim miejscu na liście wskazań znalazła się kontrola kosztów IT (82%), a na trzecim - sprawność i responsywność (76%).
Jednak, jak wszyscy wiemy, nie ma nic za darmo. Poproście szefa IT o sporządzenie listy obaw dotyczących wirtualizacji, a kwestie zarządzania bezpieczeństwem za każdym razem będą pojawiać się na pierwszym miejscu. Badanie przeprowadzone przez wiodącą europejską firmę analityczną, KuppingerCole, wskazuje, że 40% organizacji jest przekonane, iż środowiska wirtualne trudniej zabezpieczyć niż środowiska fizyczne (wynik ten można zestawić z faktem, że tylko 9% respondentów ma odmienne zdanie). I są ku temu uzasadnione powody: większość obecnych technologii i zasad dotyczących bezpieczeństwa wirtualizacji opracowanych przez organizacje nie rozwiązuje realnych zagrożeń bezpieczeństwa wynikających z wirtualizacji. Badanie pokazuje jednak, że podczas gdy coraz więcej organizacji jest świadome kwestii bezpieczeństwa związanych z wirtualizacją, niewiele z nich podejmuje kroki konieczne do rozwiązania kwestii niewystarczalności procesów bezpieczeństwa.
Czy bezpieczeństwo może trzymać w ryzach rozprzestrzenianie danych i uprawnień?
Weźmy na przykład rozprzestrzenianie danych. Ryzyko, że dane będą się rozchodzić w wirtualnych systemach informatycznych w niekontrolowany sposób i w końcu trafią do mniej bezpiecznych środowisk jest uważane przez 81% respondentów za kluczowe zagrożenie dla wirtualizacji. Przy olbrzymich ilościach informacji, jakie codziennie generujemy, przetwarzamy i współdzielimy nie jesteśmy w stanie zapanować nad wszystkimi kopiami informacji wrażliwych.
Jednak ryzyka dotyczące wirtualizacji związane z rozprzestrzenianiem danych można ograniczyć przez zaawansowane rozwiązania do ochrony i kontroli informacji, takie jak oparte na tożsamości rozwiązania zapobiegające utracie danych (Data Loss Prevention , DLP). Rrozwiązanie DLP oparte na tożsamości wzmacnia tradycyjne możliwości DLP o kontekst tożsamości i dostępu. Łączy zrozumienie zarówno jednostek zaangażowanych w dane działanie z rodzajem danych będących przedmiotem ich działania celem ustalenia, z większą dokładnością, czy przedmiotowe działanie powinno być dozwolone (warto wspomnieć, że oparte na tożsamości podejście DLP jest również określane mianem zarządzania tożsamością i dostępem z uwzględnieniem zawartości, w zależności od tego czy patrzymy z perspektywy danych czy z perspektywy tożsamości). To wszystko są dobre wiadomości, ale organizacje w Europie i Stanach Zjednoczonych powoli dołączają do grona użytkowników DLP: jak pokazuje badanie, DLP wdrożyło dotychczas zaledwie 38% organizacji, nie mówiąc już o zintegrowanym podejściu DLP opartym na tożsamości.
Z podobną sytuacją mamy do czynienia w przypadku rozprzestrzeniania uprawnień oraz sposobu zarządzania użytkownikami uprzywilejowanymi w środowiskach wirtualnych. Użytkownicy uprzywilejowani są zazwyczaj administratorami IT lub administratorami sieci odpowiedzialnymi za utrzymanie systemów i ich udostępnianie. Zgodnie z badaniem, 73% organizacji obawia się, że daleko sięgające uprawnienia wynikające z wprowadzenia hypervisora. Hypervisor wprowadzając dodatkową warstwę w zwirtualizowanych środowiskach tworzy nową powierzchnię ataku, otwierając drzwi do nadużyć ze strony uprzywilejowanych użytkowników. Dla przykładu, uprzywilejowani użytkownicy mogą włączać, wyłączać, kopiować lub przenosić wirtualne maszyny. Jeżeli nie zarządza się dobrze takimi uprawnieniami w obrębie hypervisora (np. zgodnie z zasadą najmniejszego uprzywilejowania), firmy będą niepotrzebnie narażone na istotne ryzyko. Ponadto uprawnieniami hypervisora nie można zarządzać w oderwaniu od innych elementów: muszą one być utrzymywane zgodnie z uprawnienia nadanymi jednostkom uprzywilejowanym na klienckich urządzeniach wirtualnych oraz zasobami i systemami działającymi na nich. Z badania wynika, że 49% tych organizacji ani nie wdrożyło zarządzania użytkownikami uprzywilejowanymi ani rozwiązania do zarządzania dziennikami bezpieczeństwa - dwóch kluczowych rozwiązań ograniczających ryzyko związane z rozprzestrzenianiem uprawnień.
