Laxní přístup k zabezpečení virtualizovaného prostředí

Jak přistoupit k zabezpečení vizualizovaného prostředí a minimalizovat rizika vizualizace.

Virtualizace serverů ve výrobních prostředích rostla v posledních letech raketovým tempem, a to z téměř nulového stavu v roce 2004 až ke značné rozšířenosti v roce 2009. Z různých průzkumů vyplývá, že 93% organizací provádí virtualizaci serverů a 78% používá virtuální počítače na straně uživatelů. 48% účastníků potvrzuje, že virtualizace skutečně snížila jejich náklady, většinou díky konsolidaci serverů a nižší spotřebě energie.

V roce 2010 mělo dojít k nasazení produktů umožňující zabezpečení virtualizovaného prostředí. Alespoň to předpokládali dodavatelé těchto produktů a nasvědčovala tomu i situace na trhu, kde se počet dodavatelů oproti loňskému roku zdvojnásobil a vznikla tak celá řada nových produktů pro zabezpečení virtuálního prostředí.

Dnes je však téměř jisté, že se tyto představy dodavatelů nenaplní, neboť většina podniků neuvažuje o tom, že by tyto produkty nasadila. Podle průzkumů jen 10% organizací nasadilo produkty pro zabezpečení virtuálního prostředí a celých 70% podniků o něčem takovém v horizontu tří let vůbec neuvažuje.

Proč je ale míra využití tak nízká? Jedním z důvodů je skutečnost, že virtualizace je pořád relativně nový trend. Výrobci se zcela logicky snažili nabídnout takové řešení, které by minimalizovalo rizika virtualizace. Předpokládali, že CSO bude požadovat u virtuální infrastruktury minimálně stejný stupeň zabezpečení jako u nahrazené fyzické infrastruktury. Bohužel, ukazuje se, že CSO jsou přesvědčeni, že jsou schopni zvládat ohrožení virtuální infrastruktury bez použití nástrojů pro zabezpečení virtuálního prostředí, jen za pomoci stávajících bezpečnostních kontrol a procedur.

Doufejme, že jejich postoj se změní v okamžiku, kdy budou mít o rizicích a zabezpečení virtualizovaného prostředí k dispozici více informací. Překvapením nicméně zůstává, že rizika nejsou to, o co se podniky zajímají především. Jako odpověď na upozornění výrobců na zranitelná místa virtualizace převažuje tato reakce: „A to má být problém?“ Ve skutečnosti je hlavní starostí pracovníků IT ve firmách soulad se zákonnými požadavky. A nutno podotknout, že většina výrobců technologií pro zabezpečení virtuálního prostředí se příliš nesoustředí na to, jak mohou jejich produkty podnikům dosažení tohoto souladu usnadnit.

Dalším tématem, o kterém se nemluví, i když by mělo, je skutečnost, že v důsledku virtualizace začíná být silná obvodová ochrana zastaralá. V současné době stále většina organizací spoléhá na ochranu na perimetru (brány firewall, systémy pro detekci nebo prevenci průniků, řízení přístupu k síti, řízení vzdáleného přístupu a testování průniku). Řídí se přitom zásadou „nevěřit ničemu za obvodem sítě“ Což je na první pohled správné. Jenže mají zároveň tendenci téměř bezvýhradně věřit všemu uvnitř virtuálního prostředí. A to je zásadní chyba.

Pracovníci IT často potřebu technologie pro zabezpečení virtuálního prostředí odmítají a tvrdí: „Když nepřidáváme prvky pro vzájemnou ochranu interních fyzických serverů, proč bychom měli zajišťovat vzájemnou ochranu virtuálních serverů?“ Ve virtualizovaném prostředí je to však nutnost. Nejlepším přístupem, který by měl zajistit odpovídající úroveň bezpečnosti i ve virtualizované infrastruktuře je hloubková ochrana „Defense in Depth, která zahrnuje zabezpečovací prvky jako firewall, systémy pro detekci/prevenci průniků, zabezpečení hostitele, silné řízení přístupu, monitorování protokolů a ochranu integrity. Mezi fyzickými a virtuálními servery jsou totiž čtyři klíčové rozdíly:

  • Existence nové vrstvy správy tvořené hypervizory a souvisejícími konzolami a rozhraními pro správu
  • Koncentrace více serverů na jednom fyzickém stroji
  • Proměnlivý stav serverů v čase: servery mohou být aktivní, neaktivní, blokovány, uloženy a znovu načteny
  • Přesuny virtuálních počítačů k fyzickým serverům ve stejném datovém středisku, záložním datovém středisku nebo dokonce cloudu či poskytovateli hostitelských služeb, takže vzniká tok informací z počítače do počítače

Právě v důsledku těchto čtyř rozdílů se řízení rizik a dosažení shody se zákonnými požadavky ve virtuálním a fyzickém prostředí liší. Ve virtualizované infrastruktuře neexistují žádné fyzické kontrolní prvky zabezpečení. Vše je virtuální (virtuální server, virtuální počítač, virtuální síť), fyzické kontrolní body lze tedy umístit jedině na okraje virtuální infrastruktury, kde končí virtuální prostředí a začíná prostředí fyzické.

Dost často se tak setkáme s tím, že se organizace snaží ve virtualizované infrastruktuře dosáhnout hloubkové ochrany pomocí fyzických bezpečnostních zařízení, vytvořením virtuálních úrovní důvěry přes fondy serverů spojených podsítěmi VLAN a složitým směrováním do všech fyzických bezpečnostních zařízení. Veškeré přenosy dat z každé podsítě je třeba směrovat na okraje virtuální infrastruktury, kde lze pomocí fyzických kontrolních prvků zabezpečení dosáhnout úrovní důvěry. Takový systém je velmi náročný na správu a velmi omezující, protože vlastně spočívá v kabelovém propojení virtuální infrastruktury, takže vypadá jako fyzická. Existují samozřejmě mnohem lepší řešení, jedním z nich je např. Trend Micro Deep Security.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
VASICA, Zoran. Laxní přístup k zabezpečení virtualizovaného prostředí. Online. Clever and Smart. 2011. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/laxni-pristup-k-zabezpeceni-virtualizovaneho-prostredi/. [cit. 2025-02-16].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Laxní přístup k zabezpečení virtualizovaného prostředí” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: