Nie zostawiaj swoich wirtualnych drzwi otwartych

Czego można nie kochać w wirtualizacji?

Możliwość tworzenia dziesiątek wirtualnych urządzeń w formie plików w ramach jednego fizycznego serwera to szybka droga do poprawy zdolności do szybkiego reagowania  rozwiązań informatycznych, obniżenia kosztów, podwyższenia produktywności IT, obniżenia zużycia energii i oszczędności powierzchni. Nic więc dziwnego, że jest to jedna z najszybciej rozwijających się technologii w firmach, zarówno dużych jak i małych. A popyt na przetwarzanie w chmurze (cloud computing) dodatkowo dolewa oliwy do ognia wirtualizacji.

Nowe, niezależne badanie przeprowadzone na zlecenie CA Technologies w Europie i Stanach Zjednoczonych pokazuje, że w centrum uwagi organizacji w dalszym ciągu jest wirtualizacja serwerów. Dla przykładu, 51% badanych organizacji oczekuje, że do końca roku 2012 wprowadzi wirtualizację serwerów w ponad 50% swoich systemów. Działania te mają przynieść oszczędności: 91% firm, jako główną motywację wirtualizacji, podaje efektywność operacyjną informatyki, na drugim miejscu na liście wskazań znalazła się kontrola kosztów informatyki (82%), a na trzecim – sprawność  informatyki (76%).

Jednak, jak wszyscy wiemy, nie ma nic za darmo. Poproście szefa IT o sporządzenie listy obaw dotyczących wirtualizacji, a kwestia zarządzania bezpieczeństwem za każdym razem będzie pojawiać się na pierwszym miejscu. I faktycznie, badanie przeprowadzone przez wiodącą europejską firmę analityczną, KuppingerCole, pokazuje, że 40% organizacji jest przekonane, iż środowiska wirtualne trudniej zabezpieczyć niż środowiska fizyczne (wynik ten można zestawić z faktem, że tylko 9% respondentów jest odmiennego zdania). I są ku temu uzasadnione powody: większość obecnych technologii i zasad dotyczących bezpieczeństwa wirtualizacji opracowanych przez organizacje nie rozwiązuje realnych zagrożeń bezpieczeństwa wynikających z wirtualizacji. Badanie pokazuje jednak, że podczas gdy coraz więcej organizacji jest świadome kwestii bezpieczeństwa związanych z wirtualizacją, niewiele z nich podejmuje kroki konieczne do rozwiązania kwestii niewystarczalności procesów bezpieczeństwa.

Czy bezpieczeństwo może trzymać w ryzach rozprzestrzenianie danych i uprawnień?

Weźmy na przykład rozprzestrzenianie danych. Ryzyko, że dane będą się rozchodzić w wirtualnych systemach informatycznych w niekontrolowany sposób i w końcu trafią do mniej bezpiecznych środowisk jest uważane przez 81% respondentów za kluczowe zagrożenie dla wirtualizacji. Przy olbrzymich ilościach informacji, jakie codziennie przetwarzamy i współdzielimy nie jesteśmy w stanie śledzić, gdzie znajdują się wszystkie kopie naszych informacji  wrażliwych.

Jednak ryzyka dotyczące wirtualizacji związane z rozprzestrzenianiem danych można ograniczyć przez zaawansowane rozwiązania do ochrony i kontroli informacji, takie jak oparte na tożsamości rozwiązania zapobiegające utracie danych (DLP). Oparte na tożsamości rozwiązanie DLP wzmacnia tradycyjne możliwości DLP o kontekst tożsamości i dostępu. Łączy zrozumienie zarówno jednostek zaangażowanych w dane działanie z rodzajem danych będących przedmiotem ich działania celem ustalenia, z większą dokładnością, czy przedmiotowe działanie powinno być dozwolone (warto wspomnieć, że oparte na tożsamości podejście DLP jest również określane mianem zarządzania tożsamością i dostępem z uwzględnieniem zawartości, w zależności od tego czy patrzymy z perspektywy danych czy z perspektywy tożsamości). To wszystko są dobre wiadomości, ale organizacje w Europie i Stanach Zjednoczonych powoli dołączają do grona użytkowników DLP: jak pokazuje badanie, DLP wdrożyło dotychczas zaledwie 38% organizacji, nie mówiąc już o zintegrowanym podejściu DLP opartym na tożsamości.

To samo dotyczy innego rodzaju rozprzestrzeniania: rozprzestrzeniania uprawnień oraz sposobu zarządzania użytkownikami uprzywilejowanymi w środowiskach wirtualnych. Użytkownicy uprzywilejowani są zazwyczaj administratorami IT lub administratorami sieci odpowiedzialnymi za utrzymanie systemów i ich udostępnianie. Zgodnie z badaniem, 73% organizacji obawia się, że daleko sięgające uprawnienia wprowadzane przez hypervisorów mogą prowadzić do błędów lub nadużyć ze strony użytkowników uprzywilejowanych. Dla przykładu, uprzywilejowani użytkownicy mogą włączać, wyłączać, kopiować lub przenosić urządzenia klienckie działające na wirtualnym serwerze hostowym. Jeżeli nie zarządza się dobrze takimi nowymi uprawnieniami hypervisora (np. zgodnie z zasadą najmniejszego uprzywilejowania), firmy będą niepotrzebnie narażone na istotne ryzyko. Ponadto uprawnieniami hypervisora nie można zarządzać w oderwaniu od innych elementów: muszą one być utrzymywane zgodnie z uprawnienia nadanymi jednostkom uprzywilejowanym na klienckich urządzeniach wirtualnych oraz zasobami i systemami działającymi na takich urządzeniach. Badanie pokazuje, że 49% tych organizacji ani nie wdrożyło zarządzania użytkownikami uprzywilejowanymi ani rozwiązania do zarządzania dziennikami bezpieczeństwa – dwóch kluczowych rozwiązań ograniczających ryzyko związane z rozprzestrzenianiem uprawnień.

Te obawy dotyczące bezpieczeństwa zagrażają również próbom przejścia do strategii „chmury”. W zadanym w badaniu pytaniu o główne czynniki hamujące szybkie przejście na prywatną strategię „chmur” jako najsilniejsze czynniki wskazano „kwestie prywatności chmur i zgodności z wymogami” oraz „kwestie dotyczące bezpieczeństwa chmur”. 39% respondentów oczekuje, że kwestie dotyczące bezpieczeństwa zostaną rozwiązane do końca bieżącego roku (2011), a tylko 30% uważa, że stanie się tak w przypadku kwestii prywatności i zgodności z wymogami, co oznacza, że użytkownicy uważają, iż prywatność i zgodność z wymogami może opóźniać ewolucję informatyki w kierunku „chmur". Ale są też dobre wieści. Badanie pokazuje świadomość organizacji, że bezpieczeństwo – w szczególności zarządzanie tożsamością i dostępem (IAM) oraz zarządzanie ryzykiem i zgodnością z wymogami – są przesłankami udanej strategii przetwarzania w chmurze.

Automatyzacja w celu uzyskania pełnej kontroli

Niewiele organizacji korzysta z technologii automatyzacji do zarządzania dostępem uprzywilejowanym w środowiskach zwirtualizowanych. Zamiast tego polegają na procesach manualnych, realizowanych bez technologii wspierającej – a to naraża bezpieczeństwo organizacji na ryzyko. Dla przykładu, tylko 65% respondentów stwierdziło, że egzekwuje rozdzielenie obowiązków dla zadań administracyjnych w platformach wirtualnych – co jest kluczową przesłanką najlepszych praktyk w zakresie zgodności z wymogami i bezpieczeństwa. Nawet jeżeli organizacje to robią, ponad 40% nie korzysta z krytycznych narzędzi programowych koniecznych do automatyzacji egzekwowania tego rozdzielenia, w tym certyfikacji dostępu, zarządzania użytkownikami uprzywilejowanymi czy zarządzania dziennikami. Tak jak w przypadku rozprzestrzeniania uprawnień, rozwiązania automatyczne wspomagałyby takie rozdzielenie obowiązków, egzekwowały zasadę najmniejszego uprzywilejowania (nadając użytkownikowi tylko takie uprawnienia, które są absolutnie konieczne do wykonywania jego pracy) i utrzymywały odpowiedzialność w zakresie wszystkich krytycznych aktywów.

Przy tak dużym udziale organizacji świadomych ryzyk związanych z bezpieczeństwem wirtualizacji, dlaczego poziom adopcji rozwiązań dotyczących bezpieczeństwa nie jest wyższy? Patrząc na ogólne dane liczbowe widzimy, że największą blokadą dla bezpieczeństwa wirtualizacji jest nadal relatywna niedojrzałość podejścia organizacji do wirtualizacji jako całości. Brak jest wiedzy fachowej i umiejętności; brak jest również procesów, zasad i standardów oraz istnieje potrzeba poprawy wsparcia dla bezpieczeństwa wirtualizacji ze strony dostawców.

Jest sposób na pokonanie tej pozornie niemożliwej do przejścia ściany kosztów. Jeżeli organizacje korzystałyby ze strategii i narzędzi, które elastycznie wspierają heterogeniczne platformy i umożliwiają ujednolicone zarządzanie systemami wirtualnymi i fizycznymi, rozkładałyby one koszt bezpieczeństwa na całą swoją infrastrukturę – fizyczną i wirtualną. Jednocześnie automatyzowałyby nieefektywne procesy bezpieczeństwa, przyjmowały bardziej spójne i efektywne podejście do bezpieczeństwa i racjonalizowały umiejętności wymagane do utrzymania bezpieczeństwa. Ważne jest również zapewnienie, aby bezpieczeństwo było brane pod uwagę wcześnie na etapach planowania wprowadzenia wirtualizacji, celem zapobieżenia powstawaniu silosów bezpieczeństwa i zapewnienia dostępności adekwatnych budżetów na bezpieczeństwo od samego początku.

Przy wirtualizacji środowisk informatycznych ważne jest również zapewnienie, aby zarządzanie bezpieczeństwem było zintegrowane zarówno z zarządzaniem infrastrukturą jak i zarządzaniem usługami. Należy rozważyć kwestie, takie jak zarządzanie zmianami i konfiguracją, zaopatrzenie serwerów, zarządzanie incydentami i problemami, zarządzanie pracą, zarządzanie poziomem usług oraz katalogi usług. Automatyzacja jest kluczowym wymogiem do osiągnięcia realnych korzyści z wirtualizacji i taka integracja jest konieczna do osiągnięcia wymaganego poziomu automatyzacji.

Jednorodne podejście do bezpieczeństwa w platformach fizycznych jak i wirtualnych umożliwia zarządzanie aspektami ludzkimi, procesowymi i technologicznymi jako całością. I jeżeli organizacja zamierza zarządzać i zabezpieczać zarówno środowiska fizyczne jak i wirtualne jednorodnym rozwiązaniem automatycznym, musi nawiązać partnerską współpracę z dostawcą dysponującym wiedzą fachową i rozwiązaniami łączącymi obydwa te środowiska. Na przykład takim jak CA Technologies.

I nie wolno zapominać o kwestii zgodności z wymogami. Z natury środowiska wirtualne są bardziej dynamiczne a praca na serwerach wirtualnych ma charakter bardziej mobilny. Dlatego też krytyczne znaczenie ma utrzymanie zarówno kontroli jak i widoczności tego, co się dzieje w środowiskach wirtualnych celem zapewnienia zgodności z wymogami regulacyjnymi i kontrolnymi.

Wniosek

W dzisiejszych czasach bezpieczeństwo informacji jest w takim stopniu związane z procesem co z technologią. Przejście na wirtualizację jest podróżą a nie szybkim projektem. Z jednej strony wirtualizacja wymaga od nas rewizji istniejącej polityki, procesów i procedur celem wsparcia ewoluującego krajobrazu informatycznego i zabezpieczenia całości naszej infrastruktury. Również nasze odświeżone strategie muszą zapewniać bezpieczeństwo samych danych, umożliwiając sprawność działania i efektywność wykorzystania informacji. Jednocześnie automatyzacja jest koniecznością, a nie opcją, aby móc zrealizować realne korzyści wynikające z wirtualizacji. W rezultacie rozwiązania IAM z uwzględnieniem zawartości są kluczowym składnikiem obecnych pakietów technologicznych.