Wirtualizacja serwerów, oprócz wielu zalet, rodzi również problemy związane z bezpieczeństwem. Wirtualne środowisko znacznie różni się od fizycznego, wymaga więc innego podejścia do kwestii zabezpieczeń. W tym artykule przyglądamy się zagadnieniem bezpieczeństwa specyficznym dla wirtualnych środowisk, ponieważ administratorzy często nie zdają sobie z nich sprawy lub uświadamiają dopiero po wdrożeniu.
Z reguły administratorzy widzą tylko zalety wirtualizacji, a nie doceniają złożoności wirtualnego środowiska. Zasadniczo wirtualne maszyny nie są bardziej podatne na ataki niż fizyczne systemy. W wirtualnym środowisku występują typowe zagrożenia bezpieczeństwa, ale wirtualizacja dodaje nową warstwą, która również wymaga ochrony. Dlatego trzeba się zmierzyć z nowymi zagrożeniami występującymi tylko w wirtualnym środowisku. Ponadto, konsekwencje złamania zabezpieczeń rozwiązania platformy wirtualizacyjnej są dużo poważniejsze, ponieważ daje ono dostęp wielu zasobów. Jest to więc bardzo atrakcyjny cel dla cyberprzestępców.
Hypervisor na celowniku
Główne obawy budzi hypervisor (nadzorca), czyli oprogramowanie kontrolujące działanie wirtualnych maszyn. Złamanie jego zabezpieczeń pozwala przeprowadzić skuteczny atak (tzw. hyperjacking) i uzyskać dostęp do wszystkich wirtualnych maszyn działających na danym serwerze fizycznym. Rootkit infekujący nadzorcę to prawdziwy koszmar administratora. Na szczęście dotychczas informacje o takich zagrożeniach pojawiające się w Internecie to tylko pogłoski.
Aktualizowanie i instalowanie łatek bezpieczeństwa
Zjawiskiem charakterystycznym dla wirtualnego środowiska jest wykorzystywanie wirtualnych maszyn, które mogą być wyłączone przez dłuższy czas. W trakcie, gdy wirtualna maszyna jest wyłączona, nie są w niej instalowane łatki systemu operacyjnego i aplikacji, brakuje również aktualnych definicji wirusów. Ponowne włączenie takiej maszyny wirtualnej tworzy wyłom w zabezpieczeniach. Od pewnego czasu są już dostępne specjalizowane narzędzia, które potrafią aktualizować wirtualne maszyny wtedy, gdy są wyłączone. Uzyskują one bezpośredni dostępu do pliku wirtualnego dysku bez włączania wirtualnej maszyny.
Zarządzanie bezpieczeństwem w wirtualnym środowisku
Kwestie bezpieczeństwa w wirtualnym środowisku należy rozważyć z punktu widzenia zarządzania i powinno się je traktować jako część ogólnej strategii optymalizacji zasobów. Co istotne, o bezpieczeństwie należy myśleć przed wdrożeniem wirtualizacji, a nie dopiero po nim. Co więcej, takie rozwiązania, jak VMotion, komplikują zarządzanie bezpieczeństwem wirtualnych maszyn.
Wirtualizacja wymaga większej dyscypliny i kontroli nad tworzeniem nowych wirtualnych maszyn. Warto rozważyć ustalenie zasada tworzenie nowych wirtualnych maszyn oraz prowadzenie dokumentacji. Konieczne może być rozdzielenie uprawnień administracyjnych do środowiska wirtualnego miedzy kilka grup, zarządzających dostępnością, równoważeniem obciążenia i prawami dostępu użytkowników.
Patrząc na zarządzanie z punktu widzenia bezpieczeństwa, środowisko fizyczne ma wiele zalet. Uruchomienie nowego serwera fizycznego angażuje wiele osób, którzy mogą ocenić zmiany, jakie on wprowadzi w infrastrukturze. W efekcie popełnienie błędu w takim środowisku jest mniej prawdopodobne, ponieważ ewentualne pomyłki są wychwytywane i poprawiane zanim nowy serwer zostanie uruchomiony w środowisku produkcyjnym. W przypadku wirtualizacji jest odwrotnie – administrator może w ciągu kilkunastu minut samodzielnie uruchomić nowy serwer. Bez konsultacji z innymi pracownikami, więc luki w bezpieczeństwie mogą zostać łatwo przeoczone.
Powódź serwerów
Powszechnym zagrożeniem jest „server sprawl” – zjawisko, polegające na szybkim przybywaniu wirtualnych maszyn. Nawet w złożonym środowisku IT uruchamianie nowych wirtualnych maszyn czy ich usuwanie zajmuje co najwyżej kilka godzin, a z reguły jest kwestią kilkunastu minut. Nie należy się więc dziwić, jeśli dział IT nie wie, jak dużo wirtualnych maszyn zostało stworzonych, jakie aplikacjach w nich działają i gdzie są przechowywane. Kulminacją tego zjawiska jest brak wiedzy o zabezpieczeniach, jakimi objęte są wirtualne maszyny.
Pokrewnym problemem jest zapewnienie bezpieczeństwa aplikacjom działającym w wirtualnym środowisku. Jeśli administratorzy nie są w stanie monitorować dynamicznie zachodzących w nim zmian, będą mieli poważne problemy z zarządzaniem aplikacjami i ich monitorowaniem. Ponieważ aplikacje służą potrzebom biznesowym, a wirtualne środowisko jest zarządzane przez dział IT, między tymi jednostkami musi następować wymiana informacji.
Dlatego zaleca się firmom planowanie środowiska wirtualnego z uwzględnieniem biznesowych potrzeb firmy. Przykładowo, nie zaleca się wirtualizacji serwerów baz danych ze względu na duży wykorzystanie mocy obliczeniowej, ale jeśli w firmie są małe bazy danych nie generujące dużego obciążenia, można skonsolidować ich kilka na jednym serwerze fizycznym. W trakcie planowania należy uwzględnić najważniejsze parametry: ilość operacji wejścia/wyjścia i przewidywany wzrost czy wymagania związane z tworzeniem klastrów i replikacją danych.
Elastyczność jest jedną z podstawowych zalet wirtualizacji, ale jednocześnie wrogiem bezpieczeństwa. Przejrzystość infrastruktury spada i administratorzy niekoniecznie wiedzą, co faktyczne dzieję się w poszczególnych maszynach. Prowadzi to do zamierzonych błędów administratorów, które mogą zagrozić bezpieczeństwu. Nie przestrzegając określonych procedur, można stworzyć luki w zabezpieczeniach infrastruktury. Przykładowo, umieszczenie wirtualnych maszyn różnych klientów na jednym serwerze wystawia na niebezpieczeństwo wszystkich tych klientów.
Inwentaryzacja aplikacji
Również zarządzanie aplikacjami w środowisku wirtualnym należy rozpocząć od inwentaryzacji i monitorowania. Istotne jest ustalenie priorytetów aplikacji, wyodrębnienie strategicznych aplikacji oraz tych, które są mniej istotne, redundantne lub wręcz nadają się do usunięcia. Warto też ustalić, kto korzysta z danej aplikacji. Pozwala to powiązać tradycyjne metody kontroli i monitorowania dostępu użytkowników z jednostkami biznesowymi. To z kolei umożliwia nadawanie właściwych uprawnień użytkownikom w dynamicznie zmieniającym się środowisku wirtualnym.
Backup i przywracanie w przypadku awarii
Wirtualizacja potencjalnie może uprościć backup środowiska produkcyjnego. Wirtualne maszyny będące kopią fizycznych serwerów lub innych wirtualnych maszyn mogą być wykorzystywane jako środowisko rezerwowe (failover) lub do przejęcia zadań backupu wykonywanych standardowo w środowisku produkcyjnym. Wirtualizacja znajduje zastosowania w lokalizacjach rezerwowych do zredukowania liczby serwerów potrzebnych do obsłużenia środowiska produkcyjnego w przypadku awarii.
W przypadku wystąpienia awarii najlepiej, jeśli system rezerwowy jest wierną kopią środowiska produkcyjnego. W przypadku kilku serwerów i aplikacji pełna duplikacja jest łatwa do wykonania. Zalety wirtualizacji najlepiej widać dopiero w dużych środowiskach, gdy duplikować trzeba kilkadziesiąt czy kilkaset serwerów.
Podsumowanie
Administratorzy często uświadamiają sobie kwestie związane z bezpieczeństwem dopiero po wdrożeniu wirtualizacji. Powszechną praktyką jest skupianie się na dostarczaniu serwerów, a dopiero później analizowanie, jak je zabezpieczyć. Tymczasem rozwiązania ochronne dodane już po wdrożeniu prawie zawsze się nie sprawdzają. W takim przypadku trzeba też liczyć się z problemami wydajnościowymi, bo zapewne podczas planowania pojemności nie uwzględniono wymagań systemów ochronnych. Dlatego tak ważne jest wcześniejsze przemyślenie zabezpieczeń.
Zagrożenie w dużym stopniu zależy od tego, jak zarządzane jest wirtualne środowisko. Bo podstawą planu zabezpieczeń jest dokładne poznanie dostępnych zasobów, ich zalet i słabych stron, niezależnie czy chodzi o infrastrukturę fizyczną czy wirtualną. W przypadku wirtualizacji najsłabszą stroną jest możliwość dostępu do całego systemu z jednego miejsca.
Jednym z kluczowych czynników skuteczne systemu zabezpieczeń jest korzystanie z różnych metod ochrony. Dlatego warto rozglądać się za nowymi rozwiązaniami bezpieczeństwa, jak sieciowe antywirusy, systemy IPS czy umożliwiającymi tworzenie sieci VPN.
Co istotne, bezpieczeństwo wirtualnego środowiska nie jest wyłącznie kwestią technologiczną. Współpraca wewnątrz działu IT jest tak samo ważna, jak same aplikacje ochronne. Niestety obserwacje pokazują, że poszczególne grupy IT działają bez uwzględnienia poczynań pozostałych grup. Tymczasem specjalizacja wewnątrz działów IT jest nieunikniona – nie da się być jednocześnie ekspertem od wirtualizacji, bezpieczeństwa, sieci, itd.
