Zdaniem Gartnera w 2012 roku 60 % zwirtualizowanych serwerów będzie mniej bezpiecznych niż fizyczne serwery, które zastąpiły. Wprawdzie analitycy przewidują, że pod koniec 2015 roku ten odsetek spadnie do 30%, ale jednocześnie ostrzegają, że wiele projektów wdrożeń wirtualizacji jest podejmowanych bez zaangażowanie w nie osób odpowiedzialnych za bezpieczeństwo. Jest to szczególnie widoczne na etapie początkowego planowania.
Wirtualizacja ze swej natury nie stanowi zagrożenia, ale problemem jest nieodpowiednie, z punktu widzenia bezpieczeństwa, wdrażanie wirtualnych maszyn. Jest to efektem niedojrzałości dostępnych narzędzi p procesów, a także ograniczonymi umiejętnościami pracowników działów IT, resellerów oraz konsultantów.
Z przeprowadzonych badań wynika, że pod koniec 2009 roku tylko 18% korporacyjnych aplikacji ze wszystkich, które mogłyby działać w wirtualnych maszynach, faktycznie zostało zwirtualizowanych. Jednak już w 2012 roku odsetek ten powinien wynosić 50%. Gdy coraz więcej aplikacji będzie działać w wirtualnych środowiskach, aplikacje o różnych poziomach zaufania będą działać w bezpośrednim sąsiedztwie. Ponieważ wirtualne maszyny mogą migrować między serwerami fizycznymi, kwestie bezpieczeństwa związane z wirtualizacją będą coraz pilniej wymagać rozwiązania. W tym zakresie można wyróżnić sześć głównych zagrożeń, związanych właśnie z wirtualizacją.
Bezpieczeństwo informacji nie jest uwzględniane w projektach wirtualizacji
Ankieta przeprowadzona przez Gartnera w 2009 roku pokazuje, że około 40% projektów wdrożeń wirtualizacji odbywa się na etapie planowania bez udziału specjalistów od bezpieczeństwa informacji. Z reguły zespół odpowiedzialny za wdrożenie argumentuje, że wirtualizacja w gruncie rzeczy niczego nie zmienia – zespół ma już odpowiednie umiejętności i procesy do zabezpieczenia aplikacji, systemów operacyjnych i sprzętu. Wprawdzie jest to słuszne stwierdzenie, ale zapomina się o nowej warstwie oprogramowania w formie hypervisora i monitora maszyn wirtualnych, które pojawia się w wirtualnym środowisku.
Dlatego specjaliści od bezpieczeństwa muszą zrozumieć, że zagrożenie, które nie jest rozpoznane, nie może być zarządzane. Działania należy rozpocząć raczej od rozszerzenia procesów bezpieczeństwa, niż od kupowania dodatkowych zabezpieczeń, w celu poprawy bezpieczeństwa wirtualnej serwerowni.
Złamanie zabezpieczeń warstwy wirtualizacji może umożliwić dostęp do wszystkich wirtualnych maszyn i działających w nich aplikacji
Warstwa wirtualizacji to kolejna, ważna platforma w infrastrukturze IT. Podobnie, jak każde inne oprogramowanie, ta warstwa bez wątpienia zawiera podatności, które mogą być wykorzystane przez włamywaczy. Biorąc pod uwagę poziom uprzywilejowania, który ma hypervisor, włamywacze już teraz wzięli na cel tę warstwę, co potencjalnie umożliwia włamanie się do wszystkich maszyn wirtualnych działających w danym środowisku wirtualnym. Z perspektywy zarządzania i bezpieczeństwa IT, ta warstwa musi być aktualizowana łatkami bezpieczeństwa oraz należy stworzyć wytyczne dotyczące jej konfiguracji.
Dlatego zaleca się traktowanie te warstwy jako najbardziej krytycznej platformy x86 w serwerowni i dbanie o to, żeby ta warstwa była jak najcieńsza (zmniejszenie płaszczyzny ataku). Należy przy tym pamiętać o poprawianiu zabezpieczeń konfiguracji przed nieautoryzowanymi zmianami. Od producentów oprogramowania do wirtualizacji powinno się wymagać opracowania funkcji monitorowania warstwy hypervisora w momencie startowania (bootowania) w celu wykrycia ewentualnego złamania zabezpieczeń. Poza tym firmy nie powinny polegać wyłącznie na zabezpieczeniach działających na danej maszynie w celu wykrycia włamania czy ochrony warstw działających poniżej.
Brak kontroli i monitorowania wewnętrznego ruchu między wirtualnymi maszynami uniemożliwia działanie mechanizmom wymuszających stosowanie reguł bezpieczeństwa
Aby zapewnić wydajność komunikacji między maszynami wirtualnymi, większość platform wirtualizacji oferuje mechanizmy tworzenie wirtualnych sieci (opartych na programowych mechanizmach, np. wirtualnych przełącznikach), które umożliwiają maszynom wirtualnym bezpośrednią komunikację w obrębie danego serwera fizycznego. Taki ruch sieciowy nie będzie widoczny dla sieciowych urządzeń ochronnych, np. systemów IPS/IDS.
Dlatego zaleca się, żeby firmy wymagały przynajmniej tego samego typu monitorowania, które ma miejsce w fizycznej sieci, co pozwoliłoby śledzić ruch sieciowy pomiędzy maszynami wirtualnymi i kontrolować go. Aby zredukować szansę pomyłek w konfiguracji i zarządzaniu, firmy powinny wybierać tych producentów zabezpieczeń, którzy rozdzielają środowisko fizyczne od wirtualnego z wykorzystaniem spójnych narzędzi zarządzania politykami i wymuszającymi ich stosowanie.
Aplikacje o różnym poziomie zaufania są konsolidowane na jednym serwerze fizycznym bez wystarczającej separacji
Wraz z przenoszeniem kolejnych aplikacji do wirtualnego środowiska, coraz bardziej krytyczne i istotne aplikacje są migrowane do wirtualnych maszyn. To niekoniecznie musi być problemem, ale może się nim stać, jeśli na jednym serwerze fizycznym będą umieszczane aplikacje z różnych stref zaufania bez zapewnienia im odpowiedniej separacji.
Firmy powinny przynajmniej wymagać tego samego poziomu separacji, jaki jest w sieciach fizycznych pomiędzy różnymi poziomami zaufania w centrum danych. Wirtualne desktopy (VDI) należy traktować jako niezaufane i silnie izolować je od reszty fizycznej infrastruktury centrum danych. Zaleca się firmom ocenę, czy potrzebują punktowych systemów, które są w stanie powiązać polityki bezpieczeństwa z wirtualnymi maszynami i zapobiegać pojawianiu się na jednym serwerze aplikacji z różnymi poziomami zaufania.
Brak odpowiedniej kontroli dostępu administratorów do warstwy hypervisora i narzędzi zarządzania wirtualizacją
Ze względu na krytyczną rolę warstwy hypervisora, dostęp administratorów do tej warstwy musi być ściśle kontrolowany, ale zadanie to komplikuje się, ponieważ większość platform wirtualizacji pozwala na administrowanie nimi przy użyciu wielu narzędzi.
Dlatego zaleca się ograniczenie dostępu do narzędzi zarządzania warstwą wirtualizacji i wybieranie oprogramowania do wirtualizacji, które umożliwia kontrolę dostępu w oparciu o role (profile). To pozwala na dokładniejszą kontrolę uprawnień. Jeśli pojawiają się regulacje prawne narzucające określone wymogi, firmy powinny ocenić, czy potrzebuję dodatkowych narzędzi oferowanych przez niezależnych producentów.
Potencjalna utrata separacji obowiązków pomiędzy kontrolowaniem sieci i zabezpieczeń
Jeśli wiele serwerów fizycznych zostaje skonsolidowanych w jedną maszynę, zwiększa się ryzyko, że zarówno administratorzy jak i użytkownicy przypadkowo uzyskają dostęp do danych, który wychodzi poza ich uprawnienia. Innym obszarem, który wymaga uwagi, jest wybór zespołu, który będzie odpowiedzialny za konfigurację wirtualnego przełącznika.
Gartner zaleca, żeby ten sam zespół był odpowiedzialny na konfigurację topologii sieci (także VLAN’ów) w środowisku wirtualnym i fizycznym. Należy wybierać oprogramowanie do wirtualizacji, które umożliwia zarządzania z tej samej konsoli i objęcie tymi samymi politykami środowiska wirtualnego i fizycznego.
