O zaletach wirtualizacji serwerów nie trzeba już nikogo przekonywać. Jednak w euforii towarzyszącej przenoszeniu serwerów do wirtualnego środowiska administratorzy często zapominają o wpływach, jakie nowe środowisko ma na bezpieczeństwo. Tymczasem wirtualne serwery i łączące je wirtualne sieci są narażone na takie same zagrożenia, jak fizyczna infrastruktura, a dodatkowo trzeba liczyć się z kilkoma zjawiskami specyficznymi dla wirtualnego środowiska.
W większości wdrożeń wirtualizacji serwerów łamane są dwie podstawowe reguły bezpieczeństwa: monitorowania i rejestrowaniu ruchu przychodzącego i wychodzącego z serwera oraz kontrolowania go z wykorzystaniem zdefiniowanych reguł. Podstawową przyczyną jest nieprzystosowanie tradycyjnych firewalli i systemów IDS do ochrony środowisk wirtualnych. Tymczasem bez odpowiednich narzędzi administratorzy nie poradzą sobie z właściwą ochroną i monitorowaniem ruchu pomiędzy wirtualnymi maszynami.
Wirtualny przełącznik
W wirtualnym środowisku powstaje nowa warstwa dostępu do sieci: wirtualny przełącznik będący składnikiem platformy wirtualizacyjnej. Jego zadaniem jest kierowanie ruchu między wirtualnymi maszynami, które działają na jednym serwerze fizycznym. Ta transmisja odbywa się wewnątrz wirtualnego środowiska, bez wykorzystania zewnętrznej sieci fizycznej. W efekcie tego rodzaju komunikacja nie jest widoczna dla narzędzi monitorujących fizyczną sieć i nie jest chroniona przez zabezpieczenia sieci fizycznej.
Stało się jasne, że potrzebne są odpowiednie narzędzia umożliwiające śledzenie komunikacji między wirtualnymi maszynami w ramach pojedynczego serwera fizycznego. Mogą się one przydać, m.in. do identyfikacji problemów z dostępem, które, obserwowane z poziomu sieci fizycznej, wyglądają identycznie.
Przykładowo, problemy z dostępem do wirtualnej maszyny mogą być spowodowane: infekcją wirtualnego serwera przez wirusy (SQL Slammer, Nimda), które generują bardzo dużo ruchu w wirtualnej sieci; niedostępnością lub błędną konfiguracją serwera DHCP; brakiem uprawnień użytkownika, problemami z wewnętrzną komunikacją aplikacji działającej na wielu serwerach; nietypowym ruchem w sieci, spowodowanym przez błędnie działającą aplikację czy wykonywany akurat backup.
Z reguły pierwszym krokiem do zabezpieczenia wirtualnej sieci jest jej analiza. Można wykorzystać do tego celu specjalizowane narzędzia, jak Virtual Network Security Analyzer firmy Altor, które monitorują aktywność wirtualnych sieci, wyświetlają informacje o wykorzystaniu sieci przez poszczególne wirtualne maszyny, a także rejestrują zbierane informacje.
Narzędzia monitorujące mogą obejmować działaniem cały system lub śledzić tylko poczynania wybranej aplikacji. Przykładowo, firma Secerno oferuje produkt dedykowany do monitorowania baz danych SQL na platformie VMware. To pozwala zapewnić zwirtualizowanym bazom danych taki sam poziom bezpieczeństwa, jak w środowisku fizycznym, ale jednocześnie korzystać z zalet wirtualizacji.
O monitorowaniu warto pomyśleć jeszcze przed wdrożeniem wirtualizacji, co pozwoli lepiej przygotować system zabezpieczeń dopasowany do wymagań danego środowiska. Z doświadczeń wynika, że wstępny monitoring z reguły pozwala wykryć kilka wcześniej niezidentyfikowanych luk, oprócz tych, których można było się spodziewać. Wiele systemów oferuje funkcje automatycznego monitorowania ruchu sieciowego i wychwytywania podejrzanego kodu do dalszej analizy.
Fizyczne zabezpieczenia w wirtualnej sieci
Administratorzy sieci odpowiadają za poprawne działanie i bezpieczeństwo firmowych sieci. W tym celu korzystają z różnych narzędzi, jak zapory sieciowe, systemy IDS/IPS i analizatory sieci, które sprawdzały się w fizycznym środowisku. Niestety próby zaimplementowania ich w wirtualnych sieciach nie dają zadowalających rezultatów.
Aby zintegrować sieć wirtualną z siecią fizyczną, można skierować cały ruch wirtualnych maszyn do sieci fizycznej, a następnie przepuścić go przez zapory sieciowe czy systemy wykrywania włamań. Takie podejście bardzo komplikuje zarządzanie siecią, m.in. ze względu na znaczne skomplikowanie adresacji IP i duży wzrost ruchu w sieci. Poza tym prowadzi to do zwiększenia kosztów wirtualizacji, ponieważ rosną koszty utrzymania sieci.
Jak widać, rozwiązania sprawdzające się w sieciach fizycznych, nie zdają egzaminu w środowisku wirtualnych maszyn, generując wiele problemów. Dotychczasowe rozwiązania nie zostały zaprojektowanie do ochrony komunikacji sieciowej miedzy wirtualnymi maszynami na jednym serwerze fizycznym. Poza tym dynamiczna natura wirtualnego środowiska (migracja wirtualnych maszyn między serwerami fizycznymi) sprawia, że przestają wystarczać zabezpieczenia działające w oparciu o określone parametry sieci.
Stąd potrzeba stworzenia nowych narzędzi przygotowanych specjalnie do ochrony wirtualnych sieci. VMware już od dłuższego czasu pracuje nad VMsafe – otwartym interfejsem API, który pozwoli łatwo uzyskać dostęp do komunikacji między wirtualnymi maszynami. Korzystając z VMsafe, producenci zabezpieczeń mogą przygotować rozwiązania przeznaczone specjalnie do ochrony wirtualnego środowiska.
Poza tym pojawiły się już pierwsze zapory sieciowe z analizą stanu połączeń (stateful firewall) oraz systemy IDS zaprojektowane właśnie do wirtualnych środowisk. Umożliwiają one, m.in. definiowanie reguł firewalla, określających zasady filtrowania komunikacji przychodzącej do wirtualnej maszyny, wychodzącej z niej oraz komunikacji odbywającej się między wirtualnymi maszynami. Administrator może również zdefiniować podstawowe reguły stosowane automatycznie w stosunku do każdej, nowej maszyny wirtualnej.
Zaporę sieciową do ochrony wirtualnego środowiska ma w ofercie m.in. Fortinet. Firewall działa pomiędzy warstwą wirtualizacji a fizycznym serwerem. W ten sposób cały ruch przechodzi przez zaporę, nawet w przypadku komunikacji bezpośrednio między wirtualnymi maszynami.
Dostępne są również systemy IDS, które można uruchamiać na każdej wirtualnej maszynie. Alternatywnie, można dublować ruch w wirtualnej sieci, przepuszczając go przez zewnętrzny system IDS i analizować go w kontekście ruchu w całej sieci.
Specyfika wirtualizacji, a problemy z izolacją
Administratorzy muszą zmierzyć się również ze zjawiskami specyficznymi dla wirtualnych środowisk, jak migracje wirtualnych maszyn czy stałe tworzenie nowych i kasowanie istniejących. Podczas gdy serwery fizyczne mają na stałe zdefiniowane swoje zadania, zasoby w wirtualnym środowisku są wykorzystywane według bieżących potrzeb. Taka elastyczność ma ekonomiczne uzasadnienie, ale komplikuje kwestie związane z bezpieczeństwem i zarządzaniem.
Zasadniczym problemem jest utrzymanie izolacji pomiędzy aplikacjami i danymi o różnym poziomie zaufania w przypadku wykorzystywania rozwiązań typu VMotion. W tradycyjnym środowisku serwery są fizycznie podzielone na grupy na podstawie skonfigurowanych VLAN’ów i strefy DMZ. Jednak automatyczne tworzenie wirtualnych maszyn i wykorzystywanie równoważenia obciążenia sprawia, że tego rodzaju bariery przestają działać. Automatyczne równoważenie obciążenia może doprowadzić do tego, że na jednym serwerze fizycznym znajdą się aplikacje, które powinny działać na oddzielnych serwerach.
Brak izolacji na poziomie VLAN’ów i DMZ jest istotnym zagrożeniem, również z innego powodu. Maszyny wirtualne z potencjalnie różnym poziomem zaufania mogą komunikować się między sobą w ramach wirtualnej sieci wewnątrz fizycznego serwera. Systemy IDS standardowo wykrywają tego typu naruszenia reguł bezpieczeństwa, ale pod warunkiem, że komunikacja odbywa się w sieci fizycznej.
Zaletą nowej generacji firewalli jest ciągła ochrona wirtualnych maszyn i wymuszanie reguł bezpieczeństwa przed, w trakcie i po zakończeniu migracji z wykorzystaniem VMotion. Mówiąc bardziej obrazowo, reguły firewalla są dołączane do wirtualnej maszyny i razem z nią wędrują po centrum danych. To dużo prostsze rozwiązanie i bardziej elastyczne, niż próby izolacji wirtualnych maszyn z wykorzystaniem VLAN’ów.
Podsumowanie
Nowe zagrożenia motywują administratorów do wdrażania nowych narzędzi do monitorowania i zabezpieczania wirtualnych środowisk. Ponieważ wirtualne sieci mają coraz większy udział w ogólnej ilości przesyłanych danych, powinny być tak samo przejrzyste, jak sieci fizyczne. Można to osiągnąć tylko poprzez wykorzystanie nowych rozwiązań zaprojektowanych specjalnie do środowisk wirtualnych.
Wirtualizacja serwerów oferuje wiele zalet, jak redukcja kosztów, większa elastyczność czy łatwiejsze zarządzanie. Jednak po wdrożeniu wirtualizacji wiele firm napotyka na problemy i wyzwania, których się nie spodziewała. Wynika to z zasadniczych różnić między znanym, wykorzystywanym dotychczas środowiskiem fizycznym, a nowym, nieznanym środowiskiem wirtualnym. Wiele rozwiązań sprawdzających się bez zarzutu w fizycznej sieci może nie odpowiadać specyfice wirtualnego środowiska. Dlatego firmy powinny być świadome potencjalnych zagrożeń, jakie niesie ze sobą wirtualizacja, zanim rozpoczną wdrożenie.