Váltsunk virtualizált megoldásokra! Mostanában világszerte is egyre több vállalatnál hangzik el ez a mondat, és bár Magyarországon kissé lassabban terjed el az új módi, már itthon is egyre több virtualizált környezetet alakítanak ki. Ezekkel azonban megannyi új kihívás is együtt jár, hiszen az eddigi megoldások biztonsági megoldásaihoz szokott felhasználóknak most egy új fronton is védekezniük kell.

"A virtuális környezeteket fenyegető veszélyek napjainkban egyre több problémát jelentenek a vállalatoknak. A vállalati IT rendszerek dinamikusan változnak, a gépek gyorsan hadrendbe állíthatók, így a virtuális gépek állapotának függvényében a biztonsági problémák egyik pillanatról a másikra megjelenhetnek vagy eltűnhetnek. Mindemellett a teljes informatikai rendszer biztonsága érdekében a fizikai rendszereken alkalmazott védelmet ki kell terjeszteni a virtualizációs környezetekre is, hiszen a környezet sérülése az összes rajta futó virtuális rendszer sérülését jelentheti" – mondta Dr. Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója. "A technológia mára megérett a biztonságos felhasználásra, és számos olyan megoldás érhető el, amellyel kialakíthatjuk a számunkra és ügyfeleink számára megfelelően biztonságos virtualizált környezeteket. A körültekintő tervezés, kivitelezés és üzemeltetés azonban továbbra is elengedhetetlen".

Biztonságos virtualizációs környezet négy lépésben | A Noreg a legfontosabb lépéseket négy pontban foglalja össze: bár némelyikük triviálisnak tűnhet, véletlen átugrásuk azonban súlyos következményekkel járhat.

· 1. Válasszunk jól átgondolt virtualizációs környezetet, mind hardver, mind szoftver oldalon, ismerjük meg a benne rejlő biztonsági lehetőségeket, tervezzük és valósítsuk meg azokat, majd üzemeltessük.

· 2. Válasszunk olyan, akár hagyományos biztonsági megoldásokat, amelyek támogatják a virtualizált környezetben való működést (Virtual Environment Ready). Napjainkban a virtualizációs rendszerek kellően kiforrottak, és a vezető biztonsági szoftvergyártók termékei támogatják az azokban való üzemelést.

· 3. Használjuk ki a virtualizált környezetet és üzemeltessünk kifejezetten virtualizált környezetre tervezett biztonsági szoftvereket. Egyre több gyártó kínál olyan termékeket – általában virtuális appliance-eket –, amelyek kihasználják a virtualizáció adta előnyöket, kifejezetten a virtualizált környezetre tervezték azokat, miközben a külső vagy a virtualizált környezet biztonságára felügyelnek. E termékek között találunk tűzfalakat és hálózati behatolás érzékelő és elhárító (nIDS – network Intrusion Detection Systems, nIPS – network Intrusion Prevention Systems) eszközöket, amelyek a virtualizált környezet és hálózatok számára nyújtják ugyanazokat a szolgáltatásokat, mint fizikai társaik tették korábban és teszik ma is, valamint például SPAM szűrőket, amelyek akár a virtuális környezetben, akár azon kívül működő rendszereket szolgálhatnak ki.

· 4. Tegyük még biztonságosabbá a virtuális környezetet olyan szoftverekkel, amelyek a hypervisor-ral együttműködve biztonsági szempontból felügyelik a fizikai gazda szerver által működtetett teljes virtuális környezetet. Ezek az eszközök leginkább a hoszt alapú behatolás érzékelő és elhárító (hIDS / hIPS – host Intrusion Detection / Prevention Systems) rendszerekhez hasonlóan figyelik és felügyelik a hypervisor-on, a virtuális gépek között és esetleg egyes, a virtuális gépeken zajló, valamint a virtuális gépek egymás közötti és a gazdarendszerrel, továbbá a külvilággal folytatott hálózati kommunikációjának egy kijelölt részében vagy akár az egészében zajló tevékenységeket, eseményeket, támadásokat.


Háttérinformáció | Az alábbi kifejezések a virtualizáció legfontosabb biztonsági vonatkozásai, nem árt tisztában lenni a jelentésükkel:

· Izoláció – A virtualizáció, miközben egyetlen fizikai szerveren több virtuális gépet szolgál ki, igyekszik biztonságosan konszolidálni a szervereket; logikai izolációt használva próbálja a fizikai függetlenség látszatát kelteni. Többé nem bízhatunk a jól ellenőrizhető fizikai és hálózati elkülönítésben, be kell érnünk a hypervisor és egyéb szoftver alapú eszközök nyújtotta lehetőségekkel. Ezáltal még nagyobb szerepet kap a gondos tervezés, kivitelezés és beállítás, és fokozottan, folyamatosan monitorozni kell az egész környezet azon változásait, amelyek érzékeny adatok szivárgásához vezethetnek.

· Szerverek életciklusa és változáskezelés – A biztonsági és egyéb javítócsomagok kezelése, valamint a változáskezelés meghatározó tényezője egy informatikai rendszer zökkenőmentes üzemeltetésének. A virtualizálás bevezetése növeli ennek komplexitását. A szervereknek ezen túl nem kell folyamatosan futniuk, mert a virtuális szerverek bármikor megállíthatók, elindíthatók, futásuk felfüggeszthető, sőt állapotuk visszaállítható egy korábbira. A gépek beállítása és elhelyezése egyre rövidebb időt vesz igénybe. Ami korábban órákig tartott, most percek vagy másodpercek alatt elvégezhető.

· Virtuális gépek mobilitása – A mobilitás a virtualizációs szótár szerint azt jelenti, hogy egy virtuális gép képes automatikusan áthelyezni önmagát és erőforrásait egy másik helyre. Korábban egy fizikai szerverről mindig tudtuk, hogy hol található. Egy hibrid adatközpontban egy virtuális gép helye nem határozható meg ilyen könnyen. Sőt, egy erőforrás készlet részeként több fizikai szerver is osztozhat egy virtuális futtatásában. A mobilitás ilyen mértéke előnyökkel, de biztonsági következményekkel is járhat, mely utóbbiak a mobil számítógépek, és a dinamikus hálózati konfiguráció (DHCP) használatához hasonlítható kérdéseket vetnek fel. A statikus szabályrendszerek és más biztonsági eljárások könnyen használhatatlanná válhatnak. A mobilitás következménye az is, hogy rendkívül egyszerűen készíthető új példány, úgynevezett másolat egy virtuális gépről, ami elektronikus úton vagy adathordozón is egyszerűen hordozható, továbbítható. Nincs nagyméretű hardver, a védett számítógéptermek fizikai biztonsági oltalma alatt, ami feltűnik a kapunál a biztonsági szolgálatnak, az értéke viszont ugyanaz. Tehát a biztonsági rendszereknek rendelkezniük kell olyan képességekkel, amelyek lehetővé teszik azok több fizikai és virtuális környezetet lefedő, valamint környezetfüggő működését, ezáltal biztosítva a különböző biztonsági zónákban lévő mobil virtuális gépek feletti teljes ellenőrzést.

· Virtuális hálózatok biztonsága – A hálózatok és a szerverek többé nem alkotnak két elkülönülő, jól körülhatárolt réteget az adatközpontban. A virtualizáció lehetővé teszi a fizikai switch-ek és egyéb hálózati eszközök által is nyújtott lehetőségekhez hasonló, kifinomult hálózati környezetek létrehozását a szerver fizikai határain belül. Így az adatközpont egy fizikai hálózati portja, amely korábban egyetlen szerverhez tartozott, most több tíz, vagy akár száz virtuális szerverhez is tartozhat. Az egy fizikai szerveren üzemelő virtuális gépek közötti hálózati forgalom nem hagyja el a szervert, így nem is ellenőrizhető a fizikai hálózaton található, hagyományos hálózatbiztonsági eszközökkel. Ezeket a vakfoltokat, különösen eltérő bizalmassági szintekhez tartozó virtuális gépek között, a virtuális infrastruktúrában működő, további védelmi rétegeket biztosító eszközökkel kell megfelelően védeni.

· Működési feladatkörök elválasztása – A feladatkörök szétválasztása és a lehető legkevesebb hozzáférés szabálya fontos biztonsági princípiumok. A szerverek és a hálózatok menedzselését általában külön rendszergazdák végzik, míg a biztonsági szakemberek mindkét csapattal együttműködve dolgoznak saját feladataikon. A virtualizáció megváltoztatta ezeket a természetes határvonalakat, mert mind a hálózat, mind a szerverek egy közös konzolból kezelhetők. Így meg kell határozni és világosan definiálni kell a pontos azonosítási és hozzáférési szabályokat, jogosultsági szinteket.

· További szoftver rétegek – A virtualizáció bevezetésével újabb szoftver kód is bekerül a korábbiakon felül (menedzsment konzoloktól a hypervisor-okig). Jelenleg a virtualizációs szoftverekhez kapcsolódóan feltárt sérülékenységek számának jelentős növekedése tapasztalható, ami a virtualizáció közkedveltté és elérhetővé válásából, valamint az x86-os virtualizáció relatív kiforratlanságából adódik. Ezek közül sok a virtualizációs szoftver-csomaghoz kapcsolt, egyéb, külső gyártóktól származó kódokhoz köthető, miközben a gyártók lépéseket tesznek a szoftvereik ujjlenyomatának és az ellenőrizetlen kódokhoz kapcsolódó függőségük csökkentése érdekében.