Revista si suplimente
MarketWatch
Inapoi Inainte

Riscurile de securitate în mediile virtuale

21 Iunie 2012




Anul acesta, conform unui studiu Gartner dat publicităţii în 2010, aproximativ 60% din maşinile virtuale care rulează la nivel mondial sunt mai slab securizate decât serverele fizice pe care le-au înlocuit.
O predicţie extrem de îngrijorătoare ţinând cont de o altă estimare – IDC de data aceasta – conform căreia 2012 va fi anul când, pentru prima oară, volumul total al maşinilor virtuale îl va egala pe cel al serverelor fizice. Conform estimărilor IDC, în 2013 şi 2014 decalajul se va mări rapid, iar peste doi ani maşinile virtuale vor rula mai mult de 70% din aplicaţiile companiilor.
Înainte de a trage concluzii pesimiste, trebuie precizat că, pe de o parte, specialiştii susţin că maşinile virtuale nu reprezintă un risc de securitate cu mult mai mare decât serverele fizice pe care rulează. Ce-i drept, există riscuri precum lansarea de atacuri la nivelul hypervizorului, proliferarea de viruşi BIOS etc. Sunt ameninţări perfect reale, dar, practic, incidenţa unor astfel de evenimente nu este una foarte ridicată. Pe de altă parte, pertinenţa estimării Gartner asupra riscurilor de securitate este parţial infirmată de faptul că în ultimii doi ani, atât vendorii de soluţii de virtualizare, cât şi cei de aplicaţii de securitate şi-au extins şi diversificat oferta, lansând instrumente dedicate mediilor virtuale.
Însă, existenţa pe piaţă a acestor soluţii nu înseamnă, în mod automat, şi adoptarea lor. Principalii „inhibitori“ ai adoptării sunt reprezentaţi de know-how-ul specific şi necesitatea unor investiţii suplimentare.

Fizic vs Virtual

Potrivit unui studiu realizat recent de Kaspersky Lab, peste 40% din responsabilii IT din cadrul companiilor care au dezvoltat proiecte complexe de virtualizare declară că au o perspectivă generală asupra virtualizării, dar nu şi asupra strategiilor complexe de securitate pe care le implică mediile virtuale. Ori, situaţia este într-adevăr critică, ţinând cont de faptul că 81% din respondenţi au precizat că rulează pe maşini virtuale o bună parte din aplicaţiile business-core ale companiilor lor.
Studiul Kaspersky relevă un aspect foarte important: cel al complexităţii problematicii securităţii în mediul virtual şi mai evidenţiază faptul că o bună parte din respondenţi tratează problema securităţii maşinilor virtuale în acelaşi mod în care procedează cu serverele fizice. Ori, există diferenţe majore între cele două tipuri de abordări la nivelul administrării, autentificării, criptării, managementului duratei de viaţă a maşinilor virtuale etc.
Însă, din cauză că maşinile virtuale sunt uşor şi rapid de configurat, respectiv utilizat, se neglijează adesea aspectul nivelului de securitate al acestor VM-uri, susţine Kurt Roemer, Chief Security Strategist la Citrix. O greşeală fundamentală, pentru că, odată cu dezvoltarea maşinilor virtuale, problemele de securitate cresc şi ele în amploare. De aceea, susţine Roemer, este necesară anticiparea cerinţelor de securitate încă din primele faze de creare a arhitecturii unui mediu virtual. Dar, de la recomandare la punerea în practică, e cale lungă...

Problema proliferării

„Riscul“ reprezentat de configurarea rapidă şi facilă a maşinilor virtuale, incriminat de expertul Citrix, reprezintă un pericol cât se poate de real, pe care însă administratorii IT îl descoperă, cel mai adesea, după implementarea şi dezvoltarea/extinderea proiectelor de virtualizare. Când se confruntă cu proliferarea necontrolată a maşinilor virtuale.
Conform experţilor, principalul motiv pentru care riscurile de securitate se înmulţesc în mediile virtuale necontrolate rezidă în faptul că, în foarte multe cazuri, managerii IT nu pot exercita un management exact şi constant al maşinilor virtuale. Iar lipsa acestui control îi împiedică să evalueze şi preîntâmpine eventualele probleme care pot surveni în timp.
Controlul şi monitorizarea reprezintă principalele elemente care trebuie luate în calcul atunci când se trece la stabilirea unei strategii de securitate dedicate mediului virtual. Însă managementul maşinilor virtuale necesită o serie de instrumente dedicate, ceea ce presupune şi o serie de costuri suplimentare, neluate în calcul în faza iniţială de evaluare a costului proiectului. Un aspect total neplăcut în condiţiile în care, după finalizarea proiectului de implementare/dezvoltare a soluţiilor de virtualizare, se aşteaptă cuantificarea primelor economii şi nu noi cheltuieli.
Dar, pe de altă parte, proliferarea necontrolată face ca responsabilii IT să nu ştie câte maşini virtuale există cu adevărat, unde sunt hostate, ce departament deservesc, la ce date au acces, ce durată de viaţă trebuie să aibă etc. Ceea ce, în final, se traduce prin irosirea de resurse, respectiv cheltuieli nejustificate.
Şi mai grav este însă faptul că, în cazul compromiterii unei maşini virtuale şi fără instrumente dedicate, administratorul IT nu poate depista rapid sursa care a generat problema. Rezultă deci alte potenţiale pierderi care, însumate cheltuielilor nejustificate menţionate anterior, reduc considerabil principalul argument al virtualizării, respectiv realizarea de economii.

Riscuri asumate?

Iată un exemplu frecvent citat în literatura dedicată: în cazul înmulţirii necontrolate a maşinilor virtuale, operaţiunile de upgrade şi patching devin dificil de realizat dacă nu există instrumente dedicate de management şi monitorizare. Iar dacă se ia în calcul şi problema administrării bibliotecilor de imagini ale maşinilor virtuale create, situaţia se complică.
Este adevărat că majoritatea vendorilor de soluţii de virtualizare oferă unelte care automatizează acest proces (inclusiv monitorizarea bibliotecilor de imagini create şi patching-ul automat şi/sau periodic al acestora). Însă asta înseamnă, în marea majoritate a cazurilor, o cheltuială în plus, acest tip de instrumente nefiind incluse în oferta standard.
Dar, dacă se ia decizia renunţării la achiziţionarea unor astfel de unelte, se poate considera că avem de-a face cu un risc asumat în mod real? Puţin probabil că, în cazul răspunsului afirmativ, factorii decizionali cunosc şi cuantificarea financiară a potenţialelor pagube la care este expusă compania. Pagube care, adesea, depăşesc valoarea de achiziţie a respectivelor instrumente.
Problema devine mult mai delicată în momentul în care se adaugă şi necesitatea complianţei cu anumite standarde de securitate. Ori a auditării nivelului de securitate a infrastructurii virtuale. În astfel de cazuri, în care departamentul IT trebuie să poată demonstra cu claritate că deţine controlul pachetelor de date care sunt partajate în infrastructura virtuală, de exemplu, investiţiile sunt inevitabile.
Ideal ar fi însă ca aceste necesităţi să nu fie descoperite pe parcurs, ci să fie luate în calcul încă din fazele iniţiale ale dezvoltării unui proiect de virtualizare. Acesta este şi motivul pentru care specialiştii recomandă în unanimitate startarea cu un proiect-pilot, care să permită departamentelor IT familiarizarea cu problematica specifică mediului virtual şi complexitatea inerentă acestora.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite