Virtualaus pasaulio saugumas: ką verta žinoti ir kaip išsirinkti tinkamus sprendimus (1)
Virtualizavimas suteikia galimybę paleisti daugiau priedų ir paslaugų mažesniame skaičiuje serverių, sumažinti išlaidas kompiuterinei įrangai įsigyti ir palaikyti, patalpų nuomai ir elektros energijai. Todėl ši technologija dažnai tampa svarbia IT departamentų ir debesų paslaugas teikiančių bendrovių strategijos dalimi ir turi atitikti verslo reikalavimus – daryti daugiau išleidžiant mažiau pinigų. Tačiau kad ir kokiuose įrenginiuose – fiziniuose ar virtualiuose – bendrovė paleidžia priedus, jai vis tiek reikia apsaugos nuo kenkėjiškos programinės įrangos ir kitų kibernetinių grėsmių, kurios tampa vis sudėtingesnės ir įvairesnės bei kelia pavojų kasdienėms verslo operacijoms.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Ar virtualios erdvės saugesnės ar atvirkščiai – mažiau saugios?
Kad virtualios erdvės saugesnės nei fizinės – mitas. Kaip bet koks objektas, sąveikaujantis su virtualia mašina (VM), ji „atrodo“ ir elgiasi lygiai taip pat, kaip bet kuri fizinė mašina. Kad mašina virtuali, „žino“ tik hipervizorius (angl. hypervisor), kompiuterinė programa, valdanti virtualiąsias mašinas ir operacines sistemas vienoje kompiuterinėje sistemoje, ir IT administratorių komanda. Taigi virtualios erdvės atvertos visoms potencialioms saugumo rizikoms, su kuriomis susiduria ir fizinės erdvės.
Faktas, kad virtuali mašina yra už tinklinio ekrano korporatyviniame duomenų centre, dar negarantuoja jos apsaugos nuo daugelio išorinių grėsmių. Į korporatyvinį tinklą jau įsibrovę kibernetiniai nusikaltėliai neapsaugotas virtualias mašinas traktuos kaip lengvą taikinį.
Atitinkamų saugumo politikų taikymas
Jei bendrovė suvokia poreikį apsaugoti priedus ir duomenis fiziniuose serveriuose, jai verta suprasti analogišką virtualių erdvių poreikį.
Pirmas žingsnis užtikrinti virtualios erdvės saugumą gali būti labai paprastas: jau vykdomą fizinių serverių ir darbo stotelių saugumo politiką pritaikyti naujai virtualiai erdvei. Nors politikos pritaikymas labai logiškas, jos išplėtimas virtualioms erdvėms gali sukelti pažeidžiamas saugumo sistemos vietas, ženkliai padidinti IT išlaidas ir sumažinti sistemos efektyvumą. Virtualioms mašinoms reikia labai kruopščiai parinkti technologiją. Tradiciniai saugumo produktai, reikalaujantys visaverčio agento diegimo kiekvienai virtualiai mašinai, gali sukelti nepageidaujamų šalutinių efektų.
Saugos sprendimai visaverčių agentų pagrindu
Saugos sprendimai agentų pagrindu – tai iš esmės ta pati programinė įranga, tradiciškai diegiama fizinėse mašinose. Nevirtualioje erdvėje saugos sprendimas ir antivirusinė bazė diegiami ir mašinoje – serveryje arba asmeniniame kompiuteryje. Tokių produktų visaverčių agentų pagrindu taikymas virtualioje erdvėje neefektyvus. Kiekvienai virtualiai mašinai reikės viso agento ir signatūrų bazių įdiegimo. Jei bendrovėje šimtas virtualių mašinų, veikiančių viename serveryje, tai tame serveryje bus šimtas saugumo agento egzempliorių ir signatūrų bazių.
Toks daugkartinis duomenų dubliavimas užima daug atminties. Be to, didelis skaičius paleistų saugumo agento kopijų neefektyviai išnaudoja skaičiavimo galią, ypač jei apsaugos programinė įranga paleidžia daug išteklių išnaudojančius procesus daugelyje virtualių mašinų, patalpintų serveryje.
Viena iš virtualizavimo projekto paleidimo motyvacijų yra noras atlikti daugiau užduočių turint mažiau įrenginių, o viskas, kas neigiamai paveiks virtualių mašinų konsolidavimo lygį (virtualių mašinų tankis serveryje), taps rimta kliūtimi susigrąžinti projekto investicijas. Be neracionalaus apsaugos programinės įrangos ir signatūrų bazių dubliavimo, saugos produktai visaverčių agentų pagrindu gali sukelti padarinius, mažinančius sistemos našumą arba sukeliančius pažeidžiamas apsaugos vietas.
- Instant on gaps (pažeidžiamos vietos prie interneto neprijungtų virtualių mašinų apsaugos sistemoje arba darbo krūvio perkėlimas (VM perkėlimas iš vieno serverio į kitą).
- Update storms („viesuliškas“ atnaujinimas).
- Scanning storms („viesuliškas“ skenavimas).
- Panic attacks („paniškos“ atakos).
Virtualioms erdvėms „VMware“ egzistuoja saugos sprendimai nenaudojant agentų. Jie taiko specialią galimybę „VmwarevSphere“ erdvėje – prieigos funkciją prie failų sistemų virtualiose mašinose.
Tradiciniai sprendimai reikalauja, kad kiekviename VM serveryje būtų įdiegtas saugumo agento ir signatūrų bazės egzempliorius, o sprendimai nenaudojant agentų reikalauja tik vieno signatūrų bazių egzemplioriaus ir vienos specialios virtualios mašinos (tokia VM vadinasi „saugumo virtualus įrenginys“), skirtos užtikrinti visų serveryje veikiančių VM saugumą.
Sprendimai be agento naudojimo gali apsaugoti virtualius serverius ir virtualias darbo stoteles, nesukeliant didelio poveikio hipervizoriaus našumui. Palyginti su tradiciniais saugos produktais agentų pagrindu, sprendimai nenaudojant agentų mažiau reiklūs serverio procesoriaus resursams, atminčiai ir apimčiai: taip gali būti pasiektas didesnis virtualių mašinų tankis ir aukštesnis kritinių priedų bei verslo procesų našumas, lengviau atsiskleidžia ir automatiškai apsaugomos ką tik sukurtos virtualios mašinos; galiausiai tokie projektai suteikia didesnę investicijų grąžą.
Be to, kai viena speciali VM skiriama apsaugai, šalinamos „viesuliško“ skenavimo ir atnaujinimo situacijos, kai blokuojamas kitų priedų darbas. Galiausiai neatsiranda pažeidžiamų vietų nuo interneto atjungtų VM apsaugos sistemoje, kurios sukelia nepilną virtualių mašinų apsaugą tarp jų išėjimo iš neaktyvios būklės ir saugumo priemonių duomenų bazių atnaujinimo.
„Lengvieji“ agentai
Virtualiai infrastruktūrai „Citrix“ ir „Microsoft“ pagrindu sprendimai nenaudojant agentų nepriimtini. Tačiau yra saugos sprendimų, taikančių virtualaus įrenginio serveryje derinį su „lengvuoju“ agentu kiekvienoje virtualioje mašinoje. Tokie sprendimai „lengvųjų“ agentų pagrindu gali užtikrinti didesnį saugumo lygį ir gana aukštą virtualių mašinų konsolidavimo koeficientą.
Sprendimai „lengvųjų“ agentų pagrindu dažnai įtraukti į saugos ir valdymo technologijas, kurių neturi sprendimai be agentų naudojimo, taip pat ir:
- atminties skenavimo ir kenkėjiškos rezidentinės programinės įrangos aptikimo galimybė;
- kontrolės instrumentai, kurie ypač naudingi virtualių darbo stotelių erdvei;
- tinklo apsauga serveryje, taip pat ir tinklo ekranas bei įsibrovimų prevencijos sistema (HIPS).
Nors į kiekvieną virtualią mašiną dedamas „lengvasis“ agentas, „viesuliškų“ atnaujinimų nevyksta, kadangi virtualus apsaugos įrenginys automatiškai atrenka failų sistemos skenavimą.
Kaip pasirinkti apsaugos sprendimą
Virtualių erdvių saugumui užtikrinti nėra universalaus sprendimo. Optimalus sprendimas konkrečiai bendrovei (ir atitinkama unikali IT infrastruktūros architektūra) priklauso nuo daugybės veiksnių, taip pat ir šių:
- rizikos, su kuria gali susidurti bendrovė, lygio;
- duomenų, saugomų ir apdorojamų jos sistemose, vertės;
- virtualių mašinų konsolidavimo koeficiento, kurio siekia bendrovė;
- organizacijos virtualios erdvės, įskaitant serverius ir darbo stoteles;
- virtualizavimo platformos parinkimo, įskaitant „Vmware“, „Citrix“ arba „Microsoft“.
Nors gali pasitaikyti atvejų, reikalaujančių tradicinio saugos produkto visaverčių agentų pagrindu, paprastai pageidaujama saugumo architektūra, optimizuota virtualioms erdvėms, kadangi būtent ji užtikrina optimalų našumą, konsolidavimą ir eksploatacijos kainą.
Kalbant apie sprendimus, optimizuotus virtualizavimui, reikėtų rinktis iš sprendimo nenaudojant agentų ir saugos sprendimo „lengvojo“ agento pagrindu.
- Virtualioms erdvėms „VMware“ bazės pagrindu sprendimas nenaudojant agentų leidžia pasiekti aukštą konsolidavimo lygį ir žymų investicijų efektyvumą dėl paprasto diegimo ir valdymo. Sprendimai „lengvojo“ agento pagrindu taip pat galimi.
- Saugos sprendimas „lengvojo“ agento pagrindu gali užtikrinti didesnį apsaugos lygį. Kadangi virtualioms infrastruktūroms „Citrix“ ir „Microsoft“ pagrindu sprendimų nenaudojant agentų nėra, tokioms erdvėms geriausias pasirinkimas – sprendimai „lengvojo“ agento pagrindu.
- Tradicinį sprendimą visaverčių agentų pagrindu, įskaitant virtualių erdvių ypatumus, galima naudoti tais atvejais, kai bendrovė naudojasi daugybe operacinių erdvių, tarp jų ir „Linux“, arba naudoja mažiau paplitusį hipervizorių.
Kai kurios bendrovės gali taikyti saugos produktus be agentų ir produktus „lengvųjų“ agentų pagrindu.
Pavyzdžiui, duomenų centro intensyviai kontroliuojamoje erdvėje, kai serveriai atlieka darbą, kuris nereikalauja nuolatinio prijungimo prie interneto, sprendimas nenaudojant agentų gali užtikrinti pakankamą apsaugą.
Tačiau iš virtualių darbo stotelių sudarytoje erdvėje, kur kontrolė, kaip darbuotojai naudojasi virtualiomis darbo stotelėmis, žymiai mažesnė, gali prireikti gilesnių apsaugos sluoksnių – juos užtikrina saugos sprendimas „lengvųjų“ agentų pagrindu. Ypač tai tinka, kai bendrovė renkasi saugos sprendimą su „lengvuoju“ agentu, į kurį įeina papildomos saugos technologijos, tokios kaip priedų kontrolės funkcijos, įrenginio kontrolė ir internetinė kontrolė, kurios gali apsaugoti nuo nekorektiškų arba nesaugių vartotojų veiksmų.
„Kaspersky Lab“ siūlo saugos sprendimus virtualioms erdvėms „Windows“ pagrindu, įskaitant „Vmware“, „Citrix”, „Microsoft“, taip pat erdvėms, sukurtoms dviejų ar daugiau virtualizavimo sprendimų pagrindu, suteikiančių galimybę lanksčiai rinktis apsaugą pagal organizacijos poreikius. Įsigiję „KasperskySecurity“ virtualioms erdvėms tuo pat metu gaunate prieigą prie sprendimų nenaudojant agentų ir prie sprendimų „lengvųjų“ agentų pagrindu, turint galimybę išskleisti įvairius apsaugos priedus įvairiose virtualios infrastruktūros atkarpose. Taip pat yra pasirinkimas tarp licencijavimo pagal VM ir branduolių skaičių.
„KasperskySecurity“ virtualioms erdvėms sudėtyje yra „KasperskySecurityCenter“ komponentas – paprastas valdymo elementas, kurį pasitelkus galima iš vienos konsolės konfigūruoti ir kontroliuoti saugumo bei sisteminio „Kaspersky Lab“ administravimo technologijas fiziniuose, virtualiuose ir mobiliuosiuose įrenginiuose, paprastai ir efektyviai užtikrinant visos organizacijos IT infrastruktūros saugumą.