Для решения этих задач виртуализация подходит как нельзя лучше. Благодаря виртуализации можно достичь эффективного использования серверных мощностей, добиться значительной экономии ресурсов и практически избежать простоев оборудования. Кроме этого, решение проблем обеспечения непрерывности бизнеса при применении виртуализации значительно упрощается. Так, например, восстановление вышедшего из строя ресурса занимает считанные секунды.
С другой стороны, виртуализация ресурсов имеет ряд особенностей, которые необходимо учитывать, как на этапе проектирования системы, так и во время повседневной эксплуатации. Без обеспечения специфических услуг безопасности для виртуальных сред в некоторых случаях мы можем наблюдать практически полное исчезновение периметра безопасности. Это заставляет нас полностью пересмотреть концепцию защиты виртуальных сред, учесть новые угрозы и реализовать более строгие методы защиты подконтрольных ресурсов.
Проблематикой обеспечения надлежащего уровня безопасности виртуальных сред сейчас занимается достаточно много вендоров. Компания «БМС консалтинг», один из ведущих украинских интеграторов, также уделяет внимание этим вопросам. Общие тенденции рынка систем безопасности, такие как смещение защиты от периметра сети к данным, увеличение требований к разделению прав и усиления контроля над выполнением политики безопасности предприятия, характерны, в том числе, и для виртуального мира. Более того, виртуализация ресурсов должна также сопровождаться специфическими услугами безопасности. В первую очередь, это закрепление профиля безопасности за виртуальной машиной на протяжении всего её жизненного цикла, включая процессы создания, клонирования и миграции между серверами.
Поскольку безопасность системы неразрывно связана с наблюдаемостью вверенных ресурсов, то внедрение систем мониторинга и контроля для виртуальных сред необходимо рассматривать как один из основных этапов. Особое внимание стоит обратить на контроль действий администраторов. Так как администратор виртуальных сред располагает не меньшими возможностями для злоупотребления своими полномочиями, чем администратор сетевой инфраструктуры, а последствия злонамеренных действий могут быть еще более плачевными.
Несмотря на то, что технологии виртуализации предлагают и Microsoft, и Citrix, решения VMware по-прежнему имеют наибольшую долю рынка. Мы наблюдаем увеличение интереса как к решениям виртуализации этого вендора, так и к средствам обеспечения безопасности виртуальных сред.
На данный момент наиболее востребованы решения по защите виртуальных сред от вирусов, а также многофункциональные шлюзы безопасности, оптимизированные для работы в виртуальных средах.
Интересные решения по защите от вирусов предлагает компания McAfee. Это в первую очередь решения по сканированию offline экземпляров виртуальных машин, а также решения, позволяющие минимизировать издержки ресурсоёмких операций антивирусного сканирования.
Мы видим все большую заинтересованность наших клиентов виртуальными шлюзами безопасности. Совсем недавно «БМС консалтинг» успешно провела пилот по защите виртуальных сред средствами Check Point Secure Gateway Virtual Edition у одного из наших заказчиков. Пожалуй, на этом решении стоит остановиться более подробно.
Компания Check Point, один из ведущих вендоров решений информационной безопасности, динамически отслеживает потребности рынка в этой отрасли. Как известно, решения виртуализации от VMWare имели некоторые проблемы с обеспечением безопасности внутри виртуализированного хоста. Поэтому выход Check Point Secure Gateway Virtual Edition, решающего до этого не закрытые вопросы обеспечения безопасности виртуальных сред, был долгожданным событием.
В первую очередь, это аналог ранее представленных многофункциональных шлюзов безопасности. Управление им практически не отличается от управления другими шлюзами безопасности от Check Point. Уже привычная многим концепция лицензирования функционала Software Blades позволяет оптимизировать функционал шлюза под текущие потребности.
Во вторую очередь, это глубоко интегрированное на уровне гипервизора VMware решение. Характерная особенность решения — использование технологии VMSafe, что позволяет решить задачи фильтрации трафика как на периметре виртуализированного сервера, так и внутри его. Использование Fast Path агентов, служащих своеобразной прослойкой между гипервизором и виртуальной машиной, решает проблемы инспекции трафика между виртуальными машинами в пределах одного L2 домена виртуализированного хоста, а также позволяет автоматически задействовать преднастроенную политику безопасности для вновь создаваемых виртуальных машин, закрепить профиль безопасности за виртуальной машиной во время миграции. Таким образом, значительно упрощается построение защищённой виртуальной среды и исключается пресловутый «человеческий фактор». Кроме прочего, глубокая интеграция с гипервизором позволяет решить проблемы spoofing-а в пределах виртуализированного хоста.
Еще одна отличительная особенность Check Point Secure Gateway Virtual Edition — это реализация концепции Software Blades. Конечному заказчику это предоставляет свободу выбора услуг безопасности. Так, например, при внедрении можно ограничиться функционалом блейдов firewall и IPS. Впоследствии, безопасность виртуальной среды можно значительно повысить активировав лицензии на использование таких софтверных блейдов как Antivirus & Anti-Malware для предотвращения распространения вредоносного ПО на сетевом уровне, Anti-Spam & Email Security для защиты размещенных в виртуальной среде ресурсов электронной почты, Identity Awareness и Application Control для полноценного контроля пользователей Microsoft Active Directory и используемых ими приложений, URL Filtering для ограничения доступа к сайтам определённых категорий и пресечения доступа к фишинговым и мошенническим сайтам. Такой набор функций обеспечения безопасности, а также глубокая интеграция с гипервизором, позволяют с помощью централизованно управляемого средства перекрыть максимальное количество угроз, сохранить инвестиции, спланировать поэтапное внедрение подсистем.
В любом случае, построение защиты виртуальной среды предприятия вопрос комплексный, и решаться он должен также комплексно. В первую очередь, должен быть выполнен полноценный анализ текущего состояния системы. После этого проведено планирование архитектуры виртуальных сред. Вопросы безопасности должны быть предусмотрены еще на этапе планирования. Только в этом случае средства обеспечения безопасности будут гармонично вписываться в текущую инфраструктуру и учитывать все ее особенности. Также важно учесть структурное и функциональное разделение ресурсов.
Безусловно, должны быть приняты меры организационного характера, исключающие несанкционированный доступ к серверам. Реализация процесс-ориентированного управления позволит решить эти вопросы еще на стадии создания процесса администрирования и должностных инструкций обслуживающего персонала. Но, как показывает практика, далеко не все организации готовы к внедрению процесс-ориентированного подхода, что неизбежно приводит к пересечению должностных обязанностей или образованию «белых пятен» администрирования, когда за конкретную систему никто не отвечает. В таком случае все даже высокотехнологичные системы защиты, могут оказаться попросту неэффективными.
Финальным штрихом организации защиты виртуальных сред должны быть системы мониторинга и контроля. Только в этом случае можно получить полную наблюдаемость подконтрольной системы. Это важно как на этапе выявления проблем, так и во время их решения. Учитывая тенденции развития систем безопасности виртуальных сред, можно с уверенностью говорить о том, что виртуализация будет занимать всё больше места в инфраструктуре предприятий. Если для крупных центров обработки данных безопасность — уже достаточно проработанный вопрос, то для компаний, делающих первые шаги в сторону виртуализации, вопросы обеспечения безопасности, как правило, становятся финансово обременительными, что значительно замедляет реализацию проектов виртуализации в целом.
Технологии виртуализации дают ряд очевидных преимуществ. Но в то же время, на данный момент, виртуализация — это далеко не дешёвое решение. Если учесть средства, которые необходимо выделить на обеспечение безопасности либо на учёт рисков связанных с недостаточным уровнем обеспечения безопасности, то может оказаться, что компании не под силу внедрить решение подобного класса. Как вариант, воспользоваться облачными сервисами, которые предоставляют ресурс как услугу, обеспечивают надлежащий уровень безопасности и дают гибкость управления ресурсом.
Унификация средств защиты и расширение спектра предложений по обеспечению защиты виртуальных сред — это те два фактора, которые смогут приблизить переход к виртуализации для предприятий практически любого размера. Так, например, использование многофункциональных шлюзов безопасности в виртуальной среде позволяет сделать каждый сервер самодостаточной системой, интегрированной в виртуальную инфраструктуру как на уровне гипервизора, так и на уровне систем обеспечения безопасности виртуальных сред. В то же время, унифицированный интерфейс управления позволит снизить затраты на обучение персонала и уменьшить необходимость расширения штата обслуживающего персонала. Таким образом, можно снизить CapEx, приобретая многофункциональные средства, вместо покупки множества разнородных продуктов, и OpEx, эффективно используя уже обученный персонал. Все это позволяет повысить коэффициент ROI, а значит и инвестиционную привлекательность проектов виртуализации в целом.
В пределах одной статьи осветить всю проблематику защиты виртуальных сред не представляется возможным. Поэтому мы обратили внимание на наиболее интересные тенденции развития этого рынка и некоторые наиболее востребованные решения.
Внутри компании регулярно проводится оценка эффективности и инвестиционной привлекательности средств обеспечения безопасности виртуальных сред. Мы уверены, что в ближайшее время, каждый проект по внедрению виртуализации будет учитывать вопросы обеспечения безопасности как неотъемлемую составляющую. В свою очередь, компания «БМС консалтинг» готова делиться своим опытом и наработками со всеми, кто планирует повысить безопасность как вновь создаваемых, так и уже существующих систем виртуализации.
