Převažují rizika virtuálních serverů nad jejich přínosem?

Možná nikoho nepřekvapí, že řada organizací se v posledních letech překotně rozhodla provést virtualizaci svých serverů. Technologie, která za použití určitého softwaru umožňuje vytvoření několika serverů nebo virtuálních strojů v rámci jednoho fyzického serveru, může snížit náklady na energie, posílit výkonnost a ušetřit místo.

Ale obavy o bezpečnost jsou tomuto populárnímu trendu v patách. Mnozí manažeři se obávají, že virtualizace (někdy také nazývána jako tzv. interní cloud computing, lišící se od běžného cloud computingu, který s sebou nese účast třetí strany) by mohla utrpět tvrdou ránu. Mnoho pozornosti se soustředí na odolnost tzv. hypervizoru, softwarového zařízení, které je nositelem několika virtuálních strojů a které – v případě, že by došlo k jeho narušení – může vystavit nebezpečí daleko větší množství dat, než je tomu u fyzických serverů. K takovému činu by ale nejdříve muselo dojít.

„Jeden z důvodů je, že hypervizor má relativně nedostatečné kódování, což tento software činí obtížněji nabouratelným,“ míní Dr. Daniel Menasce, děkan a docent počítačových věd na George Mason University ve Virginii. Menace se nedávno účastnil diskusního panelu na symposiu pořádaném společností Symantec ve Washingtonu, D.C., kde vyslovil názor, že virtualizace je daleko bezpečnější, než si mnoho lidí uvědomuje. Ostatní zúčastnění panelisté s ním souhlasili a podotkli, že nejvýznamnější bezpečnostní otázkou k zamyšlení je otázka přizpůsobování stávajících strategií a procesů novému prostředí.

Jack Nichols, ředitel pro oblast podnikatelských aktivit z Kanceláře nejvyššího vládního úředníka Sněmovny reprezentantů řekl, že když před několika lety začal přecházet na virtuální stroje, postupoval velmi obezřetně. Jedním z prvních kroků, které učinil, bylo rozhodnutí, které informace je možné převést do virtuální podoby. Rozhodl se, že veškeré informace umožňující identifikaci unikátních osobních údajů (PII) budou uchovány na samostatných fyzických serverech.

Takový přístup ovšem není pro zachování dostatečné bezpečnosti vždy zapotřebí. Podle názoru některých analytiků si mohou mnohé organizace určité virtuální stroje zabezpečit pomocí virtuální verze tradičního firewallu.

Hlavním důvodem, proč Nichols tato data oddělil, je ten, že se domníval, že úroveň kontroly přístupu k těmto datům není u virtuálních strojů tak dobře strukturována, jako je tomu u jejich fyzických protějšků. „To se však může změnit,“ říká Chris Wolf, vedoucí analytik společnosti Burton Group se sídlem v Utahu, „protože nejen v oblasti kontroly přístupu k datům se prodejci snaží uvést na trh nový software, který by napomohl integrovat virtuální stroje do tradičních datových středisek“.

„Stále však ve virtuálním prostředí může kontrola přístupu představovat vyšší riziko,“ říká Wolf. „Virtuální stroje shromažďují více dat na daleko menším prostoru, takže mohou být nakopírovány na odstranitelné médium a odneseny z budovy.“ Podobně jako u jakéhokoli prostředí fyzických serverů i zde je důležité vyvarovat se toho, že široký přístup do systémů je udělen komukoli bez současného provádění náležitých kontrol.

„Školení personálu v otázkách dobré praxe je rovněž velice důležité,“ říkají analytici. Virtuální stroje se relativně snadno nastavují, ale právě tato skutečnost může způsobit problém, protože pokud jsou vytvořeny příliš rychle a bez dostatečného plánování, mohou postrádat vhodnou konfiguraci. Vzorový software pro virtuální stroje, který je dostupný od několika virtuálních prodejců, může napomoci při vytvoření strojových „skupin“. Tyto skupiny pak mají standardizované konfigurace, nejnovější záplaty, softwarové agenty a virové podpisy.

Podle názoru analytiků dochází k tomu, že spolu s rychlým rozvojem virtuálních strojů využívá řada společností strojů v offline režimu. Aktualizace těchto strojů za současného běhu aktivních virtuálních strojů je trvalou výzvou. Změnit stroje v klidovém režimu obvykle vyžaduje, aby byly bootovány jednotlivě, ale aktivace nezáplatovaných nebo špatně nakonfigurovaných zařízení může být riskantní. Nicméně nové programy, jako jsou např. VirusScan Enterprise pro Offline Virtual Images od společnosti McAfee pomáhají tento proces zefektivnit.

Nichols, který v současnosti zaměstnává 12 osob certifikovaných v oblasti virtuální bezpečnosti, řekl, že význam školení zdůrazňoval hned od počátku. „Virtualizace je vysoce efektivní a bezpečná,“ říká, „ale pouze tehdy, pokud budou společnosti dbát na to, aby lidé drželi s tímto projektem krok.“

Autor: John Wagley, Security management 9/2009