Pięć mitów na temat bezpieczeństwa wirtualizacji

Gdy eksperci z Kaspersky Lab zapytali (*http://media.kaspersky.com/en/IT_Security_Risks_Survey_2014_Virtualization_report.pdf) korporacyjnych menedżerów ds. IT o ich priorytety w zakresie bezpieczeństwa IT na przyszłe 12 miesięcy, 21% przyznało, że zabezpieczenie infrastruktury wirtualnej stanowi jeden z trzech punktów znajdujących się na szczycie listy „rzeczy do zrobienia”. Ten niespotykany wcześniej nacisk na bezpieczeństwo wirtualizacji wiąże się z tym, że obecnie maszyny wirtualne są tworzone w celu obsługi większej ilości krytycznych danych i zadań niż w poprzednich latach. W tym samym badaniu ustalono również, że dla ponad połowy firm środowiska wirtualne stanowią coraz ważniejszy element istotnej dla działalności infrastruktury IT. To oznacza, że wirtualizacja zyskuje coraz większe znaczenie jako platforma do zarządzania danymi dot. klientów, transakcjami finansowymi oraz aplikacjami, które są wykorzystywane w firmach każdego dnia. Wirtualizacja nie jest już czymś, co „dobrze byłoby mieć”, czy też wyłącznie narzędziem do testów dla działu IT, dlatego tak ważne jest, aby środowiska wirtualne działały zgodnie z planem i z zachowaniem pełnego bezpieczeństwa. Zważywszy na rosnący globalny nacisk na wirtualizację, specjaliści z Kaspersky Lab postanowili rozprawić się z kilkoma powszechnymi, błędnymi opiniami dotyczącymi bezpieczeństwa tej technologii.

Mit 1: Oprogramowanie bezpieczeństwa punktów końcowych wykorzystywane do ochrony komputerów PC oraz serwerów może również skutecznie poradzić sobie z zabezpieczeniem środowiska wirtualnego.

Rzeczywistość: Jest to niezwykle powszechny pogląd, który może stanowić główną przyczynę wielu problemów, z jakimi będą musiały zmierzyć się działy IT, próbując zabezpieczyć swoją infrastrukturę wirtualną. Większość tradycyjnych produktów bezpieczeństwa dla punktów końcowych faktycznie może zapewnić ochronę środowiskom wirtualnym, jednak takie rozwiązanie będzie miało wpływ na wydajność, szczególnie w przypadku wdrożeń na dużą skalę, i może spowodować chaos w sieci. Co gorsza, tradycyjne oprogramowanie bezpieczeństwa punktów końcowych może stworzyć luki w zabezpieczeniach, wynikające ze spowolnienia działania sieci.

W badaniu (http://www.kaspersky.pl/about.html?s=news_awards&cat=2&newsid=2249) przeprowadzonym przez niezależnych testerów AV-Test porównano podstawowe współczynniki wykrywania szkodliwego oprogramowania oraz wydajność systemu w przypadku tradycyjnej ochrony punktów końcowych oraz wyspecjalizowanych rozwiązań do wirtualizacji, w tym Kaspersky Security for Virtualization. Wszystkie rozwiązania uzyskały zbliżone, dobre wyniki dla podstawowych zadań antywirusowych, jednak różnice w wydajności były ogromne. Testerzy ustalili, że tradycyjnemu rozwiązaniu bezpieczeństwa punktów końcowych zajmowało znacznie więcej czasu – w niektórych przypadkach niemal dwukrotnie więcej – przetwarzanie dużej liczby maszyn wirtualnych uruchamiających się niemal w tym samym czasie – sytuacja, której doświadcza każdy menedżer IT około godziny 9 rano każdego dnia roboczego. W teście stwierdzono również, że podczas ochrony wielu maszyn takie środki bezpieczeństwa pochłaniają 40%-65% więcej zasobów systemowych niż wyspecjalizowane wirtualne rozwiązanie bezpieczeństwa firmy Kaspersky Lab. W teście symulowano zużycie zasobów maszyn wirtualnych, na których uruchomiono aplikacje – tak jakby był to typowy dzień w biurze z infrastrukturą wirtualnych desktopów. Wyniki testów zaczynały pokazywać wysokie poziomy zużycia zasobów już przy uruchomieniu 10-12 maszyn wirtualnych, a wraz z dodaniem kolejnych zużycie znacząco rosło.

Mit 2: Zainstalowana ochrona przed szkodliwym oprogramowaniem nie zakłóca operacji środowiska wirtualnego.

Rzeczywistość: Zakłóca, a wspomniane wcześniej problemy związane z wydajnością mogą w rzeczywistości przyczynić się do powstania nieistniejących wcześniej luk w zabezpieczeniach.

Tradycyjna ochrona punktów końcowych wykorzystuje tzw. model oparty na agencie. To oznacza, że każda fizyczna i wirtualna maszyna posiada własną kopię oprogramowania bezpieczeństwa. Doskonale sprawdza się to w przypadku maszyn fizycznych, jeśli jednak posiadamy 100 maszyn wirtualnych, musimy zainstalować 100 instancji takich agentów bezpieczeństwa plus 100 instancji baz sygnatur szkodliwego oprogramowania, a wszystko to musi działać na jednym hoście. Tak wysoki poziom duplikacji stanowi marnotrawstwo pojemności magazynowej i może stworzyć problemy dla bezpieczeństwa, które należy rozwiązać w pierwszej kolejności. W przypadku takiego modelu, jeśli kilkanaście maszyn wirtualnych zacznie jednocześnie przeprowadzać standardowe skanowanie bezpieczeństwa, spowolni to wszystkie inne aplikacje na hipernadzorcy. Odnosi się to również do innych aspektów bezpieczeństwa. Jeżeli w sieci zostanie wykryte szkodliwe oprogramowanie i - zgodnie z polityką - wszystkie maszyny będą przeprowadzać skanowanie w celu wykrycia infekcji, wirtualna sieć zostanie zatrzymana, co zmniejszy możliwość znalezienia szkodliwego oprogramowania. Nawet rutynowe zadanie aktualizacji 100 kopii antywirusowych baz danych może spowodować zastoje w ruchu sieciowym (określane jako burze aktualizacji), jeśli wszystkie uaktualnienia będą instalowane w tym samym czasie. To oznacza, że niektóre maszyny wirtualne będą pozostawały bez ochrony przed najnowszymi zagrożeniami przez wiele godzin, oczekując na instalację sygnatur.

Trzeba również pamiętać, że na początku dnia pracy, np. o między 8:00 a 9:00 rano, jednocześnie aktywowane są dziesiątki maszyn wirtualnych. Maszyny te nie otrzymały aktualizacji, ponieważ były „zamknięte” zeszłej nocy, co oznacza, że każda z nich próbuje w tym samym czasie pobrać najnowsze bazy antywirusowe. W czasie gdy aktualizacje te przechodzą przez „zatkany” serwer (proces ten może trwać całkiem długo), wszystkie maszyny wirtualne są podatne na zagrożenia, dodane dopiero w najnowszych uaktualnieniach.

Mit 3: Środowiska wirtualne z natury są bezpieczniejsze niż środowiska fizyczne.

Rzeczywistość: Nie jest to prawda. Wirtualizacja ma sprawić, aby oprogramowanie, w tym szkodliwe, zachowywało się tak, jak w normalnych warunkach. Aby osiągnąć swoje przestępcze cele, twórcy szkodliwego oprogramowania wezmą na celownik wszelkie słabe punkty w sieci biznesowej. Im intensywniej sieci wirtualne przeznaczane są do wykonywania krytycznych operacji biznesowych, tym większym stają się celem.

Zastanówmy się, jakie rodzaje danych są zagrożone. Jeżeli atakujący włamie się do jednej maszyny wirtualnej i znajdzie sposób na „przeskoczenie” do hipernadzorcy, uzyska tym samym dostęp do każdej maszyny wirtualnej na danym hoście. Oprócz wirtualnych desktopów cyberprzestępca może potencjalnie uzyskać dostęp do każdej wirtualnej kopii zapasowej danych lub magazynu, co otworzy drzwi do wszystkich danych firmy.

Mit 4: Nietrwałe maszyny wirtualne są bezpieczniejsze.

Rzeczywistość: W takim podejściu każda maszyna, która trafi na szkodliwe oprogramowanie, może zostać natychmiast skasowana i utworzona na nowo (niezainfekowana). Jednak nie jest to tak bezpieczne jak się wydaje – szkodliwe oprogramowanie może przetrwać „zniszczenie” poszczególnych maszyn wirtualnych, rozprzestrzeniając się w sieci, co pozwala mu wrócić, gdy zostaną utworzone nowe desktopy. Ponadto większość maszyn wirtualnych to „trwałe” serwery, które nie mogą zostać błyskawicznie zamknięte i odtworzone w przypadku wykrycia zagrożenia dla bezpieczeństwa. W badaniu Global IT Security Risks 2014* przeprowadzonym przez Kaspersky Lab stwierdzono, że ponad 65% firm na całym świecie wprowadzi pewną formę wirtualizacji serwera w ciągu najbliższych 12 miesięcy. Takie serwery muszą być „włączone” przez cały czas, aby firma mogła funkcjonować, dlatego podejście do bezpieczeństwa oparte na „niszczeniu” nie sprawdza się w ich przypadku.

Mit 5: Wszystkie rozwiązania bezpieczeństwa wirtualnego są takie same.

Rzeczywistość: W rzeczywistości istnieje kilka różnych podejść do bezpieczeństwa wirtualizacji, a biorąc pod uwagę infrastrukturę danej firmy, najlepiej sprawdzi się prawdopodobnie kombinacja dostępnych opcji.

Powyższe przykłady pokazują, że bezpieczeństwo oparte na agencie wymaga „przetwarzania” ochrony na każdym indywidualnym punkcie końcowym. Widzimy, że model wykorzystywany w tradycyjnej ochronie punktów końcowych nie jest optymalny dla infrastruktury wirtualnej. Trzeba jednak pamiętać, że odpowiednia podejście do bezpieczeństwa musi zależeć od tego, co będzie chronione. Serwer, który nie jest podłączony do sieci, będzie miał inne wymagania w zakresie bezpieczeństwa niż wirtualny desktop serwera, który zarządza informacjami poufnymi. A zatem, aby dokonać trafnego wyboru ochrony dla infrastruktury wirtualnej, oprócz rozwiązania opartego na agencie należy rozpatrzyć dwa różne rodzaje ochrony wirtualizacji określane jako rozwiązanie bezagentowe oraz oparte na lekkim agencie.

Więcej informacji dotyczących opcji zapewnienia bezpieczeństwa wirtualizacji znajduje się na stronie:http://r.kaspersky.pl/wirtualizacja

Pięć mitów na temat bezpieczeństwa wirtualizacji
Pięć mitów na temat bezpieczeństwa wirtualizacji


Tekst pochodzi z magazynu DLP expert 3/2014 (10)- który bezpłatnie można pobrać tutaj: https://www.dlp-expert.pl/magazine

Źródło: Redakcja