Виртуализация стала почти очевидным делом для компаний, стремящихся оптимизировать свои ресурсы. Но по мере роста количества виртуальных машин растет и количество проблем управления и безопасности.
Технический директор eWEEK Labs Камерон Стардевант недавно разговаривал с Хези Муром, основателем и технологическим директором компании Reflex Security о проблемах, с которыми сталкиваются компании при построении виртуальной инфраструктуры.
eWeek: Каково главное различие между физической и виртуальной ИТ-инфраструктурой центров обработки данных (ЦОДов) и каковы особенности обеспечения их безопасности?
Хези Мур: Одно из главных отличий состоит в том, что вирутальная инфраструктура гораздо более мобильна и динамична. Мобильность серверов — это большая проблема, сервер разрастается. Еще одна проблема — это межфункциональное управление, связанное с тем, кто какой частью сети управляет.
Если вы посмотрите на физическую инфраструктуру, то увидите группы ИТ-специалистов, которые управляют разными участками инфраструктуры: от специалистов по сети и специалистов, отвечающих за безопасность, до инженеров, обслуживающих серверы, и тех, кто занимается приложениями. Кроме того, у вас есть персонал, управляющий ЦОДом. Чтобы реализовать перемены в центре обработки данных, даже если это будет простая смена кабеля, вам надо будет разобраться с политиками и процессами, которые были в свое время задокументированы, так что все должны знать, что случится и когда случится, кто что сделал и почему.
Сегодня в виртуальной инфраструктуре вы можете переключиться на другой маршрутизатор с помощью одного клика компьютерной мышкой, и такие перемены обычно не документируются. Поэтому делаться они должны одним человеком, который управляет всей инфраструктурой, сетями и виртуальными сетями. Именно это мы называем кросс-функциональным управлением по всей инфраструктуре.
eWeek: Мне кажется, что еще одним фактором влияния здесь является гипервизор, новое ПО между оборудованием и операционной системой…
Х. М.: Гипервизор – это очень небольшая программа, которая разработана и создана с мыслью о безопасности. Если вы посмотрите на атаки, совершаемые на уровень гипервизора, то поймете, что ни одна из них не наносит ему вреда. Большинство из них проникнут в гипервизор и запустят другую машину без ведома пользователя. Но ни одна из атак не направлена против самого гипервизора.
Итак, действительно, гипервизор это новый кусок кода в ЦОДе, но это совершенно безопасный кусок кода, и хакеры сфокусированы на инструментах, работающих поверх гипервизора, которые могут дать им необходимый доступ.
eWeek: Давайте поговорим о характеристиках гипервизора, который упрощает перемены, связанные с виртуализацией, и одновременно вносит свои изменения в систему безопасности. Прежде всего, в виртуальном окружении у нас есть приложения, перемещающиеся от узла к узлу и с физических систем на виртуальные системы. А есть сервисно-ориентированные архитектуры, в которых приложения используют множество сервисов для выполнения бизнес-функций, и они могут действовать на основе заданных правил. Давайте поговорим о некоторых связанных с этим проблемах безопасности.
Х. М.: Действительно, есть много проблем с безопасностью. Они связаны не с гипервизором, а, скорее, с инструментами VMotion, используемыми для перемещения приложений и реально дающими возможность атаковать сервер.
Есть много угроз безопасности, связанных с перемещениями приложений и серверов из одного места в другое. Одна из них заключатся в отслеживании перемещений системы. Если у вас есть межсетевой экран, который закрывает некоторым пользователям доступ к перемещаемому приложению, вам надо переместить и сетевой экран, сохранив правила доступа. Итак, когда вы перемещаете виртуальную среду, вам надо убедиться, что вместе с нею переносятся все установленные политики безопасности.
Поскольку сервер и приложение обычно надо перемещать быстро, они не шифруются. Поэтому инструменты Vmotion требуют, чтобы все действия проводились в закрытой сети. Причина в том, что, если вы хотите делать это в режиме реального времени, у вас просто не будет времени шифровать и дешифровать информацию, которая перемещается из одной системы в другую. Итак, если кто-то захочет получить доступ к этой конкретной сети, то он получит доступ и ко всем виртуальным машинам и всем серверам.
В этом и состоит проблема: как обеспечить безопасность всем перемещаемым частям системы и как убедиться в том, что никто не проникает на уровни Vmotion?
eWeek: Вы выступаете, как адвокат глубокой защиты. Это не новая концепция в ИТ-безопасности. Приобретает ли эта концепция эшелонированной защиты какие-нибудь новые характеристики в виртуальном окружении?
Х. М.: Дело не в том, что она приобретает новые характеристики, а в том, что есть потребность в этом. И причина — виртуализация, хотя ни один подход не может удовлетворить всех. Вы не можете сказать: “ОК, я запустил антивирус на виртуальной машине и таким образом решил все проблемы”.
Чтобы понять ситуацию, возьмем опять перемещение приложений. Когда вы перемещаете приложение, все, что с ним работает, тоже должно перемещаться. Но на сетевом уровне при этом ничего не перемещается. Необходимо иметь какую-то глубокую защиту, чтобы защитить себя на сетевом уровне, иметь решение для защиты на уровне сетевых узлов и даже еще более глубокую защиту, поскольку при перемещении происходит слишком много перемен в инфраструктуре. Если вы не будете их отслеживать, то у вас начнутся проблемы с обеспечением безопасности, в вашей сети появятся уязвимости.
Когда происходит перемещение виртуальных ресурсов, защищенных межсетевым экраном, вполне возможно, что в ходе перемещения они окажутся во внешней, незащищенной части сети. Вы должны убедиться, что используете нужные инструменты и правильные средства для контроля таких событий.
Глубокая защита в виртуальном окружении гораздо более важна, чем в физическом, где серверы обычно статичны и не перемещаются очень быстро.
eWeek: Считаете ли вы, что именно при перемещении виртуальных ресурсов должна использоваться глубокая защита в инфраструктуре?
Х. М.: Я не думаю, что это только перемещение. Это один из примеров.
eWeek: Приведите другой пример.
Х. М.: Другой пример связан с конфигурацией, сформированной в неком окружении. Есть огромное количество конфигураций, которые создаются и должны контролироваться. Вы должны знать, кто их сформировал, кто имеет доступ к ним, кто может их менять. Не дело, если администратор сервера может изменить конфигурацию маршрутизатора.
Межфункциональное управление — это главная проблема, которую надо решать. Намеренно или ненамеренно, но конфигурационные ошибки могут происходить в вашей инфраструктуре.
Очень важно обеспечить контролируемость ИТ-среды, поскольку вы должны знать обо всех происходящих переменах, перемещениях VM, перемещениях маршрутизаторов из одного места в другое, изменениях в локальных виртуальных сетях. Вы должны иметь возможность контролировать все это и управлять ситуацией.
eWeek: То есть вы опять говорите о введении межфункционального контроля в виртуальной инфраструктуре?
Х. М.: Да.
eWeek: Не замедлит ли это процессы изменений в виртуальной среде, что приведет к появлению неудобств, снижающих ее привлекательность?
Х. М.: Если вы делаете все разумно, то нет. Естественно, некоторая сложность прибавится, но когда вы думаете о безопасности, то должны принимать правильное решение.
Вы хотите поместить сервер в сеть за две минуты? Не забывайте, что когда вы работает не с виртуальным ресурсом, это может занять около трех недель. Надо понимать, что это определенная работа.
Я много раз покупал сервер, монтировал его в шкаф, встраивал в систему и совершал все остальные необходимые действия. Действительно, все это делается не быстро. Взять образ и поместить его в виртуальную инфраструктуру, не составив отчета о сделанном, не задокументировав, кто и зачем сделал это, — это неправильный путь.
Когда впервые появился клиент/сервер, люди начали строить инфраструктуру. А затем они стали думать: “Как же мне теперь использовать мои средства управления для того, чтобы действительно управлять инфраструктурой клиент/сервер?”. И они поняли: “Знаете что? Инструменты управления, которые используются на мэйнфреймах, не работают в окружении клиент/сервер, нам надо сменить процессы и инструменты для клиент/сервер”.
Нечто подобное происходит и в виртуальном пространстве. Сначала мы построили инфраструктуру, а затем поняли, что процессы и механизмы, которые мы использовали для физической инфраструктуры не работают в случае виртуальной среды. Помещение образа в сеть на две минуты — неправильный образ действий. Ожидание сервера в течение трех недель — неправильный путь. Должно существовать нечто среднее. Я понятно выражаюсь?
eWeek: Да. Но я хочу сменить тему. Многие компании производят продукты для обеспечения безопасности в продуктах VMware. Теперь, когда Microsoft выпустила свой Hyper-V, стоит ли ИТ-менеджерам быть готовыми к обеспечению межплатформенной безопасности?
Х. М.: Определенно.
eWeek: Это станет необходимостью?
Х. М.: Да Я скажу вам почему. Люди до сих пор планируют покупать серверы Windows,а если вы купите Windows 2008 Server, то получите виртуализацию почти бесплатно. Поэтому люди будут с работать с виртуализацией.
Linux сейчас используется наряду с Windows. Практически в каждом ЦОДе сегодня есть серверы Linux и Windows. Нас наверняка ждет мультиплатформенная виртуализация. Люди даже не будут осознавать различия между платформами виртуализации, которые они будут использовать. Они будут управлять ИТ-средой точно так же, как и раньше, понимая, кто работает с платформой Microsoft, а кто — на VMware, при этом все это будет унифицировано.
eWeek: В виртуальной инфраструктуре все в конце концов работает на физических серверах.
Х. М.: Конечно, я считаю, что будут такие приложения или серверы, которые не будут виртуализированы. Может быть, в будущем люди смогут виртуализировать и ввод/вывод и подобные операции. Но по крайней мере еще несколько лет вам придется работать со смесью оборудования и ПО, а также с оборудованием, на котором будет действовать виртуальная инфраструктура.
Вам по-прежнему нужна будет физическая безопасность, но я думаю, что в физическом пространстве продолжится консолидация. Вам не потребуются серьезные меры безопасности в физическом окружении.
eWeek: Какая защита конкретно нам понадобится на физическом уровне?
Х. М.: В основном безопасность для сетевых устройств — сетевые экраны, IPS (intrusion prevention systems — системы предотвращения вторжения), шлюзы и антивирусные программы.
eWeek: Будет ли важно обеспечить корреляцию этой физической безопасности с тем, что происходит в виртуальной инфраструктуре?
Х. М.: Конечно!
eWeek: Почему?
Х. М.: Потому что все это — одна сеть.