Если не считать утверждений типа “гипервизор ещё ни разу не был взломан”, создатели платформ виртуализации не очень любят говорить о проблемах безопасности. Однако для ИТ-менеджеров, которые занимаются виртуальными серверами и сетевым хозяйством в центрах обработки данных, безопасность должна быть самой главной проблемой в списке их забот.
С одной стороны, платформы виртуализации позволяют гораздо проще и быстрее создавать и развертывать серверы и приложения. С другой — инструменты безопасности, которые используются в мире физическом, запросто могут быть взломаны, и именно здесь кроется привлекательность виртуальных машин. А помимо этого есть еще гибкость и высокая эффективность использования физических ресурсов, а также стирание граней между управлением системами и сетью.
Периметр центра обработки данных — это важный рубеж безопасности. Однако сетевой периметр подвержен нарастающему давлению в плане качества и количества перемен, происходящих внутри ЦОДа при виртуализации серверов архитектуры x86.
Напряженность возникает в связи с распространением виртуальных машин. Заботу о политике безопасности для приложений и в физических системах было довольно сложно сделать главным приоритетом. А теперь, когда время, необходимое для развертывания новых серверов, снизилось с нескольких недель до нескольких часов, персонал, занимающийся сетевой безопасностью, должен гарантировать, что такие стремительно созданные системы не приведут к утечке данных или столь же быстрому внедрению шпионского ПО.
Напряженность в области безопасности образуется также из-за быстрого перемещения систем внутри центра обработки данных, хотя физические системы при этом могут оставаться и неподвижными. Активное внедрение виртуальных машин не дает уверенности в том, что появятся и управляющие их безопасностью правила.
Наконец, напряженность возникает и в традиционных методах обеспечения безопасности, поскольку виртуализация ломает стены между традиционными системами, приложениями и сетевой инфраструктурой, а между тем безопасность так и остается на втором плане после серьезной экономии, которую дает виртуализация серверов архитектуры x86.
Медленная и тяжелая технология добавления физических серверов в ЦОД отчасти связана с доставкой тяжелых устройств. А затем устройства эти надо подключить к сети, что означает, что специалисты по серверам, обычно не имеющие доступа к конфигурированию сетевого оборудования, должны контактировать с другими сотрудниками ИТ-департамента.
Надо понимать, что наличие двух или даже трех (имея в виду еще и специалистов по приложениям) участников процесса вряд ли повышает надежность новой системы. С помощью виртуализации всё это может сделать один ИТ-инженер, который установит полностью работоспособную систему за несколько минут без необходимости какого-либо контроля со стороны. При сложной ИТ-инфраструктуре это действительно нетривиальный выигрыш.
Что должно оставаться неизменным, что надо поменять и где виртуализация повышает уровень безопасности? Вот главные вопросы, которые встают перед ИТ-менеджером. Ответить на них совсем не просто, и пока для этого нет общепринятых продуктов и стратегий.
Тем не менее уже сложились некоторые тенденции и практики, которые окажут влияние на будущее.
Производители традиционных инструментов безопасности начинают адаптировать свои продукты для виртуального мира. Компания Microsoft после десяти лет претензий, получаемых ею по поводу недостаточной защиты операционной системы Windows, осознала, что безопасность должна стать первоосновой предложений для виртуализации. Кроме того, компания VMware продвигает продукт VMsafe, опирающийся на API, который обеспечивает безопасное функционирование ее платформы.
Сетевые экраны, системы предотвращения вторжений и VLAN, отвечающие за связь между физическими системами, следует оставить на месте и поддерживать. Однако функции этих систем должны переместиться в виртуальную сеть, создаваемую для соединения виртуальных машин. Обычно эта виртуальная сеть строится с использованием виртуальных маршрутизаторов, которые располагаются вместе с виртуальными машинами поверх гипервизора в физической системе.
Сегодня, когда трафик между виртуальными машинами надо контролировать в целях обеспечения безопасности, его обычно направляют в физическую систему, специально созданную для этой цели. После обработки трафик отправляется назад в виртуальную сеть. Именно поэтому сеть становится узким местом, ограничивающим производительность виртуальных машин.
Гибридное решение такого типа связывает виртуальные машины с физическими системами, на которых они установлены. Такое положение сохранится до тех пор, пока не будут созданы специальные физические системы для поддержки миграции виртуальных машин между физическими ресурсами. С таким подходом возникает очень много проблем, и только факт отсутствия реальных альтернатив объясняет его использование.
Первая проблема состоит в том, что гибридный подход связывает нас с недавно закончившейся эрой, когда машины выходили в режим онлайн и оставались в нем до самой смерти. Продукты для обеспечения безопасности в таком случае рассчитывались на статическую ситуацию физических и логических связей в системах.
В физически ориентированных инструментах политика безопасности вращается вокруг статичной модели сети. Попросту говоря, даже тот уровень, который мы сегодня считаем ледниковым периодом для ЦОДов, все еще опережает способность ИТ-менеджеров работать с топографическими и логическими изменениями, реализация которых встроена в традиционные ИТ-инструменты обеспечения безопасности.
В нарождающемся мире обеспечения безопасности виртуальных машин в центрах обработки данных уже ясно, что именно ресурсы процессоров сегодня управляют такими инструментами. Продукты для обеспечения безопасности, которые потребляют от двух до трёх процентов ЦП на виртуальных машинах, скоро будет слишком дорого внедрять. Это обусловлено общими тратами на безопасность: например, физический узел с четырьмя виртуальными машинами, каждая из которых защищена агентом безопасности, использующим 3% физического ЦП, в общей сложности будет потреблять 12% при том, что уровень использования ЦП физическим сервером сегодня равен 70—80%. Добавление дополнительных систем безопасности при такой существенной нагрузке на ЦП — дело очень непростое.
Кроме нагрузки на ЦП политика безопасности должна быть готова столкнуться с новой реальностью, возникающей при распространении виртуальных машин, — спонтанностью (иногда в режиме онлайн, иногда нет) и мобильностью. Вероятно, ИТ-менеджеры должны увеличить численность и повысить уровень подготовки персонала, занимающегося вопросами безопасности, по мере того, как увеличивается процент виртуальных машин в ЦОДе. Ведь, скажем, политика безопасности, определяющая, кто и к какому ресурсу может получить доступ, с каким ожидаемым результатом, очень сложна в реализации даже при оптимальных условиях. А текущее распространение технологии виртуальных машин, как уже отмечалось выше, создает как раз неблагоприятные условия для реализации политики безопасности.
Считается, что внедрение любого ПО увеличивает риск проникновения в систему. Теоретически с этим можно согласиться, но вот за довольно короткую жизнь гипервизора оказалось, что он гораздо менее подвержен ошибкам и уязвимостям, чем любое другое приложение и конечно же Windows.
Изолированное окружение виртуальной машины на платформе гипервизора — это ключ к высокому уровню консолидации физических/виртуальных серверов, а в качестве побочного результата предоставляет возможность безопасно запускать более одного приложения на одной физическом сервере.
Компании могут захотеть содержать только такие виртуальные машины, которые работают с секретными данными, например с информацией о кредитных картах, на физических системах, обрабатывающих схожую информацию. Вероятно, лучшим способом работы при таких условиях будет совместное содержание систем с низким уровнем безопасности вместе независимо от их функций, в то время как виртуальные машины с высоким уровнем безопасности будут расположены на высоконадежном физическом оборудовании. Объединение систем с высоким уровнем безопасности облегчает разработку политик для них.
Стоит еще отметить, что системы безопасности начали предлагать производители виртуальных платформ. В феврале этого года компания VMware объявила о выходе VMsafe — инициативе, направленной на улучшение безопасной работы виртуальной инфраструктуры, которая вдобавок помогает снизить количество ресурсов виртуализации, предназначенных для решения этой задачи.
VMsafe представляет собой набор API, который дает возможность оборудованию других производителей управлять сетевым трафиком, идущим к виртуальной машине и от неё, а также данными на каждой виртуальной машине на серверном уровне. Данные могут использовать поставщики систем безопасности для анализа безопасности, освобождая тем самым пользователей от необходимости наблюдать за сетевым уровнем или за каждом сервером.
Инициатива VMsafe направлена на то, чтобы упростить интеграцию безопасности и оптимизировать решения с целью уменьшить физические ресурсы и обеспечить общую безопасность как в сети, так и в ее узлах. Эта технология пока еще не готова.
Компании Symantec и McAfee вместе с другими производителями инструментов безопасности находятся на ранних стадиях внедрения своих продуктов, которые используют расширенный доступ к API в виртуальной инфраструктуре VMware. ИТ-менеджеры должны следить за развитием событий в этой перспективной области. Однако если инструменты других производителей не будут активно развиваться, то в первую годовщину инициативы придётся пересмотреть программу.
На основе моей недавней работы с Microsoft Hyper-V можно сделать вывод о том, что обеспечение безопасности превратилось из некоей добавочной функции в центральную, при этом компания должна каждый второй вторник месяца добавлять к продуктам для обеспечения безопасности необходимые “заплатки”. Как в Hyper-V, так и в недавно выпущенном Application Virtualization компания Microsoft переместила функцию безопасности в самый центр развертывания продуктов. ИТ-менеджеры должны следить за тем, чтобы внедрение систем безопасности постепенно становилось все проще, поскольку мой опыт показал, что требуется немало времени и сил для полной конфигурации всех “колокольчиков и свистков” в этой области.