Можно сказать, что на рынке средств защиты виртуальных сред есть новости как хорошие, так и плохие. Хорошие заключаются в том, что таких средств становится все больше. А плохие — что многие из них пока не находят применения в корпоративной ИТ-инфраструктуре. В ходе проведенного фирмой Nemertes Research исследования выяснилось, что лишь 10% организаций внедрили технологии защиты виртуальных сред, а 70% даже не планируют этого на ближайшие три года.
Другое исследование, проведенное производителем средств управления идентификацией Centrify, пролило дополнительный свет на текущую ситуацию в данной сфере. В его ходе 55% из 480 респондентов ответили, что у них были опасения относительно защищенности технологий виртуализации, но они всё равно продолжили их внедрение. Эти цифры как-то не очень согласуются с тем, что ИТ-специалисты буквально наводнили конференцию VMworld в Сан-Франциско (США), проходившую в период с 31 августа по 3 сентября.
“Главная ошибка организаций заключается в том, что они не в состоянии представить, насколько слабо у них контролируется уровень защищенности виртуализированной среды, — отметил Скотт Кроуфорд, аналитик Enterprise Management Associates. — Поскольку виртуализация имеет ряд присущих ей преимуществ в плане безопасности (в частности, изоляцию виртуальных машин), а угрозы, нацеленные конкретно на виртуализированные среды, еще не успели проявиться в полной мере, то предприятия спешат выжать все выгоды виртуализации для бизнеса, но не торопятся с инвестициями в упреждающие и превентивные средства защиты”.
RSA, подразделение безопасности EMC (материнской компании для VMware), опубликовало ряд новых рекомендаций, чтобы помочь предприятиям соблюсти нормативные требования в отношении своих виртуализированных сред. В статье, озаглавленной “Соблюдение безопасности в виртуальном мире”, авторы коснулись таких вопросов, как ужесточение платформы, контроль административного доступа, управление конфигурацией и изменениями с помощью средств защиты и администрирования VMware.
В статье подчеркивается важность понимания того, как “усилить” ПО виртуализации, следуя указаниям Центра интернет-безопасности (Center for Internet Security), Управления информационного обеспечения Министерства обороны США (Defense Information Systems Agency) и соответствующего поставщика. При этом обращается внимание на то, как быстро всё меняется благодаря внедрению виртуализации, появлению мобильных виртуальных машин и возможности перевода офлайновых виртуальных машин в онлайн. Учитывая консолидацию серверов и сетей в виртуализированной инфраструктуре, статья рекомендует тонко настраивать права доступа, чтобы обеспечить разделение обязанностей между администраторами в такой среде.
“Отсутствие зрелого подхода к системному администрированию виртуализированной среды было одним из главных препятствий к использованию всех преимуществ виртуализации, — отмечает Кроуфорд. — Энтузиазм наталкивается на суровую реальность. Вендоры и организации всё еще в схватке с этой реальностью, и схватка будет непростой, учитывая центральную роль, которую играет виртуализация в еще более амбициозных проектах, таких как вычисления “в облаке"”.
В исследовании Centrify 46% респондентов назвали проблемы безопасности главной причиной, из-за которой принятие виртуализации может замедлиться. Решить проблему безопасности после внедрения виртуализации удается не всегда, отмечает Френк Кабри, вице-президент Centrify по маркетингу.
“С этим могут возникнуть трудности, — констатировал он. — Безопасность (в форме управления доступом, разделения обязанностей и т. п.) должна быть встроена при внедрении виртуализации, где только возможно. В итоге это зачастую позволяет сэкономить средства и выстроить более надежную защиту”.