W opinii przedstawicieli producentów oprogramowania przeznaczonego do ochrony systemów IT wirtualizacja stwarza duże pole do popisu. Środowiska wirtualne – jak sądzi większość naszych rozmówców – rządzą się swoimi prawami i dlatego w ich przypadku potrzebne są inne, bardziej wyrafinowane zabezpieczenia niż stosowane w tradycyjnych systemach. Producenci uważają, że kontrola przepływu danych między poszczególnymi wirtualnymi maszynami to trudne zadanie. Z prostego powodu – nie ma między innymi barier, jakie istnieją między serwerami fizycznymi. Czy na ochronie wirtualnych maszyn mogą zarobić resellerzy? Według dostawców – jak najbardziej. Będą mogli zaoferować klientom nowe usługi.

WIRTUALNA SPECYFIKA

Dlaczego środowiska wirtualne wymagają innych zabezpieczeń niż zwykłe systemy? – Wirtualizacja jest sposobem na lepsze wykorzystanie infrastruktury, oszczędność energii, obniżenie kosztów oraz efektywniejszą administrację zasobami – mówi Filip Demaniuk, Technical Manager na Europę Środkową i Wschodnią, Rosję i byłe republiki radzieckie w Trend Micro. – Dynamika systemów wirtualnych daje ogromne korzyści biznesowe, ale stwarza zagrożenie atakami z zewnątrz i próbami włamań do systemów przedsiębiorstwa. Według przedstawiciela Trend Micro wirtualizacja umożliwia „klonowanie i kopiowanie maszyn wirtualnych, powielanie wzorca, który nie jest bezpieczny ani pod względem operacyjnym, ani aplikacyjnym”. – Stąd odpowiedź rynku w postaci specjalistycznych rozwiązań do ochrony środowisk wirtualnych, które nie ograniczają się do tradycyjnego zabezpieczania systemu na zewnątrz, ale koncentrują się na ruchu wewnątrz maszyn wirtualnych – tłumaczy Filip Demaniuk. Jego opinię potwierdza Michał Jarski, Country Manager Check Pointa w Polsce, Rumunii i Bułgarii. – Producenci oprogramowania do niedawna wydawali się nie dostrzegać specyfiki środowisk wirtualnych i próbowali, zresztą niektórzy nadal to robią, stosować do ich ochrony tradycyjne systemy – ocenia. – Tymczasem rzeczywiste zabezpieczenie systemu wirtualnego wymaga „wejścia” do jego wnętrza, nadążania za dynamicznymi zmianami konfiguracyjnymi, przenoszeniem maszyn wirtualnych między serwerami fizycznymi itd. Natomiast Karel Obluk, Chief Technology Officer w AVG Technologies, uważa, że wirtualizacja, paradoksalnie, może ułatwić powstanie bardziej bezpiecznych niż dotąd środowisk, choć jednocześnie wiąże się ze zwiększoną liczbą zagrożeń. – Niektóre technologie wirtualizacji, jeśli są odpowiednio skonfigurowane i zarządzane, pozwalają wyeliminować większość zagrożeń lub zaradzić już zaistniałym problemom z bezpieczeństwem – mówi Karel Obluk. – Wirtualizacja znajduje zastosowanie głównie w środowiskach biznesowych, w segmencie korporacji oraz małych i średnich przedsiębiorstw, gdzie spotkać można wykwalifikowanych administratorów infrastruktury IT. Potrafią oni kompetentnie zarządzać zwirtualizowanym środowiskiem. Robert Dąbroś, specjalista ds. bezpieczeństwa w McAfee, tłumaczy, na czym polega ochrona w przypadku maszyn wirtualnych. – Zapewnienie im bezpieczeństwa wymaga zabezpieczenia czterech elementów:  gospodarza (komputera fizycznego), aktywnych maszyn wirtualnych, obrazów nieaktywnych maszyn wirtualnych oraz komunikacji maszyn wirtualnych – zarówno ze światem zewnętrznym, jak i ze sobą wzajemnie – wyjaśnia Robert Dąbroś. – Działające maszyny wirtualne zabezpiecza się obecnie podobnie jak serwery fizyczne. Zmiana tego podejścia będzie możliwa dopiero po zintegrowaniu funkcji bezpieczeństwa z hypervisorem (programem zarządzającym maszynami wirtualnymiprzyp. red.). Według przedstawiciela McAfee rozwiązaniem specyficznym dla środowisk wirtualnych jest możliwość skanowania, eliminacji zagrożeń i aktualizacji sygnatur maszyn nieaktywnych (off-line). – Dzięki temu po ponownym włączeniu do pracy – co może nastąpić kilka minut, ale też i kilka miesięcy po ich wyłączeniunie będą stanowić zagrożenia dla całego środowiska informatycznego – tłumaczy Robert Dąbroś. – Tego typu narzędzia (VirusScan Enterprise for Offline Virtual Images) firma McAfee oferuje już od prawie dwóch lat. Ważnym zagadnieniem jest też zapewnienie bezpieczeństwa danych przechowywanych na łatwych do przenoszenia i przesyłania obrazach dysków maszyn wirtualnych (np. przy zastosowaniu McAfee Endpoint Encryption for Virtual Disk). O ile wielu producentów zwraca uwa-gę na trudności, które wiążą się z wirtualizacją, o tyle Grzegorz Michałek, główny programista w firmie ArcaBit, widzi w niej wręcz uproszczenia. – Najważniejszą dla bezpieczeństwa pozytywną cechą wirtualnych środowisk jest łatwość separacji od „rzeczywistego” systemu i fizycznych zasobów. Mówiąc prostym językiem – w wirtualnym środowisku zdecydowanie łatwiej okiełznać potencjalne zagrożenia i minimalizować negatywne skutki ataków – zapewnia przedstawiciel warszawskiej firmy.

DODATKOWE USŁUGI

Resellerzy mogą zarobić, zdaniem producentów, na zabezpieczaniu systemów wirtualnych, właśnie dlatego, że jest to trudniejsze niż ochrona tradycyjnych środowisk. – Nawet bez wirtualizacji bezpieczeństwo jest skomplikowaną dziedziną, w której klienci rzadko sobie dobrze radzą samodzielnie – uważa Robert Dąbroś z McAfee. – Dla resellerów specjalizujących się w ochronie jest to więc dodatkowa nisza, umożliwiająca wyższe zarobki niż związane z usługami dotyczącymi zarządzania i utrzymania systemu.Mogą zaoferować klientom usługi stanowiące dodatek do sprzedawanego aktualnie pakietu bezpieczeństwa – twierdzi Karel Obluk z AVG Technologies. – Wirtualizacja urządzeń oraz usług, takich jak serwer poczty, system zarządzania punktami końcowymi sieci czy też hosting aplikacji, oferuje resellerom możliwości, których nie powinni zbagatelizować. Według Piotra Chrobota, country managera polskiego biura Symanteca, obszarów do zagospodarowania przez integratorów jest kilka, np. opracowywanie nowych polityk bezpieczeństwa uwzględniających środowiska wirtualne, zabezpieczanie maszyn wirtualnych przed atakami, zapewnianie wysokiej dostępności danych i systemów IT. – Poza tym wdrożenie nowych systemów otwiera szanse na kolejne projekty w przyszłości – uzupełnia przedstawiciel Symanteca. Zdaniem Michała Jarskiego z Check Pointa dilerzy powinni zwrócić uwagę na zabezpieczanie wirtualnych maszyn ponieważ rynek ten może szybko się rozwijać. – Nie traktowałbym go na razie jako alternatywy, lecz raczej jako bardzo ważne uzupełnienie tradycyjnych rozwiązań ochronnych – podkreśla Jarski. – W przyszłości jednak z pewnością te proporcje będą się zmieniały na korzyść zabezpieczania systemów wirtualnych. Z kolei Ewa Turewicz, Product Manager Trend Micro w RRC, zauważa, że resellerzy mogą również liczyć na dodatkowy zysk ze sprzedaży specjalistycznych usług wdrożeniowych. – Coraz większa liczba klientów decyduje się na wirtualizację. Tym samym poszerza się rynek produktów do zabezpieczenia systemów tego rodzaju – mówi Ewa Turewicz. – Temat jest modny i wielu użytkowników interesuje możliwość zabezpieczenia środowiska wirtualnego. Do obrony przed atakami z sieci środowisk fizycznych klienci zwykle ma-ją stosowne oprogramowanie, natomiast zabezpieczanie środowisk zwirtualizowanych może stwarzać nowe perspektywy sprzedażowe. W jej opinii standardowe zabezpieczenia nie są zwykle dostosowane do potrzeb środowisk wirtualnych. – Poza tym gotowy software sprzedawany w paczkach zwykle w niewielkim stopniu spełnia oczekiwania konkretnych użytkowników – zauważa Ewa Turewicz. – Oprogramowanie składające się z modułów, które można precyzyjnie dostosować do wymagań klienta, jest oczywiście korzystniejsze, bo nabywca nie ponosi wydatków na funkcje, których nie stosuje. Optymalny dobór rozwiązania może spoczywać w rękach resellera. Z wypowiedzi producentów wynika, że wirtualizacja ma szanse wykreować rynek nowych produktów. Czas pokaże, czy resellerzy rzeczywiście na nich zarobią.

Robert Dąbroś
specjalista ds. bezpieczeństwa w McAfee

Ze względu na liczne korzyści biznesowe i techniczne popularność wirtualizacji rośnie bardzo gwałtownie. Jednak w praktyce zapewnienie bezpieczeństwa środowiskom wirtualnym jest znacznie trudniejsze niż środowiskom fizycznym. Maszyny wirtualne mogą być włączane i wyłączane niemal w dowolnym momencie, w dowolnym stanie i w dowolnej liczbie, a komunikacja między nimi często wymaga specjalnej kontroli.

Grzegorz Michałek
główny programista w firmie ArcaBit

Mechanizmy wirtualizacji pojawiły się w świecie producentów aplikacji ochronnych już wiele lat temu, nawet jeśli początkowo nie były klasyfikowane według współczesnych kryteriów. Podstawową pozytywną cechą wirtualnych środowisk jest łatwość separacji od rzeczywistego systemu i fizycznych zasobów. Szybszy jest również proces przywracania uszkodzonego systemu do stanu początkowego. Porównując programy zabezpieczające środowiska wirtualne z tradycyjnymi pakietami zabezpieczeń, nie znajdujemy zasadniczych różnic.

Michał Jarski
Country Manager na Polskę, Rumunię i Bułgarię w firmie Check Point Software Technologies

Całe piękno technologii wirtualnych, czyniące z nich tak atrakcyjne narzędzie dla tworzenia odpornych na awarie i niezawodnych systemów IT, może być zniweczone przez brak bezpieczeństwa albo zastosowanie narzędzi, które do wirtualizacji nie pasują. Każdy integrator, specjalizujący się w technologiach wirtualnych, powinien mieć w swoim portfolio również stosowne narzędzia od ochrony budowanych systemów IT. VPN-1 VE, które mamy w ofercie, służy do zgodnej z regułami bezpieczeństwa budowy farm serwerów podzielonych na odpowiednie strefy i zabezpieczania ruchu między tymi strefami zarówno przez filtrowanie dopuszczalnej komunikacji, jak i szyfrowanie ruchu sieciowego. Można to narzędzie wykorzystać do budowy systemów usługowych z wynajmowaną mocą przetwarzania danych. W tym przypadku dąży się do odseparowania stref obsługujących poszczególnych klientów w celu zabezpieczenia ich poufnych informacji. Inny pomysł to systemy awaryjne, zapewniające ciągłość działania firmy – gotowe do użycia farmy maszyn wirtualnych, pozostające w uśpieniu i uruchamiane na wypadek awarii w centrali firmy. Popularne stają się również koncepcje typu office in a box, czyli zebrane na jednym fizycznym serwerze lub wirtualnej półce w serwerowni wszystkie potrzebne do działania małego biura lub oddziału przedsiębiorstwa serwery aplikacyjne (oczywiście w formie maszyn wirtualnych). Zapewniają one funkcjonowanie firmy, a zatem muszą być odpowiednio chronione przed nieautoryzowaną ingerencją, a z drugiej strony powinny mieć bezpieczny zdalny dostęp do swoich zasobów (VPN-y klien-ckie). Te wszystkie funkcje oferuje właśnie VPN-1 VE. Jest to też znakomity pomysł na biznes dla usługodawców, integratorów chcących tworzyć proste w obsłudze kombajny wspierające działanie małych firm.

Piotr Chrobot
Country Manager w polskim oddziale Symanteca

Nie ma wątpliwości, że wirtualizacja znacząco poprawia wykorzystanie zasobów IT. Jednak ceną, jaką przychodzi płacić firmom za jej wykorzystanie, jest utrudnienie zachowania bezpieczeństwa, rozumianego tutaj szeroko – jako ochrona zarówno przed atakami z Internetu, jak i przed utratą danych. W tej chwili zapewniamy wysoką dostępność danych na maszynach wirtualnych za pomocą kopii zapasowych NetBackup i Backup Exec. Unikalną cechą naszego systemu backupowego jest możliwość odzyskiwania pojedynczych plików, obiektów z baz danych SQL i wiadomości e-mail z platformy Outlook. Powstanie specjalistycznych systemów chrony przed internetowymi atakami to kwestia czasu. Jestem przekonany, że przyszłość należy do software’u zabezpieczającego maszyny wirtualne na poziomie hypervisora (rodzaj menedżera, nadzorcy kontrolującego pracę urządzeń wirtualnych – przyp. red.) w czasie rzeczywistym, a nie każdy serwer z osobna. Takie rozwiązanie to nie tylko uproszczenie w zakresie licencjonowania, wydajniejsza praca administratorów, ale również znacznie mniejsze obciążenie sprzętu w czasie skanowania.