Według inżynierów i analityków zajmujących się zwalczaniem złośliwego kodu w drugiej połowie ubiegłej dekady najlepszym oprogramowaniem antywirusowym były… wirtualne maszyny. Cyberprzestępcy wiedzieli, że to je najczęściej wykorzystywano do analizy zachowania internetowych robaków, więc wbudowywali w wirusa mechanizm dezaktywujący jego działanie, gdy ten wykrył, że jest uruchomiony w wirtualnej maszynie (co utrudniało obserwację efektów jego działania). Dzisiaj sytuacja znacznie się zmieniła, gdyż do analizy złośliwego kodu wykorzystuje się zautomatyzowane rozwiązania, a coraz częściej także uczenie maszynowe. Nikt już nie analizuje próbek, jak dziesięć lat temu, bo po prostu powstaje ich zbyt dużo. Jednocześnie w wirtualnych maszynach przetwarzane są cenne dane i cyberprzestępcy nie odpuszczają już sobie tak łakomych kąsków. Dlatego ochrona wirtualnych środowisk jest nie tylko wskazana, ale wręcz konieczna.

Ich zabezpieczanie to jednak skomplikowany proces. Narzędzia ochronne, za pomocą których należy egzekwować takie same reguły polityki bezpieczeństwa, jakie obowiązują w całym przedsiębiorstwie, są inne niż w przypadku środowiska fizycznego. Administratorzy lub współpracujący z firmą partnerzy muszą być też gotowi, by o ochronę środowiska wirtualnego dbać z podobną starannością jak o bezpieczeństwo pozostałej części infrastruktury IT.

Nadrzędnym celem powinno być zapewnienie wysokiej dostępności infrastruktury IT w przedsiębiorstwie – podkreśla Marcin Zmaczyński, dyrektor polskiego oddziału Aruba Cloud. – Jedynie wtedy zarząd może być pewny, że biznes nie jest zagrożony. Należy do tego wykorzystać nie tylko wszystkie dostępne środki techniczne (oprogramowanie antywirusowe, narzędzia do kontroli informacji przesyłanych w sieci itp.), ale też organizacyjne, m.in. systematyczne wykonywanie kopii backupowych i przechowywanie ich w firmie oraz w innym, odległym miejscu (w ramach planu disaster recovery).

Wirtualny antywirus

W środowisku wirtualnym stosowanie antywirusów jest konieczne. Problem jednak stanowi fakt, że dobór oprogramowania ochronnego dla wirtualnych maszyn jest zdecydowanie trudniejszy niż w przypadku zwykłych desktopów, kiedy bierze się pod uwagę tylko dwa parametry – cenę i skuteczność. Przede wszystkim należy sprawdzić, czy wybrany dostawca ma rozwiązanie do wykorzystywanego przez klienta systemu (Citrix, Microsoft, VMware, projekty KVM). W środowisku wirtualnym ma też znaczenie, jaki rodzaj danych jest przetwarzany w poszczególnych maszynach (czy służą jako serwer baz danych, plików, hostingu stron internetowych lub poczty, wirtualny desktop). Dlatego stosowane są trzy sposoby ochrony infrastruktury wirtualnej: bezagentowy (agentless), z lekkim agentem (light agent) i pełnym agentem (full agent).

Metoda bezagentowa wymaga uruchomionej osobnej maszyny wirtualnej z zainstalowanym silnikiem antywirusowym (Security Virtual Appliance). W ten sposób odbywa się skanowanie w celu wykrycia złośliwego oprogramowania w pozostałej części wirtualnej infrastruktury. Rozwiązanie to ma jednak pewną wadę: wszyscy dostawcy hypervisorów (z wyjątkiem projektów KVM) zapewniają skanowanie „z zewnątrz”, ale w dość ograniczonym zakresie (najbardziej otwarty jest VMware z usługą vShield). Nie ma zatem możliwości zastosowania bardziej zaawansowanych metod ochrony, takich jak kontrola działania aplikacji, analiza heurystyczna, tworzenie białych list, prowadzenie kwarantanny itp.

Funkcjonalność zbliżoną do oferowanej przez zwykłe antywirusy zapewnia rozwiązanie wykorzystujące pełnego agenta zainstalowanego w każdej wirtualnej maszynie (takiego samego jak stosowany do ochrony urządzeń końcowych), lecz i ono ma wady. Po pierwsze negatywnie wpływa na wydajność każdej maszyny wirtualnej, podobnie jak klasyczne antywirusy instalowane na zwykłych pecetach. Po drugie trudno zarządzać takim oprogramowaniem z powodu szybko (często w niekontrolowany sposób) rozrastającej się infrastruktury wirtualnej. Konieczność zapanowania nad licencjami oraz weryfikacją poprawności pracy antywirusa, kontrolowania aktualizacji agentów i baz sygnatur powoduje, że nierzadko do obsługi tego środowiska potrzebny jest dodatkowy pracownik.

Wartym uwagi kompromisem jest wykorzystanie tzw. lekkich agentów łączących się z centralnym modułem zawierającym silnik antywirusowy w oddzielnej wirtualnej maszynie, ale wykonujących również wiele zadań, których nie zrealizuje się w modelu bezagentowym. W przypadku lekkich agentów zdecydowanie mniejszy jest negatywny wpływ na wydajność wirtualnych maszyn. Aktualizacja oprogramowania antywirusowego ma miejsce tylko raz (w silniku), więc paczki z nowymi sygnaturami nie muszą być instalowane w każdej instancji agenta. W ten sposób nie dochodzi do przeciążenia fizycznego serwera, a to pozwala unikać niedostępności usług świadczonych za pomocą wirtualnych maszyn.

 

Wirtualne sieci też potrzebują ochrony

Całe firmowe środowisko sieciowe, włącznie z jego wirtualną odnogą, jest równie ważną dziedziną do ochrony jak zawartość maszyn wirtualnych. Cyberprzestępcy wykorzystujący ransomware nie będą bowiem wybierać – jeśli znajdą lukę (nieważne czy w fizycznej, czy w wirtualnej sieci), z pewnością ją wykorzystają. A po uzyskaniu dostępu do wirtualnej infrastruktury mogą dość prosto wyłączyć lub usunąć maszyny oraz zakłócić pracę hypervisora lub fizycznego serwera, na którym się on znajduje.

Niestety, produkowane urządzenia ochronne nie mogą zabezpieczać wirtualnej infrastruktury, ponieważ nie zostały zaprojektowane w tym celu i „nie rozumieją” tego, co się wewnątrz niej dzieje. W ten sposób w środowisku klientów powstaje luka, którą powinno się czym prędzej wypełnić, gwarantując ochronę nie tylko na brzegu sieci, ale także w jej wnętrzu.

Środowisko wirtualne charakteryzuje się kilkoma unikalnymi cechami, które nie występują w infrastrukturze składającej się wyłącznie z fizycznych serwerów. Generowanie i uruchamianie na przykład nowych wirtualnych serwerów trwa minuty, a nie jak wcześniej dni lub tygodnie. Można zatem wyobrazić sobie, że cyberprzestępcy wymuszają stworzenie dodatkowej wirtualnej maszyny i osadzają tam złośliwy kod wykradający firmowe informacje. W dużych chmurowych środowiskach bez ochrony sieciowej administratorzy przez długi czas nie wykryją działań hakerów. Pomocne może okazać się wyłącznie oprogramowanie analizujące w czasie rzeczywistym dane – Dziś żaden administrator nie zgodzi się czekać na odtworzenie maszyny wirtualnej dziesięć lub więcej godzin, bo w znacznie krótszym czasie stworzy ją od nowa.

Kryterium wyboru oprogramowania do backupu środowisk wirtualnych i zapewniania ich wysokiej dostępności powinien być przede wszystkim certyfikat przyznany producentowi przez dostawcę hypervisora. To gwarantuje poprawność wykonania kopii, spójności zawartych w niej danych i możliwość ich odtworzenia po awarii. Oczywiście chronić trzeba nie tylko wirtualne maszyny, ale też obsługujące je hypervisory.

W opinii branży

Sebastian Kisiel, inżynier wsparcia sprzedaży, Citrix 

Producenci rozwiązań do budowy wirtualnej infrastruktury zapewniają szkolenia dla partnerów i klientów obejmujące kwestie związane z ochroną. Nie pojawia się jednak ona jako osobny temat ani przedmiot na kursie certyfikacyjnym. Wychodzimy z założenia, że dbać o bezpieczeństwo należy podczas wszystkich działań – związanych z projektowaniem środowiska wirtualnego, administrowaniem nim i optymalizacją jego pracy, tym bardziej że kwalifikacje trzeba nieustannie poszerzać, bo cyberprzestępcy ciągle zmieniają metody ataku.

 

Kornelia Szlósarczyk, Product Manager Nakivo, Konsorcjum FEN 

Wiedza klientów o możliwościach zapewniania wysokiej dostępności zasobów w środowiskach wirtualnych rośnie bardzo powoli. Nadal skupiają się wyłącznie na backupie wirtualnych maszyn i często nawet nie kontrolują poprawności procesu ani możliwości szybkiego odzyskania dostępu do danych. Dostrzegamy też, że nawet nasi partnerzy bywają niewystarczająco skuteczni w edukowaniu klientów. Poddają się, gdy klient nie chce słuchać o nowych funkcjach i żąda zrealizowania planu minimum. W tej sytuacji pomocna będzie oferowana już w oprogramowaniu do backupu maszyn wirtualnych funkcja automatycznej kontroli spójności wykonanej kopii i dostępności do danych chwilę po wystąpieniu awarii.

 

Tomasz Krajewski, Regional Presales Manager, Eastern EMEA, Veeam 

Zachęcamy integratorów, aby budowali u siebie miniserwerownie, w których przechowywane będą zapasowe kopie danych ich klientów. To stosunkowo niedroga inwestycja, która bardzo się opłaci. Dzięki niej odbiorcy zyskują możliwość współpracy z podmiotem, który darzą dużym zaufaniem. Partnerzy pomogą też w całkowitym przejęciu odpowiedzialności za wykonywanie backupu i zdalne zarządzanie tym procesem, czyli Backup as a Service. W takim modelu świadczenia usługi klienta nie interesuje, w jaki sposób wykonywane są kopie, ważna dla niego jest umowa SLA, która określa gwarantowany czas przechowywania danych i ich odzyskania po awarii.

 

Wiele parametrów do rozważenia

Przy backupie wirtualnych maszyn bardzo ważna jest redukcja zajmowanego przez nie miejsca. Kompresja danych nie jest w tym przypadku efektywna, zdecydowanie lepiej sprawdza się deduplikacja. Jeżeli w wielu wirtualnych maszynach w danej firmie stosowane są te same wersje systemów operacyjnych, to powtarza się znaczna liczba bloków (wszystkie pliki systemowe). Zdarza się więc, że współczynnik deduplikacji sięga nawet 80–90 proc. w skali całego wirtualnego środowiska. Oczywiście deduplikacja ma wpływ na wydajność kopiowania, ale znacznie mniejszy niż kompresja.

Wchodzące właśnie w życie rozporządzenie RODO oraz inne obowiązujące regulacje prawne (a także przepisy wewnętrzne przedsiębiorstw) nakazują szyfrowanie kopii danych, szczególnie jeśli są wynoszone poza siedzibę firmy. W realizacji tego procesu są przydatne taśmy w standardzie LTO, które we wszystkich użytkowanych obecnie wersjach zapewniają szyfrowanie. Sprawdzają się w długoterminowym przechowywaniu kopii wirtualnych maszyn, zapewniają bowiem bardzo dużą pojemność i wciąż są najtańsze w obsłudze (dzięki niskiej cenie jednostki pojemności i niepobieraniu energii przez nieużywane taśmy).

Kolejną istotną kwestią jest zaplanowanie procedury przywrócenia środowiska do pracy w przypadku awarii. Należy regularnie sprawdzać poprawność wykonania kopii backupowej maszyn wirtualnych. Funkcję tę zapewnia coraz większa liczba aplikacji do backupu. Zaraz po wykonaniu kopii zakładają tymczasową wirtualną maszynę, do której próbują odzyskać dane i sprawdzić ich integralność. Konieczne jest również zapewnienie dostępu do pojedynczych plików w wirtualnej maszynie (tzw. odzyskanie granularne).

Warto pamiętać o obowiązku opracowania planu działania w przypadku katastrofy, takiej jak awaria serwera lub macierzy dyskowej przechowującej obrazy wirtualnych maszyn. Plan powinien zawierać wiele ustaleń organizacyjnych, m.in. podział obowiązków, informacje o sposobie zabezpieczania i odzyskiwania danych oraz kolejność odzyskiwania poszczególnych maszyn. Ułatwieniem jest fakt, że maszyny mogą być przywrócone do pracy na dowolnym serwerze z zainstalowanym hypervisorem. Niektórzy producenci oprogramowania zabezpieczającego zapewniają uruchomienie wirtualnej maszyny bezpośrednio z kopii zapasowej na serwerze backupu i równoczesne przywracanie jej do środowiska podstawowego.

Do backupu wirtualnych maszyn świetnie nadają się serwery plików NAS. Nie muszą mieć szczególnie dużej wydajności, a przy dzisiejszej monstrualnej pojemności dysków, przekraczającej 10 TB, nie ma też problemu z zapewnieniem miejsca na kopie. Warto tylko, żeby dostawca rozwiązania miał certyfikat od wykorzystywanego w firmie producenta środowiska wirtualizacyjnego, bo zagwarantuje to spójność zabezpieczanych danych. Niektórzy producenci serwerów NAS zapewniają także instalowane w nich oprogramowanie do backupu wybranych zasobów i przesyłania do chmury.

 

Zdaniem integratora

Radosław Kluczny, dyrektor handlowy, Alterkom

Przed wdrożeniem rozwiązania do ochrony środowiska wirtualnego warto skontaktować się z jego producentem, który najlepiej zna specyfikę produktu i wskaże ewentualne kryteria doboru, szczególnie jeśli oczekiwania klientów integratora są nietypowe. Każdy producent stosuje własne rozwiązania u siebie i, siłą rzeczy, także musiał je odpowiednio zabezpieczyć. Dlatego wie, jak zrobić to najskuteczniej. Kolejnym krokiem powinna być rozmowa z producentami rozwiązań ochronnych, ale tylko z takimi, którzy są certyfikowanymi partnerami technicznymi producenta, którego rozwiązanie jest wykorzystywane przez klienta.