Skuteczne zabezpieczenie środowiska wirtualnego ma jeszcze większe znaczenie niż fizycznego. Ze światowego badania przeprowadzonego przez Kaspersky Lab w połowie 2015 r. wynika, że duże firmy wydają średnio ponad 800 tys. dol. na usuwanie szkód powstałych na skutek cyberataku na ich zwirtualizowane środowiska. To dwa razy więcej niż w przypadku incydentów obejmujących jedynie infrastrukturę fizyczną. Co istotne, autorzy raportu wskazują, że w podobnej sytuacji są małe i średnie firmy. Statystyczną wartość szkody w tej grupie w wyniku ataku na infrastrukturę fizyczną szacuje się na ponad 26 tys. dol. Jeśli natomiast incydent naruszenia bezpieczeństwa dotyczył infrastruktury wirtualnej, koszty wzrastają do blisko 60 tys. dol. Tak duża różnica w wysokości strat to efekt coraz częstszego wykorzystywania środowisk wirtualnych do najważniejszych firmowych operacji. Aż 62 proc. ankietowanych przedsiębiorstw jest skłonnych przenieść do maszyn wirtualnych najbardziej istotne procesy biznesowe.

Udany atak na firmową infrastrukturę wirtualną, z większym prawdopodobieństwem niż ten dotyczący tylko fizycznej, będzie skutkował chwilową utratą ważnych danych, przerwą w działaniu kluczowych usług czy też uszczerbkiem na reputacji. Poza tym, jak twierdzą analitycy Kaspersky Lab, firmy usuwające skutki takich ataków wydają znacznie więcej na konsultantów IT (a także na prawników). Ten fakt może wskazywać, że informacje o przypadkach ataków na infrastrukturę wirtualną częściej przedostają się do ich klientów i partnerów czy też do publicznej wiadomości.

Opisane czynniki pokazują, jak ważna jest ochrona środowisk wirtualnych. Tymczasem firmom brakuje odpowiedniej wiedzy, aby dokonać świadomego wyboru zabezpieczeń optymalnie dostosowanych do ich potrzeb. Zaledwie 53 proc. przedsiębiorstw ankietowanych przez Kaspersky Lab odpowiedziało, że obawia się o bezpieczeństwo swoich środowisk wirtualnych, a połowa deklaruje dobre zrozumienie zagrożeń związanych z hypervisorami, których używają. Jednocześnie 56 proc. pytanych uważa, że są w pełni przygotowani do zwalczania tych zagrożeń. Jednak może to być mylne przekonanie. Okazuje się, że zaledwie 27 proc. firm stosuje zabezpieczenia zaprojektowane specjalnie z myślą o środowiskach wirtualnych. Dlatego rolą integratora jest więc również doradztwo w wyborze właściwych rozwiązań.

 
Trzy spojrzenia na zabezpieczenia

Niewiele firm jest świadomych, czym różnią się oferowane obecnie rozwiązania ochronne przeznaczone dla infrastruktury wirtualnej. Przede wszystkim większość nie zdaje sobie sprawy, że można się spotkać z trzema różnymi koncepcjami jej zabezpieczania. Produkty do ochrony maszyn wirtualnych (serwerów i desktopów) funkcjonują według jednego z następujących schematów działania: użycie kompletnego agenta, wykorzystanie tzw. lekkiego agenta lub wersja bezagentowa.

>> Producenci o ochronie środowisk wirtualnych: szanse i wyzwania

 

• Bartosz Prauzner-Bechcicki, dyrektor ds. sprzedaży, Kaspersky Lab

Jednym z podstawowych wyzwań związanych z ochroną środowisk wirtualnych jest dobór odpowiedniego rozwiązania. Zastosowanie systemów zaprojektowanych do pracy w środowiskach fizycznych najczęściej prowadzi do marnowania zasobów i olbrzymich spadków wydajności. Koszty mogą przewyższyć korzyści, a jedna z najważniejszych zalet wirtualizacji – zmniejszenie wydatków i usprawnienie infrastruktury IT – zostanie zniwelowana. Dlatego ważne jest, aby poświęcić wystarczająco dużo uwagi sprawom bezpieczeństwa w środowisku wirtualnym i dokładnie rozważyć zastosowanie przeznaczonych do tego rozwiązań.

 

• Tomasz Krajewski, Presales Manager, Eastern Europe, Veeam

Backup środowisk wirtualnych daje partnerom różne możliwości sprzedażowe. Jedną z nich jest oferowanie przez integratorów usług Backup as a Service  oraz Data Recovery as a Service z wykorzystaniem własnego centrum danych. Stosowany w tym przypadku model biznesowy umożliwia uzyskiwanie cyklicznych przychodów zarówno od dotychczasowych, jak i nowych klientów.

 

 

• Paweł Korzec, Systems Engineering Manager Eastern Europe, VMware

Niewielu naszych partnerów oferuje integrację różnych rozwiązań ze sobą. Zazwyczaj osobno wdraża się wirtualizację, osobno sieć i osobno zabezpieczenia. Dzisiaj połączenie rozwiązań z różnych zakresów technologicznych ze sobą jest niezbędne, aby zwiększyć poziom bezpieczeństwa. Zintegrowane usługi związane z zabezpieczeniem maszyn wirtualnych, to duża szansa na dodatkowy zarobek.

 

 

• Bogusz Błaszkiewicz, Senior Systems Engineer, NetApp

Backup ma kosztować jak najmniej, zajmować jak najmniej miejsca i trwać jak najkrócej, a także umożliwiać szybkie i spójne odtwarzanie danych w krytycznym momencie. To wiele wyzwań naraz, a jedynym rozwiązaniem wydaje się być chmura. Należy przy tym wskazać, że ważna jest elastyczność i możliwość przenoszenia danych między różnymi rozwiązaniami.

 

 

• Ryszard Regucki, Channel Sales Director EAST Europe, Commvault

Wydajny backup i wysoka dostępność środowisk zwirtualizowanych to bardzo ważny temat dla większości klientów. Praktycznie w każdym projekcie mamy do czynienia z kopiami zapasowymi maszyn wirtualnych. To dynamicznie  rozwijający się obszar – w zależności od klienta od 30 do 80 proc. wszystkich chronionych danych pochodzi ze środowisk wirtualnych. Ich zabezpieczanie to dla integratorów pole do świadczenia usług nie tylko klasycznego backupu, ale również przywracania systemów IT po awarii.

 

Do pierwszej kategorii zaliczają się rozwiązania wykorzystujące oprogramowanie instalowane w każdej maszynie wirtualnej, która ma być objęta ochroną. Takie podejście wiąże się ze znacznym obciążeniem fizycznych serwerów, ale daje użytkownikowi pełny zestaw funkcji (antywirus, zapora sieciowa, host HIPS itd.).

Jednak wykorzystywanie przez agentów znacznych zasobów obliczeniowych i pamięci operacyjnej powoduje, że spada liczba maszyn wirtualnych, które można uruchomić na jednym serwerze fizycznym, a to negatywnie wpływa na zwrot z inwestycji w zakresie wirtualizacji. Wpływ ten jest tak duży, że większość firm go nie zaakceptuje, choć tego typu rozwiązania ochronne zapewniają solidne zabezpieczenie maszyn wirtualnych.

Integrator może jednak polecać zastosowanie systemów z kompletnym agentem. Sprawdzą się, gdy firma przeniosła przestarzałe systemy z serwerów fizycznych do wirtualnych, korzysta z niewielkiej liczby maszyn wirtualnych i nie ma planów wdrażania nowych lub chce zabezpieczać jednym rozwiązaniem całą infrastrukturę IT (opłacalne przy dużej skali). Problemy z wydajnością tradycyjnych, agentowych zabezpieczeń środowisk wirtualnych doprowadziły do powstania rozwiązań bezagentowych. Oddzielny serwer (wirtualny lub fizyczny) chroni pozostałe maszyny, wykorzystując specjalne interfejsy API wbudowane w hypervisor.

Zaletą takiego rozwiązania jest niewielkie zapotrzebowanie na zasoby, a także uniknięcie skokowego wzrostu obciążenia serwerów, kiedy oprogramowanie ochronne w wielu punktach końcowych pobiera jednocześnie aktualizacje czy nowe definicje wirusów. Nie ma również luki w zabezpieczeniach, która może powstawać podczas tworzenia nowej maszyny wirtualnej, konkretnie do momentu zainstalowania na niej oprogramowania ochronnego.

Wadą rozwiązań bezagentowych jest niewielka liczba platform wirtualizacyjnych, z którymi współpracują, oraz ograniczony zbiór funkcji ochronnych, co stawia użytkowników przed dylematem: zmniejszyć obciążenie, ale kosztem rezygnacji z niektórych mechanizmów zabezpieczających czy korzystać z nich dzięki wdrożeniu obciążającego system rozwiązania agentowego. Z tego względu bezagentowe rozwiązania sprawdzają się tam, gdzie priorytetem jest optymalizacja wydajności aplikacji i wysoki współczynnik konsolidacji. Ryzyko należy jednak dokładnie ocenić.

XenServer i KVM w natarciu

Warto przyjrzeć się sytuacji na rynku platform wirtualizacyjnych, aby poznać przyszłe potrzeby klientów w zakresie bezpieczeństwa. Obecnie najczęściej używane są produkty Vmware i Microsoftu, ale najszybciej rośnie zainteresowanie oprogramowaniem Citriksa. Jeśli jednak zsumować odsetek firm zainteresowanych wersjami komercyjnymi i open source platformy KVM, okaże się, że firmy najczęściej zamierzają wdrażać w najbliższych dwóch latach właśnie to oprogramowanie. Jeśli deklaracje firm zebrane przez Kaspersky Lab znajdą pokrycie w rzeczywistości, to w najbliższych latach KVM stanie się głównym konkurentem obecnych liderów rynku.

 

Na rynku są również rozwiązania, które wykorzystują tzw. lekkiego agenta, czyli łączą cechy systemów z pełnym agentem i bezagentowych. Takie połączenie sprawdzi się w większości środowisk wirtualnych. Oddzielny serwer odpowiada za realizację zadań, które można scentralizować, a agent w maszynie wirtualnej umożliwia korzystanie z zaawansowanych funkcji i zabezpieczeń, takich jak HIPS lub lokalny firewall. Zapewnia też większą kontrolę nad infrastrukturą, m.in. przez blokowanie dostępu do wybranych aplikacji czy stron internetowych. Ten trzeci rodzaj rozwiązań zabezpieczających umożliwia znalezienie równowagi między wydajnością infrastruktury wirtualnej a potrzebą zapewnienia jej bezpieczeństwa. Systemy z lekkim agentem oferują więcej funkcji niż bezagentowe, a jednocześnie cechują się stosunkowo niskim wpływem na wydajność serwerów. Ale wadą tego typu rozwiązań jest fakt, że zazwyczaj do zarządzania nimi trzeba używać oddzielnej konsoli.

Serwery wirtualne można zabezpieczać podobnie jak fizyczne: aktualizować oprogramowanie, używać antywirusów, stosować szyfrowanie zapobiegające wyciekowi danych. Jest jednak istotna różnica: w środowisku wirtualnym zasoby – moc obliczeniowa, twarde dyski, karty sieciowe – są współużytkowane. Jest to możliwe, ponieważ między maszynami wirtualnymi a sprzętem istnieje dodatkowa warstwa programowa, która służy m.in. do kontrolowania dostępu do zasobów. Jest to również miejsce, w którym można umieścić zabezpieczenia stosowane dotychczas na poziomie systemu operacyjnego. Przemawia za tym np. kwestia wydajności.

 Oprogramowanie antywirusowe czy zapora sieciowa działające w każdej maszynie wirtualnej to jednak duże obciążenie. Część zabezpieczeń można zastąpić jedną kopią działającą na poziomie hypervisora lub wybrać rozwiązanie wykorzystujące lekkiego agenta.

Nie można jednak zapominać, że mechanizmy bezpieczeństwa powinny działać na kilku poziomach: sieci, maszyn wirtualnych oraz samych aplikacji. Dzięki temu atak nie spowoduje złamania całego systemu bezpieczeństwa. W przypadku zapór sieciowych typową praktyką jest ich instalowanie w systemie operacyjnym. Jednak po włamaniu do maszyny wirtualnej i uzyskaniu dostępu administracyjnego atakujący może zmienić reguły firewalla. Dlatego lepiej skonfigurować firewall na poziomie sieci, w wirtualnej karcie sieciowej. Haker nie ma wówczas dostępu do tej warstwy konfiguracji.

 

Wirtualny backup

Oprócz rozwiązań ochronnych dla środowisk wirtualnych powstały też specjalne systemy backupu. Ich wyróżnikiem jest bezagentowa architektura i działanie na poziomie hypervisora. Trwa dyskusja, które rozwiązania są lepsze: specjalistyczne przeznaczone do ochrony maszyn wirtualnych czy te ogólnego przeznaczenia. To co jest optymalne, zależy od konkretnych potrzeb. Firmom korzystającym z klasycznego środowiska aplikacyjnego, rozproszonych danych i maszyn wirtualnych, warto polecać rozwiązania kompleksowe, które mogą zabezpieczyć wszystkie rodzaje danych. Natomiast w przypadku klientów dysponujących tylko lub prawie tylko środowiskiem wirtualnym, w pierwszej kolejności należy zaproponować rozwiązania wyspecjalizowane.

 

Zakup oprogramowania do backupu to początek tego, co integrator może zaproponować klientom. Kolejne to usługi wdrożeniowe, a – co najważniejsze – zapewnienie właściwego zarządzania backupem, a nierzadko także sprzętem, jeśli regulacje wewnętrzne wymagają przechowywania kopii zapasowych również na specjalnym urządzeniu w przedsiębiorstwie. Ilość danych, pojemność dysków twardych przeznaczonych do ich przechowywania czy też generalnie wymagania firm rosną w postępie geometrycznym i stwarzają szerokie pole do popisu dla firm IT.

Warto wskazać rosnące zainteresowanie backupem w chmurze. Według IDC aż 46 proc. użytkowników środowisk wirtualnych deklaruje, że potrzeba przechowywania kopii zapasowych to podstawowy powód korzystania z chmury. Z kolei  MarketsandMarkets prognozuje, że wartość światowego rynku Disaster Recovery as a Service zwiększy się z 1,4 mld dol. w 2015 r. aż do 11,9 mld dol. w 2020. To oznacza średnie roczne tempo wzrostu wynoszące prawie 53 proc. Jednym z głównych czynników napędzających rozwój tego segmentu rynku są wysokie koszty wdrażania klasycznych rozwiązań Disaster Recovery w lokalnym, firmowym środowisku IT. Wymagają one wysokich nakładów początkowych i stałych wydatków na utrzymanie sprzętu oraz sieci. Problem jest szczególnie dotkliwy dla małych i średnich firm, więc to do nich warto kierować ofertę usług DRaaS. Interesującą propozycją dla klientów może też być oprogramowanie, które nie tylko zintegruje się z systemem wirtualnym i spójnie wykona całą kopię zapasową, ale będzie się komunikować z rozwiązaniem chmurowym i ten backup można będzie przesłać do chmury. Trzeba przy tym pamiętać, że firmy mają poważne obawy przed korzystaniem z outsourcingu w zakresie tworzenia kopii zapasowych. Powoduje on bowiem, że ciągłość działania użytkownika zależy od rzetelności dostawcy usługi. Do tego dochodzą kwestie zgodności z regulacjami prawnymi odnośnie do ochrony danych (szyfrowanie, lokalizacja geograficzna chmurowej serwerowni itd.).

 

Kontenery też potrzebują zabezpieczeń

Trendem, który dość szybko się nasila, jest stosowanie tzw. kontenerów, np. oprogramowania Docker. Znajdujące się w sprzedaży rozwiązania umożliwiające korzystanie z kontenerów są jeszcze zbyt młode, żeby mieć istotny udział w rynku wirtualizacji. Jest jednak wielce prawdopodobne, że za dwa lub trzy lata trend ten wywrze duży wpływ na środowiska IT. Niektórzy analitycy przewidują nawet, że popularyzacja kontenerów doprowadzi do marginalizacji serwerów wirtualnych. Bez względu na to, czy tak się stanie, rozwiązaniami wykorzystującymi kontenery warto zainteresować się już dzisiaj. Kiedy zyskają większą popularność, integrator będzie już przygotowany, aby zapewnić swoim klientom bezpieczeństwo wykorzystywanych przez nich kontenerów.