SECURITY FOR VIRTUALIZATION: W POSZUKIWANIU RÓWNOWAGI

Transkrypt

1 SECURITY FOR VIRTUALIZATION: W POSZUKIWANIU RÓWNOWAGI Połączenie ochrony i wydajności w środowisku wirtualnym BEZPIECZEŃSTWO kaspersky.pl/beready WYDAJNOŚĆ

2 Wprowadzenie W końcu to wszystko są serwery - i ktoś kiedyś będzie chciał się do nich włamać. John Sawyer Zgodnie z ankietą przeprowadzoną przez firmę Forrester, 85% przedsiębiorstw albo już zaimplementowało wirtualizację serwerów, albo jest zdecydowane, by to zrobić w niedalekiej przyszłości.*1 Badania prowadzone przez czołowego analityka rynku, firmę Gartner, prognozują lawinowy rozwój wirtualizacji, przepowiadając, że szacunkowo 50% serwerów korzystających z architektury x86 zostanie zwirtualizowanych z końcem 2012 r.* 2 Jednak, mimo że popularność wirtualizacji wzrosła, moda na zabezpieczanie środowisk wirtualnych pozostaje w tyle. W kolejnym raporcie Gartner twierdzi, że w roku 2012, 60% wirtualnych maszyn będzie o wiele słabiej chronionych, niż fizyczne serwery, które zostały tymi maszynami zastąpione * 3. Zagrożenia bezpieczeństwa głównie ze strony szkodliwego oprogramowania stają się większe niż kiedykolwiek wcześniej. John Sawyer z wpływowego portalu technologicznego Tech Center podkreśla: W końcu to wszystko są serwery i ktoś kiedyś będzie chciał się do nich włamać. * 4. Więc jakie przyczyny leżą za pozornym paradoksem maszyn, które chcemy zwirtualizować, ale nie chcemy ich chronić? Przeświadczenie, że maszyna wirtualna jest bardziej bezpieczna niż maszyna fizyczna. Problemy z wydajnością i ochroną, narastające z używania tradycyjnych opartych na agencie rozwiązań antywirusowych, operujących w środowisku wirtualnym. Nieodpowiednia ochrona i zawiłości w zarządzaniu rozwiązaniami antywirusowymi niekorzystającymi z agenta. Jasne jest, że jak dotąd opcje zabezpieczania maszyn wirtualnych przed szkodliwym oprogramowaniem ocierają się o nieszczęśliwy kompromis pomiędzy ochroną, wydajnością i funkcjami zarządzania. 1 CISO: Przewodnik po ochronie wirtualizacji, Forrester Research, Inc. (styczeń 2012 r.) 2 i 3 Gartner: Ochrona wirtualizacji zajmie trochę czasu, SCMagazine.com (marzec 2012 r.) 4 Tech Insight: Ochrona wirtualizacji serwerów, John Sawyer - Darkreading.com (maj 2009 r.) 1

3 Bezpieczeństwo powoduje odwrócenie korzyści płynących z wirtualizacji 1.0 Wyeliminowanie namnażania się serwerów poprzez wirtualizację maszyn fizycznych może przynieść ogromne korzyści biznesowe. Kilka kluczowych przykładów obejmuje: Redukcję kosztów: Wirtualizacja obniża ogólny koszt utrzymania sprzętu, eliminuje konieczność modernizacji urządzeń fizycznych, redukuje zużycie przestrzeni, pobór mocy itd. Szybkość: Wirtualizacja zwiększa szybkość funkcjonowania infrastruktury IT poprzez dostarczanie na żądanie wymaganej mocy obliczeniowej. Brak przestojów i elastyczność mogą ostatecznie doprowadzić do zwiększenia konkurencyjności całego przedsiębiorstwa. Stabilność: Prostsze, ustandaryzowane, redundantne systemy prowadzą do większej stabilności i zapewniają lepszą dostępność systemu, pozwalając pracownikom na większą produktywność, kiedykolwiek i gdziekolwiek pracują. Scentralizowane zarządzanie: Systemy wirtualne mogą być tworzone od ręki, zarządzane i konfigurowane centralnie co niesie za sobą redukcję kosztów administracyjnych. Migracje systemów operacyjnych: W środowiskach wirtualnych migracje systemów są łatwiejsze, szybsze i ostatecznie bezpieczniejsze. Niestety, wiele firm porzuca korzyści płynące z wirtualizacji, ponieważ nie potrafią one prawidłowo zaimplementować rozwiązania bezpieczeństwa do ochrony środowiska wirtualnego przed utratą danych i różnymi formami cyberprzestępczości. Faktem jest również, że implementacja niektórych rozwiązań antywirusowych może przepełnić infrastrukturę wirtualną, zmniejszyć współczynnik konsolidacji i ograniczyć stopę zwrotu inwestycji (ROI). Zatem, co może zrobić roztropny kierownik działu IT w sprawie utrzymania wydajnego, dobrze zabezpieczonego środowiska wirtualnego pracującego cały czas i przynoszącego same korzyści biznesowe? W niniejszym artykule przedyskutujemy trzy aspekty ochrony środowisk wirtualnych i ich wpływ na potencjalny czynnik ROI. Podamy również kilka porad, jak w najlepszy sposób chronić swoje środowiska wirtualne, fizyczne i mobilne. 2

4 Opcja BEZ OCHRONY 2.0 W przeciągu ostatnich 15 miesięcy zaobserwowaliśmy rzeczywistą koncentrację uwagi na korporacjach, których cenne dane mogą zostać spieniężone. Cybergangi bezsprzecznie celują w przedsiębiorstwa. Roel Schouwenberg, starszy analityk zagrożeń z Kaspersky Lab Istnieje popularny mit, że maszyny wirtualne są znacznie bardziej bezpieczne niż komputery fizyczne. Prawda jest taka, że może i maszyny wirtualne są mniej podatne na zagrożenia ze strony programów typu spyware czy ransomware, to jednak padają ofiarą szkodliwych załączników w wiadomościach , ataków drive-by download, trojanów, botnetów, a nawet ukierunkowanych ataków z kategorii spear-phishing. Zagrożenia te utrzymują się gdy system wirtualny jest aktywny i używany. Według Narodowego Instytutu Standardów i Technologii: wirtualizacja dodaje nowe warstwy technologiczne, co może zwiększać ciężar zarządzania ryzykiem poprzez konieczność dodatkowej kontroli bezpieczeństwa. Połączenie wielu systemów na jednym komputerze fizycznym może mieć poważne konsekwencje, jeśli wystąpi naruszenie bezpieczeństwa. Ponadto, zwirtualizowane systemy, które polegają na wspólnej infrastrukturze zasobów, mogą stworzyć bardzo niebezpieczny wektor ataku, w którym pojedyncza zagrożona maszyna wirtualna ma wpływ na całą infrastrukturę. * 5 Istnieje dodatkowe ryzyko: Infekcja jednej maszyny wirtualnej ma zdolność przenoszenia się na magazyny danych, z których korzystają inne maszyny wirtualne, co skutkuje rozszerzeniem się infekcji i utratą kolejnych systemów i danych. Jedna maszyna wirtualna może zostać użyta do podsłuchiwania ruchu sieciowego na innej maszynie wirtualnej. Kiedyś szkodliwe oprogramowanie było tworzone z pominięciem systemów wirtualnych. Teraz twórcy szkodliwego oprogramowania produkują swoje działa zarówno z myślą o maszynach fizycznych, jak i wirtualnych. Niektóre szkodliwe programy są w stanie przetrwać kasację nietrwałej maszyny wirtualnej i powrócić, gdy maszyna wirtualna zostanie reaktywowana. Ponadto, cyberprzestępcy zaczęli przenosić swoją uwagę z konsumentów na korporacje. Roel Schouwenberg, starszy analityk zagrożeń, Kaspersky Lab, komentuje: W przeciągu ostatnich 15 miesięcy zaobserwowaliśmy rzeczywistą koncentrację uwagi na korporacjach, których cenne dane mogą zostać spieniężone. Cybergangi bezsprzecznie celują w przedsiębiorstwa. Ilość zagrożeń wywołanych przez szkodliwe oprogramowanie rośnie w alarmującym tempie. Na początku 2011 r. firma Kaspersky Lab czołowy producent oprogramowania antywirusowego - posiadała w swojej głównej bazie danych 35 milionów próbek zagrożeń. Rok później zawartość tej bazy niemalże podwoiła się i wynosi 67 milionów egzemplarzy. Kaspersky Lab obserwuje średni dzienny przyrost liczby zagrożeń o sztuk. Obecnie, jedno na czternaście pobrań materiału z sieci niesie ze sobą szkodliwy program. Zarówno maszyny fizyczne, jak i wirtualne, są jednakowo podatne. Krótko mówiąc nigdy wcześniej nie było poważniejszej potrzeby implementacji solidnej ochrony, zarówno w świecie fizycznym, jak i wirtualnym. 5 Przewodnik po ochronie technologii pełnej wirtualizacji, Narodowy Instytut Standardów i Technologii 3

5 Opcja OCHRONY OPARTEJ NA AGENCIE 3.0 Wiele organizacji zaimplementowało tradycyjną, opartą na agencie, metodologię antywirusową. Polega ona na zainstalowaniu pełnej kopii oprogramowania antywirusowego na każdej maszynie wirtualnej. Takie podejście może zapewnić niezawodną ochronę, jednak niesie ze sobą duże koszty związane z instalacją nadmiarowego oprogramowania w obrębie współdzielonego zasobu. Po zainstalowaniu oprogramowania antywirusowego i wczytaniu bazy danych sygnatur na każdej maszynie wirtualnej, nadmiarowe wymagania sprzętowe obciążające zasoby negatywnie wpływają na pamięć, przestrzeń składowania danych i dostępność procesora. Zwiększa to intensywność wykorzystania sprzętu i obniża wydajność. Konkretnymi objawami takiej sytuacji są poniższe przykłady: Rywalizacja o zasoby Burze skanowania kiedy kilka maszyn wirtualnych rozpoczyna zaplanowane skanowanie w tym samym momencie, moc obliczeniowa maszyny fizycznej może zostać wyczerpana. Skutkuje to problemami związanymi z wykorzystaniem maszyny fizycznej i jej wydajnością. Może nawet dojść do zawieszenia się maszyny fizycznej. Burze I / O podobnie jak w wypadku burz skanowania, ta sytuacja może wystąpić, gdy wszystkie maszyny wirtualne jednocześnie rozpoczną pobieranie uaktualnień dla swoich lokalnych baz sygnatur. Powielenie / nadmiarowość duplikaty baz danych sygnatur antywirusowych oraz nadmiarowe skanowanie plików niepotrzebnie wykorzystuje cenne zasoby systemowe. Natychmiastowe luki Maszyny wirtualne są często wyłączane i usypiane na długie przedziały czasu. Po ich ponownym włączeniu (wznowieniu), maszyny mogą posiadać luki bezpieczeństwa, związane z nienaprawionymi podatnościami oprogramowania i przestarzałymi bazami sygnatur wirusów. Rozprzestrzenianie się maszyn wirtualnych i widoczność bezpieczeństwa Maszyna wirtualna może zostać utworzona w kilka minut, często bez wiedzy lub zgody działu IT. W takim wypadku niejawność maszyny może stać się problemem; oprogramowanie zarządzające bezpieczeństwem nie jest w stanie chronić maszyn wirtualnych, których nie widzi. Oprogramowanie antywirusowe oparte na agentach, działające w środowiskach wirtualnych, może negatywnie wpływać na stopę zwrotu inwestycji (ROI), ponieważ obniża wydajność systemu gościa, ogranicza gęstość klastra wirtualnego i pozwala na niepotrzebne ryzyko. 4

6 Opcja OCHRONY BEZ AGENTA 4.0 Wraz ze wzrostem rynku rozwiązań wirtualizacyjnych, producenci oprogramowania antywirusowego rozpoczęli pracę nad stworzeniem produktu przeznaczonego specjalnie z myślą o środowiskach wirtualnych. Rozwiązanie wirtualizacyjne zapewnia ochronę antywirusową wielu maszyn wirtualnych. Poprawia to wydajność, przerzucając na pojedynczą maszynę operacje związane z ochroną wszystkich maszyn wirtualnych, znacznie ograniczając ogólne wykorzystanie pamięci, zwiększając możliwości sprzętu i poprawiając współczynniki konsolidacji (gęstość). Takie podejście pozbawione agenta, zapewniające wzrost zwrotu z inwestycji, wiąże się jednak z dwoma problemami, na które należy zwrócić uwagę: 1. Zawężona ochrona: Nowoczesne oprogramowanie antywirusowe oparte na agencie może posiadać moduły ochrony na wielu warstwach, np. kontrolę aplikacji, filtrowanie stron WWW, ochronę przed włamaniami, osobistą zaporę sieciową i wiele innych. Rozwiązania antywirusowe bez agenta zaprojektowane dla środowisk wirtualnych posiadają węższy zakres pracy, zapewniając jedynie tradycyjną ochronę antywirusową. Jeśli te podstawowe narzędzia są nieobecne, silnik antywirusowy powinien być jak najlepszej jakości, aby zrekompensować ograniczenia funkcji, które w innych wypadkach były by realizowane przez dodatkowe warstwy ochrony. Jeśli rozwiązanie działające bez agenta ma niskie współczynniki wykrywalności (określone przez zewnętrzną organizację testującą), klient może nieświadomie akceptować niepotrzebne ryzyko. Mogą również wystąpić okoliczności, w których systemy krytyczne wymagają aplikacji antywirusowych opartych na agencie. Tworzy to połączenie dwóch metod ochrony antywirusowej, które muszą być osobno zarządzane i utrzymywane, co zwiększa koszty administracji. 2. Zarządzanie systemami fizycznymi i wirtualnymi: Wszystkie firmy, które wdrożyły wirtualizację, utrzymują zarówno fizyczne, jak i wirtualne środowiska. Obecnie wymaga to wielu konsol zarządzających, ponieważ oba typy systemów muszą być zarządzane i utrzymywane oddzielnie. Podwaja to ilość czynności administracyjnych i zwiększa koszty. 5

7 Opcja WŁAŚCIWEJ OCHRONY 5.0 Przytłaczająca większość specjalistów IT zgadza się, że brak ochrony antywirusowej w środowiskach wirtualnych nie jest dobrą opcją. Pozostają niedoskonałe alternatywy oparte na agencie lub wirtualne rozwiązania antywirusowe. Możliwe jest również połączenie tych dwóch rozwiązań w jedno, łączące w sobie najlepsze cechy z dwóch podejść, bez wpływu na ROI i inne cele zamierzone do osiągnięcia przez wirtualizację serwera. Ta opcja właściwej ochrony zawiera wirtualne składniki integrujące się z VMware vshield Endpoint w celu zapewnienia możliwości skanowania w czasie rzeczywistym dla wszystkich systemów gości na komputerze fizycznym. vshield Endpoint korzysta na komputerze z wirtualnego składnika, łączącego się z każdą maszyną wirtualną za pośrednictwem sterownika o małym rozmiarze. Sterownik ten przerzuca procesy skanowania i aktualizacji z pojedynczych maszyn wirtualnych na składnik wirtualny. Ogranicza to problemy z wykorzystaniem zasobów komputera. Zamiast kilku oddzielnych agentów antywirusowych stosowany jest składnik wirtualny, działający jako scentralizowany hub, który obniża obciążenie komputera. Tak jak przedstawiono na ilustracji poniżej, wirtualna platforma ochrony korzystająca z VMware vshield Endpoint zawiera trzy składniki: 1. vshield Manager (moduł instalowany w obrębie funkcji Hypervisor). 2. vshield Endpoint niewielki agent, automatycznie instalowany na każdej maszynie wirtualnej w celu uchwycenia kontekstu zdarzenia dotyczącego pliku. 3. Składnik ochrony pochodzący od dostawcy rozwiązań antywirusowych i obsługujący API vshield Endpoint. VM APP OS OCHRONA BEZ AGENTA VM VM APP APP OS OS Virtual Appliance VMware vshield VMware ESXi Fizyczny host 6

8 vshield Endpoint wykorzystuje infrastrukturę vsphere 4.1 lub 5.0, aby dostarczyć pliki wybranemu składnikowi ochrony w celu ich zbadania. Metoda ta likwiduje problemy dotyczące rozwiązań opartych na agencie, jak i tych bez agenta, co przedstawiono poniżej: Zarządzanie / Widoczność / Szybkość / Elastyczność: Pojedynczy panel widoku wszystkich chronionych maszyn (zarówno wirtualnych, jak i fizycznych) pozwala na łatwe zarządzanie. Stan ochrony, zdarzenia dotyczące bezpieczeństwa i raporty są prezentowane w prosty i intuicyjny sposób. Administratorzy mają podgląd logicznej i fizycznej struktury, przypominający znajome im narzędzia do zarządzania VMware. Dzięki temu mogą efektywnie zarządzać operacjami związanymi z bezpieczeństwem i wykonywać szybkie działania, takie jak leczenie, diagnostyka czy badanie przyczyn ataku. Efektywne wykrywanie i usuwanie szkodliwego oprogramowania: Integruje technologię antywirusową z potężnymi narzędziami, takimi jak: filtrowanie treści internetowych, kontrola aplikacji, czy szczegółowa kontrola urządzeń. Wydajność: Nie występuje nadmiarowość i duplikowanie silnika antywirusowego oraz baz danych. Dodatkowo, takie rozwiązanie eliminuje problemy związane z walką o zasoby i nadmiarowością występujące w technologiach antywirusowych opartych na agencie. : Automatyczna ochrona / łatwa instalacja / zgodność: Połączenie vshield Endpoint Security i technologii ochrony antywirusowej zapewnia automatyczną ochronę środowisk wirtualnych VMware. Po zainstalowaniu na komputerze wirtualnego składnika, wszystkie maszyny wirtualne gości (bieżące lub nowotworzone) będą automatycznie chronione przy pomocy najnowszych sygnatur zagrożeń (scentralizowana baza sygnatur oznacza, że ochrona jest zawsze aktualna, bez względu na to, czy maszyna wirtualna była wcześniej wyłączona). Rozwiązuje to również wiele problemów ze zgodnością. Integracja wymuszania profili ochrony: Dzięki ścisłej integracji z platformą i narzędziami VMware, ochrona (oraz ustawienia ochrony) bez żadnych problemów przenosi się z jednego komputera na inny. Pozwala to również na elastyczną konfigurację i stosowanie różnych ustawień bezpieczeństwa na wybranych grupach maszyn wirtualnych oraz na wykonywanie szczegółowego skanowania na wybranych maszynach wirtualnych. 7

9 Wnioski 6.0 Przedsiębiorstwa zdają sobie sprawę z atrakcyjności wirtualizacji. Jednak, wyzwania wiążące się z zarządzaniem aktywami wirtualnymi zarówno tymi, które korzystają z agenta, jak i tymi, które działają bez niego - znacznie ogranicza potencjalne korzyści płynące z wirtualizacji. Właściwa ochrona pokonuje niedoskonałości dotychczasowych rozwiązań w zakresie bezpieczeństwa dzięki podejściu, które odzwierciedla samą ideę wirtualizacji elastyczności, przystosowaniu, skalowalności i możliwości szybkiego zwrotu inwestycji oraz dzięki zapewnieniu odpowiedniej równowagi między ochroną i wydajnością. Informacje o Kaspersky Lab Kaspersky Lab jest jedynym producentem, który dostarcza rozwiązanie umożliwiające zarządzanie ochroną środowisk fizycznych i wirtualnych oraz urządzeń mobilnych z jednej konsoli zarządzającej. Jest to właściwa ochrona, zoptymalizowana specjalnie dla systemów wirtualnych. Kaspersky Security for Virtualization. Poczuj prawdziwą równowagę dzięki Kaspersky Lab. kaspersky.pl/beready Przygotuj się na to, co nadejdzie. 8