Ochrana virtualizovaných sítí vyžaduje změny

Virtualizace má obrovský vliv, což vyvolává i otázky o úloze fyzických zabezpečovacích zařízení ve virtuálním světě. Podle Gartneru do roku 2015 budou zhruba 40 % bezpečnostních kontrol v podnikových datových centrech budou dělat virtualizované systémy – v roce 2010 to přitom bylo jen 5 %.

Ochrana virtualizovaných sítí vyžaduje změny


Nedávno poskytl analytik Gartneru Neil MacDonald, jenž se zaměřuje právě na otázky zabezpečení a je mimo jiné obhájcem změn při vývoji základních síťových technologií, rozhovor pro IDG. V něm se zamýšlel nad budoucností ochrany dat ve virtualizovaném prostředí.

Aby se těmto prostředím dodavatelé bezpečnostních produktů přizpůsobili , někteří z nich — přicházejí se softwarovými řešeními, o kterých prohlašují, že jsou optimalizované pro specifická prostředí jako například VMware.

Bylo však překvapivé, že si představitelé společnosti McAfee při ohlašování jejího nejnovějšího softwaru MOVE (Management for Optimized Virtual Environments) Antivirus 2.5 stěžovali, že přístup bez agentů není úplně vhodný.

Přitom jejich nový produkt podporuje ochrannou technologii VMware vShield, která ale řešení bez agentů vyžaduje.

Podle specialistů McAfee by bylo vhodné, kdyby VMware v případě vShieldu své názory na řešení bez agentů změnil. Zmínění experti  dokonce tvrdí, že lepším řešením  by bylo použití agentských systémů. Zdá se, že v této oblasti zabezpečení dat v současnosti panuje určité napětí. O co tedy vlastně jde?

S agenty, či bez nich?
Představitelé McAfee tvrdí, že bezagentový přístup není tak dobré řešení jako spouštění těchto softwarových modulů uvnitř virtuálního stroje (VM). A něco pravdy na tom zřejmě je.

Ochrana proti přetečení bufferu a ochrana paměti – všechny tyto záležitost probíhající uvnitř VM nelze bez agenta zvládnout.

Není totiž k dispozici žádná behaviorální heuristika. Je možné otevřít soubor a zavřít soubor. Pomocí produktu MOVE 2.5 ale McAfee přidává i zpracování bez agentů. Samo McAfee pitom podporuje obě řešení – s agenty i bez agentů – a je vůči hypervizoru neutrální.

Jaký je tedy problém ohledně používání antivirového softwaru s agenty ve virtuálních strojích?
Říká se tomu  „A/V bouře“ a vytváří to další datové přenosy. Předpokládejme, že je vše nastaveno ke spuštění v poledne. Jako správce můžete řekněme nastavit spouštění „náhodně mezi 12. a 14. hodinou.“

Je to sice řešení, ale není zdaleka nejlepší. Proč opakovat skenování stejné bitové kopie? Rozhraní API VMwaru vám umožní skenovat jen jednou. Kaspersky to podporuje, ale Symantec zatím ne – jejich Symantec Endpoint Protection 12 používá jinou architekturu.

Práce VMwaru s bezpečnostními rozhraními vShield API se v průběhu let ukazuje jako poněkud diskutabilní. Vypadá to, jako by VMware měl zájem spolupracovat pouze s konkrétními dodavateli zabezpečení.

VMware vytvořil první sadu rozhraní API na vlastní pěst, aniž by to s dodavateli bezpečnostních produktů nějak komplexně řešil. Spolupracoval však úzce s firmou Trend Micro.

Výsledný model vzniklý jejich kooperací je inovativní a pro prvně jmenovanou firmu to dopadlo dobře — uzavřela spoustu dohod.

Rozhraní API navržená od zeleného stolu obvykle nefungují úplně dobře. Díky zaměření na několik dodavatelů VMware dosáhl většího úspěchu.

Existují výhody i nevýhody výše popisovaného přístupu bez agenta. Mezi pozitiva patří to, že se objevila off-line ochrana VM s lepším využitím zdrojů. Nevýhodou je ale potřeba rozšíření hypervizoru, je to řešení vhodné jen pro VMware, je nezbytné vlastnit příslušné licence, funguje to jen pro Windows, není to zcela „bez agenta“ a k dispozici je jen skenování proti malwaru.

A touto cestou nelze zajistit prevenci narušení založenou na hostiteli (HIPS) ani monitorování chování.



Úvodní foto: © Tijana - Fotolia.com



Vyšlo v Computerworldu 20/2012
Celé toto vydání lze zkoupit elektronicky








Komentáře