Virtualizace a otázka bezpečnosti (Komentář)

Nezřídka jsem odpovědí na svůj monolog pojednávající o určitém tématu dostal jen nechápavé pohledy lidí, kteří očividně netušili, o čem hovořím. O dva roky později se to samé téma, onehdy opředené tajemstvím, dostává na scénu a najednou se nemluví o ničem jiném. To je i případ virtualizace bezpečnosti. Doposud se tato dvě slova omílala velice často – snad každý člověk již slyšel o virtualizaci serverů či úložného prostoru a otázku bezpečnosti v praxi přeci řešíme úplně všichni – zřídkakdy se však vyskytovala ve spojení.



Nezřídka jsem odpovědí na svůj monolog pojednávající o určitém tématu dostal jen nechápavé pohledy lidí, kteří očividně netušili, o čem hovořím. O dva roky později se to samé téma, onehdy opředené tajemstvím, dostává na scénu a najednou se nemluví o ničem jiném. To je i případ virtualizace bezpečnosti. Doposud se tato dvě slova omílala velice často – snad každý člověk již slyšel o virtualizaci serverů či úložného prostoru a otázku bezpečnosti v praxi přeci řešíme úplně všichni – zřídkakdy se však vyskytovala ve spojení.

To je možná tak trochu škoda, neboť bezpečnost může virtualizací získat mnohé, a naopak, virtualizace může absencí bezpečnostních mechanismů mnoho ztratit. A co že to vlastně mám na mysli, když říkám virtualizace bezpečnosti? Zjednodušeně jde o bezpečnost s abstrahovanou fyzickou úrovní. Jednoduchým příkladem budiž rozdělení jediného fyzického firewallu na několik virtuálních, které pak slouží různým separátním doménám či aplikacím.

Problém - a v podstatě také důvod, proč se daná tematika dnes tolik řeší – nástáva, když se virtualizace serverů převádí z vývojové fáze do produkčního prostředí. V něm pak spousta z předtím úžasně znějících nápadů naráží na výhrady ze strany pracovníků zabývajících se bezpečností a auditorů. „Říkáte, že jste vzali trojvrstvou architekturu i s firewally a sjednotili ji do jediné oblasti serverových zdrojů? Jak nyní přepínáte a kontrolujete jednotlivé virtuální stroje?“ Faktem je, že brzy zjistíte, že je váš sen o on-demand dynamických serverech zprostředkovaných virtualizací díky neflexibilnímu fyzickému zabezpečení pouhou utopistickou vizí.

To může vést k úvahám: Zmaří otázka bezpečnosti vaši obchodní flexibilitu a zabrání vzniku nových výpočetních paradigmat? Přijdete snad na zcela nový, dynamický způsob zabezpečení svých systémů? Virtualizace bezpečnosti pojednává tedy především o rozřešení problému jak učinit bezpečnostní infrastrukturu (hardware, software i kombinaci obojího) natolik flexibilní, aby byla schopna koexistovat a prospívat prostředí virtualizovaných datových center.

Dynamicky alokované virtuální servery vyžadují dynamicky alokované zabezpečení. Může přitom jít například o software na hypervisoru virtuálního stroje či určitou kombinaci softwarového a hardwarového řešení. Nikdy však na virtualizovaná prostředí nemůžete chtít aplikovat okruh fyzických zařízení obklopující virtualizované servery a doufat, že máte po problémech. Pro společnosti zabývající se virtualizací bude letošní rok 2007 rokem bezpečnosti. A nezáleží na tom, zda se tak stane, protože bude vytvořeno zcela nové paradigma a úsek bezpečnostního trhu, nebo problém zabezpečení virtualizovaných prostředí firmy hromadně poznamená. Je tu však ještě jedna alternativa – možná se při povídání o tomto tématu budu ještě rok či dva střetávat jen s nechápavými pohledy svých posluchačů. Čas ukáže...










Komentáře