Nedávno poskytl analytik Gartneru Neil MacDonald, jenž se zaměřuje právě na otázky zabezpečení a je mimo jiné obhájcem změn při vývoji základních síťových technologií, rozhovor pro IDG. V něm se zamýšlel nad budoucností ochrany dat ve virtualizovaném prostředí.
Aby se těmto prostředím dodavatelé bezpečnostních produktů přizpůsobili , někteří z nich — přicházejí se softwarovými řešeními, o kterých prohlašují, že jsou optimalizované pro specifická prostředí jako například VMware.
Bylo však překvapivé, že si představitelé společnosti McAfee při ohlašování jejího nejnovějšího softwaru MOVE (Management for Optimized Virtual Environments) Antivirus 2.5 stěžovali, že přístup bez agentů není úplně vhodný.
Přitom jejich nový produkt podporuje ochrannou technologii VMware vShield, která ale řešení bez agentů vyžaduje.
Podle specialistů McAfee by bylo vhodné, kdyby VMware v případě vShieldu své názory na řešení bez agentů změnil. Zmínění experti dokonce tvrdí, že lepším řešením by bylo použití agentských systémů. Zdá se, že v této oblasti zabezpečení dat v současnosti panuje určité napětí. O co tedy vlastně jde?
S agenty, či bez nich?
Představitelé McAfee tvrdí, že bezagentový přístup není tak dobré řešení jako spouštění těchto softwarových modulů uvnitř virtuálního stroje (VM). A něco pravdy na tom zřejmě je.
Ochrana proti přetečení bufferu a ochrana paměti – všechny tyto záležitost probíhající uvnitř VM nelze bez agenta zvládnout.
Není totiž k dispozici žádná behaviorální heuristika. Je možné otevřít soubor a zavřít soubor. Pomocí produktu MOVE 2.5 ale McAfee přidává i zpracování bez agentů. Samo McAfee pitom podporuje obě řešení – s agenty i bez agentů – a je vůči hypervizoru neutrální.
Jaký je tedy problém ohledně používání antivirového softwaru s agenty ve virtuálních strojích?
Říká se tomu „A/V bouře“ a vytváří to další datové přenosy. Předpokládejme, že je vše nastaveno ke spuštění v poledne. Jako správce můžete řekněme nastavit spouštění „náhodně mezi 12. a 14. hodinou.“
Je to sice řešení, ale není zdaleka nejlepší. Proč opakovat skenování stejné bitové kopie? Rozhraní API VMwaru vám umožní skenovat jen jednou. Kaspersky to podporuje, ale Symantec zatím ne – jejich Symantec Endpoint Protection 12 používá jinou architekturu.
Práce VMwaru s bezpečnostními rozhraními vShield API se v průběhu let ukazuje jako poněkud diskutabilní. Vypadá to, jako by VMware měl zájem spolupracovat pouze s konkrétními dodavateli zabezpečení.
VMware vytvořil první sadu rozhraní API na vlastní pěst, aniž by to s dodavateli bezpečnostních produktů nějak komplexně řešil. Spolupracoval však úzce s firmou Trend Micro.
Výsledný model vzniklý jejich kooperací je inovativní a pro prvně jmenovanou firmu to dopadlo dobře — uzavřela spoustu dohod.
Rozhraní API navržená od zeleného stolu obvykle nefungují úplně dobře. Díky zaměření na několik dodavatelů VMware dosáhl většího úspěchu.
Existují výhody i nevýhody výše popisovaného přístupu bez agenta. Mezi pozitiva patří to, že se objevila off-line ochrana VM s lepším využitím zdrojů. Nevýhodou je ale potřeba rozšíření hypervizoru, je to řešení vhodné jen pro VMware, je nezbytné vlastnit příslušné licence, funguje to jen pro Windows, není to zcela „bez agenta“ a k dispozici je jen skenování proti malwaru.
A touto cestou nelze zajistit prevenci narušení založenou na hostiteli (HIPS) ani monitorování chování.
Virtualizované firewally
Rozhraní vShield API zajišťuje VMwaru schopnosti obvyklé u firewallu. V současné době podniky používají oddělené síťové rozhraní pro každou zátěž. Důvěřujete VMwaru v oblasti separace paměti, ale síťové přenosy ale přece jen raději zasíláte odděleně na fyzické firewally.
Je proto dalším logickým krokem virtualizace firewallu? Ten od VMwaru by to mohl dokázat. Základní segmentaci zvládá dobře.
Firmy Check Point, Juniper a Cisco už mají avé virtuální firewally. Firewall Check Pointu umí funkci IPS, kterou VMware nemá. Ten ale pro tuto funkcionalitu využívá partnerství s třetími stranami.
Ve virtualizaci to všechno znamená vzít kontrolu zabezpečení a vtáhnout ji dovnitř. Otázkou je, kdo je za to odpovědný. Musíte udržovat rozdělení povinností.
VMware má přístup na základě rolí, který k tomu lze použít. Stejně tak třeba řešení od firmy HyTrust.
Nemusíme nutně chtít, aby se o všechno starala jedna osoba – síťový firewall může mít na starost správce zabezpečení a zbytek administrátor VMwaru.
Ale budoucnost je hybridní – některé firewally budou virtuální a jiné hardwarové. Například firmu Palo Alto Networks znevýhodňuje, že hojně využívá proprietární hardware. Firewall této firmy v současné době není virtualizovaný, ale jednou, jak potvrzují její představitelé, bude.
PŘEDPLATNÉ
ČLÁNKY DO MAILU