Основные риски виртуализации серверов — и что с ними делать
Нет сомнений в преимуществах виртуализации серверов. Наряду с виртуализацией достигается максимальное использование ресурсов, меньшие затраты и другие преимущества. Однако, как и во всем, что связано с технологиями, существуют также риски виртуализации серверов, в основном связанные с безопасностью.
Важно знать об этих проблемах, чтобы вы могли должным образом смягчить их. Число ИТ-специалистов, внедряющих виртуализацию серверов, продолжает увеличиваться до уровня, который сейчас кажется почти повсеместным, хотя некоторые все еще откладывают изучение этой новой технологии из-за проблем с внедрением.
Хотя это было проведено в 2014 году, исследование Global IT Security Risks Survey, проведенное «Лабораторией Касперского», показало, что 43% респондентов (из 4000 респондентов) заявили, что соображения безопасности мешают им использовать виртуализацию.
Среди тех же участников 41% согласились с тем, что им «трудно управлять решениями по обеспечению безопасности в [своей] виртуальной среде». Настоящая проблема возникает, когда 46% респондентов считают, что обычные решения для обеспечения безопасности защищают виртуальные среды так же, как и физические среды.
Кроме того, «только каждый третий эксперт по ИТ-безопасности выразил «четкое понимание» безопасности легкого агента и безопасности виртуализации на основе агента», в то время как «только каждый четвертый выразил «четкое понимание» безопасности виртуализации без агента».
Помимо этого, 36% считают, что виртуальные среды менее опасны для безопасности, чем физические. Из-за этого более половины признали, что их компания не полностью внедрила решения по безопасности для своей виртуальной среды.
Можно предположить, что за последние годы эти цифры улучшились, поскольку ИТ-специалисты стали лучше осознавать проблемы, с которыми сталкиваются виртуализированные серверы.
Сегодня существует вредоносное ПО, которое «специально ищет и нацеливается на виртуальные среды, включая способность находиться в памяти и переходить с одной виртуальной машины на другую, чтобы избежать удаления, даже если весь виртуальный сервер будет уничтожен и перестроен».
Риски виртуализации серверов: основные проблемы безопасности
Наши виртуальные среды, безусловно, так же опасны, как и физические среды, и для защиты этих виртуальных серверов требуются другие меры предосторожности. Альянс Cloud Security Alliance выпустил информационный документ, в котором подробно описаны 11 основных рисков виртуализации серверов и объяснено, как лучше всего смягчить эти проблемы.
Эти общие проблемы, связанные с виртуализацией, возникают независимо от вашего поставщика или архитектуры, согласно CSA, и обычно подпадают под проблемы архитектуры, программного обеспечения гипервизора или конфигурации.
Разрастание виртуальных машин
Наиболее распространенная проблема, возникающая при виртуализации нескольких серверов, — это разрастание виртуальных машин (ВМ). В техническом документе говорится, что «неконтролируемое распространение виртуальных машин может привести к неуправляемому состоянию неисправленных и неучтенных машин».
По сути, виртуальные машины очень просто создавать и внедрять с помощью современных новых технологий. Это, безусловно, положительный аспект виртуальных машин, который приносит пользу пользователям. Но если администратор не понимает, как управлять таким количеством машин, могут возникнуть проблемы.
Кроме того, перемещение виртуальных машин с одного физического сервера на другой «создает сложности аудита и мониторинга безопасности и потенциальную потерю контроля».
Если у вас слишком много разных типов конфигураций на разных машинах или вы дублируете машины, а затем забываете о них, вы можете оставить свои виртуальные машины безнадежно отстающими, когда дело доходит до управления, исправления и защиты.
Без частых исправлений машины становятся более уязвимыми для атак, что значительно ослабляет безопасность всей вашей инфраструктуры. Некоторые пользователи считают, что, поскольку виртуальные машины изолированы в сети, их безопасность не важна. Однако отсутствие исправления для ваших виртуальных машин по-прежнему создает уязвимость в вашей сети, которой могут воспользоваться хакеры.
Есть определенные шаги, которые вы можете предпринять, чтобы убедиться, что разрастание виртуальных машин не увеличивает риски виртуализации вашего сервера. Это включает:
- Внедрите надлежащие инструменты управления жизненным циклом (включая самообслуживание и автоматизированные сценарии).
- Используйте формальный процесс управления изменениями и инструменты для управления созданием, хранением и использованием образов виртуальных машин.
- Убедитесь, что у вас есть обновленные образы гостевой операционной системы, хранящиеся отдельно, чтобы использовать их для быстрого восстановления системы.
- Обнаруживайте, классифицируйте и внедряйте соответствующие элементы управления безопасностью для каждой виртуальной машины и связанных с ней сетевых подключений.
- Исправление и защита изменений конфигурации с помощью решений для управления.
Взлом через портал самообслуживания
Порталы самообслуживания могут помочь администраторам получить доступ к определенным частям вашей виртуальной инфраструктуры. Проблемы с этим начинаются, если вы создаете слишком много порталов, так как это может увеличить вашу подверженность взлому аккаунта или сервиса, а также другим рискам.
Если вы предоставляете больше административных привилегий, чем должно быть, не существует строгого контроля аутентификации, что приводит к уязвимостям.
Согласно CSA, есть несколько простых решений, которые вы можете реализовать для контроля этой потенциальной бреши в системе безопасности, в том числе:
- Будьте очень избирательны в отношении того, каким пользователям нужен доступ к каким частям вашей инфраструктуры.
- Если возможно, используйте многофакторную аутентификацию и/или аутентификацию с разделенным контролем.
- Обнаружение несанкционированных действий с помощью упреждающего мониторинга.
- Безопасное управление учетными записями, удостоверениями и учетными данными.
Риски API поставщика облачных услуг
Если предприятия используют гибридный облачный подход, как это делают многие сегодня, безопасное объединение частных и общедоступных облачных инфраструктурных услуг может оказаться сложной задачей. Это связано с тем, что «системы идентификации предприятия, аутентификации, управления политиками и управления не могут естественным образом распространяться на общедоступное облако».
Предприятия управляют облачными службами и взаимодействуют с ними через свои API, поэтому важно убедиться, что эти интерфейсы правильно разработаны для защиты вас и ваших данных от любых рисков, как случайных, так и злонамеренных.
Ниже приведены некоторые способы снижения этих рисков виртуализации серверов.
- Использование двух разных зон аутентификации для внутренних и внешних систем.
- Иметь зашифрованную передачу с надежной аутентификацией и предоставлять только определенный контроль доступа.
- Используйте частный или внеполосный зашифрованный канал для передачи трафика Active Directory, а не с обычным интернет-трафиком.
Другие риски
Другие важные риски, указанные CSA, включают:
- Конфиденциальные данные внутри виртуальной машины.
- Безопасность автономных и бездействующих виртуальных машин.
- Безопасность предварительно настроенных (золотой образ) ВМ/активных ВМ.
- Отсутствие видимости и контроля над виртуальными сетями.
- Исчерпание ресурсов.
- Безопасность гипервизора.
- Несанкционированный доступ к гипервизору.
- Рабочие нагрузки с разными уровнями доверия, расположенные на одном сервере.
Крайне важно знать обо всех рисках, с которыми сталкивается инфраструктура, включающая виртуализацию серверов, а также о передовых методах защиты от каждого риска.