Технологии виртуализации делают невозможным применение традиционных политик безопасности, подчеркнул аналитик фирмы Gartner. Примерно половина рабочей нагрузки серверов на базе x86 сейчас виртуализована, однако средства безопасности еще не отвечают новым

Технологии виртуализации делают невозможным применение традиционных политик безопасности, подчеркнул аналитик фирмы Gartner. Примерно половина рабочей нагрузки серверов на базе x86 сейчас виртуализована, однако средства безопасности еще не отвечают новым требованиям. Необходимы новые виртуальные фаерволлы, антивирусы и системы предотвращения вторжения и многие компании начинают их выпускать. Компания Trend Micro первой выпустила новые программные интерфейсы для безопасности VMware, однако ее подход требует установки расширения гипервизора и работает только под Windows.

Уровень внедрения виртуальных средств безопасности сейчас не превышает нескольких процентов, но к 2015 году Gartner прогнозирует, что примерно 40% антивирусов и других таких средств будет виртуализовано.

"Виртуализация кардинально изменит обеспечение безопасности и управление компьютерной средой", - отметил аналитик Gartner Нейл Макдональд, выступая на саммите безопасности Gartner Security and Risk Management Summit в США. "Сотрудники стали более мобильными и их труднее обезопасить. Это нарушает политики безопасности, связанные с физическим расположением. Нам необходимы политики не зависящие от топологии сети".

Gartner поддерживает движение предприятий по переходу на приватные облачные инфраструктуры. Но в то же время признает, что инструменты контроля и обеспечение безопасности не достигли соответствующего уровня.
"Гипервизоры будет менее безопасными, чем физические системы, которые они заменяют", - заявил Макдональд. "Целостность нижнего уровня имеет первостепенное значение. Уровень гипервизора не должен быть взломан".

Сегодня часто наблюдается "недостаток прозрачности и контроля на внутреннем уровне VM-to-VM сообщений", - сообщил Макдональд. "Должна ли VM номер 1 говорить с VM номер 3? Как узнать, что тебя не атакуют? Трафик никогда не выходит в нашу физическую сеть". Некоторые компании готовы жить в такой неопределенности, другие нет, сказал Макдональд.

Но эти вопросы должны быть решены, чтобы обеспечить виртуализированную и облачную безопасность. С точки зрения Макдональда необходимо применение различных мер контроля в вопросах обеспечения безопасности виртуальных машин, таких как, например, виртуальные брандмауэры, системы предотвращения вторжений и антивирусы, в дополнения к балансировщикам нагрузки и шейперам трафика.
Компания VMware предоставила VMSafe API для облегчения гипервизорного "самоанализа", так чтобы многочисленные программные агенты больше не требовались. Необходимость развертывания и запуска программных агентов традиционно "отравляла наше существование", признал Макдональд. Но все же есть много вопросов о том, как именно это работает.

Trend Micro, рассматриваемый как третий игрок среди производителей антивирусов после Symantec и McAfee, быстрее всех принял некоторые идеи VMware, включая поддержку последних API безопасности VMware vShield в своем продукте Deep Security, который может осуществлять антивирусное сканирование для vSphere. Trend Micro берет меньшую плату за антивирусное ПО на базе VM, возможно, полагая, что ей нечего терять", отметил Макдональд.

Макдональд сказал, что недостаток подхода Trend Micro Deep Security к vShield состоит в том, что код для VMware всё еще должен быть модернизирован с целью нормальной работы и расширения программы управления виртуальной операционной системой; также стоит добавить, что он разработан только для Windows и помещает в карантин, но не удаляет вредоносные инфекции; он только выполняет сканирование вредоносного ПО. И возможный недостаток vShield, берущего на себя функцию брандмауэра, состоит в том, что программное обеспечение специфично для VMware vSphere. Для тех, кто ответственен за управление идентификационными данными в облаке, ситуация является особенно сложной.

"Около двух лет назад мы говорили о том, как сделать управление идентичностью внутренним", - сказал аналитик Gartner Грег Крайзман. "Теперь вопрос для обсуждения другой – как нам справится с проблемой SaaS? Или раньше мы управляли приложениями, а теперь они в облаке... это ведет к совершенно новому вопросу – что, если наши идентификаторы личности также будут там?".

Облако не схоже со старыми моделями развёртывания и использования ПО, при которых ПО устанавливается и управляется внутри организаций, сказал Крайзман, и поскольку провайдеры SaaS используют другие интерфейсы, теперь существует риск попадания под большее количество атак, а также большее количество людей обладает доступом к данным. Google "не очень-то честен, когда рассказывает о своей практике безопасности", - поведал Kreizman.

"К сожалению, дефолтный путь помещения идентификационной информации в SaaS – администрирование вручную", - сказал Крайзман. Нужно использовать FTP или Dropbox. А ведь тот же Dropbox – система, которая пострадала от нескольких проблем в безопасности, включая проблему с паролями, которая оставила открытой пользовательскую информацию на прошлой неделе.

Сегодня компании, желающие расширить их корпоративные системы управления идентификационными данными путем использования облака должны стремиться к корпоративным системам управления – от таких, которые предлагает CA (которая приобрела Arcot Systems) или IBM, до систем самих поставщиков облачных услуг, если это возможно. Помимо этого существуют такие компании, как Exostar и Covisint, которые работают в области под названием "community federation hub" с целью обслуживания особых групп клиентов, в данном случае в основном связанных с авиацией и космосом, обороной, производством авто и здравоохранением.

Сейчас можно говорить о гонке, которая возникла на рынке управления идентификацией с подключением к облаку из-за появления большого выбора, что приводит к созданию "неустойчивого рынка с быстро меняющимися ценами", сказал Крайзман.

Среди "участников": Okta, Clavid, Symplified, Onelogin, Ping Identity и Nordic Edge (приобретенная Intel). Некоторые традиционные производители систем управления идентификацией и доступом, включая Fisher International, idEntropy, Novell и Lighthouse, продают пакеты услуг и услуги, выгодные для облачных провайдеров и клиентов.

В августе прошлого года VMware приобрела TriCipher с надеждой предоставить клиентам более легкое управление SaaS в будущем. Технологии RSA, как ожидается, будут использованы в облачной системе проверки подлинности, которая скоро будет доступна в бета-версии.

Хоть управление идентификацией и доступом – новая услуга, Gartner ожидает, что пользование этой услугой может увеличиться во много раз в течение нескольких лет - с 5% продаж до 20% к концу 2012 года.

Источник: xakep, osp