A adopção da virtualização para plataformas de computação tem obrigado várias empresas a adoptarem novas medidas de segurança, tanto em ambientes VMware como Microsoft. Por vezes essa necessidade não é detectada.
A mudança para ambientes de computação quase totalmente virtualizados está a impulsionar a adopção de uma nova abordagem para a segurança na empresa. Dizem –no os gestores de segurança de TI com necessidades de aplicar controlos para tecnologia VMware e Microsoft Hyper-V.
“Estamos muito perto dos 100% de virtualização “, diz Gurusimran Khalsa, supervisor de sistemas do departamento de serviços humanos no estado do Novo México. Os servidores dessa organização são baseadas em vSphere VMware, e um projecto de virtualização de desktops começa também a ser implantado. Os 170 servidores virtuais (VMs) correm num centro de dados local, com uma gama de aplicações Web, sistemas de TI em múltiplas camadas, servidores de ficheiros, servidores de domínio, servidores SharePoint e SQL.
Por causa de uma falha de segurança ocorrida há alguns anos – a perda de dados confidenciais foi considerada tão séria que foram demitidas várias pessoas de TI – a organização tem procurado manter uma rédea curta. Exige autenticação de dois factores para o acesso a servidores e introduziu “lacunas de ar” para proteger alguns dados sensíveis. Mas na altura, enquanto os benefícios da virtualização, como a consolidação de servidores, estavam a ser introduzidos, não se percebeu como essa transformação teria impacto na segurança, diz Khalsa.
Havia cada vez maior preocupação entre os responsáveis de segurança e de conformidade sobre a possibilidade da consola vCenter VMware ser comprometida. Seria o colapso da instituição. “É o ponto central de acesso ao vCenter que gere o nosso ambiente de produção”, explica Khalsa.
Para reforçar a segurança nesse ponto, a organização decidiu instalar a appliance virtual HyTrust. Esta intercepta os pedidos de administração de sistemas dirigidos à infra-estrutura virtual, para determinar se as solicitações estão em conformidade com as políticas da organização. “Temos um par de administradores vSphere com um nível superior de acesso”, revela Khalsa. O HyTrust pode ser configurado para garantir que apenas determinados volumes de trabalho sejam iniciados em sistemas hospedeiros específicos ou clusters. Além disso, consegue rotular objectos virtuais e aplicar-lhes políticas.
A agência também começou a usar a firewall Juniper vGW, cuja tecnologia foi herdada pela o fabricante, na aquisição da Altor Networks , em Dezembro passado. “A firewall está posicionada entre o VM e o vSwitch”, diz Khalsa. “É configurado de maneira semelhante a um firewall regular, concedendo privilégios mínimos.”
O organismo público ainda usa ligações de VLAN para isolar alguns servidores, mas a firewall de gateway virtual da Juniper oferece controlos muito mais granulares. Tem a capacidade de fazer análises internas sobre as máquinas virtuais para ver o que está instalado e configura regras com base nisso, explica Khalsa.
Outras organizações e empresas admitem a necessidade de olhar para novas abordagens de segurança nos seus ambientes virtualizados. “Temos cerca de 80% dos sistemas virtualizados”, revela Rick Olejnik, chefe de segurança de informação de um escritório de advocacia Rausch, Sturm, Israel, Enerson & Hornik (RSIEH), de Brookfield, no Wisconsin.
Uma das principais preocupações da sociedade era garantir a segurança dos dados de cartão de crédito, mesmo quando estão inoperacionais. Há cerca de um ano ou mais, os bancos e instituições financeiras clientes da RSIEH deixaram claro que, embora estes números de cartão já não estivessem activos, ainda precisam de ser protegidos segundo as regras de pagamento do sector de cartões.
Isso significava ter de encripta-los. Ojenik explicou como esse aspecto levou à decisão de implantar a appliance Vormetric, há cerca de oito meses, para fazer a gestão das chaves de encriptação, e do software de criptografia em servidores ESX para encriptar dados PCI, em repouso. Ao mesmo tempo, foi adoptado um agente de software para desencriptar os dados capazes de permitir o acesso e o processamento de informações pela aplicação Master Collection.
“Funciona no núcleo e não tem havido problemas de desempenho”, sustenta Olejnik. Mas além de adicionar a encriptação ao ambiente de computação virtualizado, outro controlo de segurança depende da firewall da Palo Alto Networks centrada na camada de aplicações, para particionar as máquinas virtuais. “Permite-nos fazer a segmentação necessária na nossa rede interna”, explica Olejnik.
No Wellington College, arredores de Londres, uma das principais preocupações foi encontrar uma forma de alcançar uma melhor detecção de ameaças, de dispositivos falsamente autenticados, controlo de acessos para os dispositivos hóspedes e visibilidade sobre a utilização da rede num ambiente VMware ESX virtualizado.
Para o efeito, a faculdade começou a usar a appliance virtual Technologies ForeScout CounterACT Network Access Control para monitorizar os dispositvos hóspedes no ambiente VMware. Corre como um hóspede VM VMware, e funciona em conjunto com a appliance física da ForeScout .
Tony Whelton, director de serviços de TI e desenvolvimento do Wellington College, diz que a appliance ForeScout Rede faz a verificação de vulnerabilidades de segurança. Além disso, “faz o rastreio em tempo real através da LAN, procurando tráfego não autorizado.”
O departamento de desenvolvimento económico do estado da Califórnia, está a adoptar um ambiente virtualizado Microsoft Hyper-V para servidores, tornando ao mesmo tempo a gestão de TI mais centralizada. O organismo tem procurado agora melhorar a sua recolha de informações de registo usando produtos LogLogic, principalmente para fins de segurança e monitorização de bases de dados, diz John Cleveland, chefe da secção de segurança e conformidade. “Deve-se ser capaz de mostrar quem acedeu a essa tabela, por exemplo”, considera.
A mudança para o ambiente de virtualização de servidores está a trazer crescentes preocupações sobre a segurança das máquinas virtuais, segundo o responsável. E há desafios na monitorização da actividade entre máquinas virtuais, explica Cleveland.
Embora o organismo não utilize serviços baseados em nuvem, o responsável aponta que a virtualização torna mais possível a adopção de aplicações num modelo de cloud computing, por parte da organização . Ele diz ver uma necessidade crescente de produtos capazes de funcionar como um repositório central, relacionado com a segurança e o conteúdo num ambiente virtualizado para fins de conformidade. “Sinto a necessidade de os ter fundidos”, diz ele.