Apesar de todas as manchetes e avisos, os ambientes virtuais de muitas empresas continuam em situação de risco, resultante de uma gestão de segurança inadequada, assume Jordi Gascón, Solution Sales Director da CA Technologies.
A virtualização é atraente pela sua capacidade de criar dezenas de appliances virtuais como ficheiros dentro de um único servidor físico, é o caminho mais rápido para a melhoria da capacidade de resposta das TI, a redução de custos, o aumento de produtividade das TI, o consumo reduzido de energia e a economia de espaço. Não é por acaso que é uma das tecnologias que apresenta um crescimento mais rápido nas pequenas e grandes empresas. E a procura pelo cloud computing está a impulsionar ainda mais o universo da virtualização.
Um estudo independente realizado na Europa e nos Estados Unidos, pedido pela CA Technologies, indica que o principal enfoque das organizações continua a ser a virtualização de servidores. Por exemplo, até ao final de 2012, 51% das organizações inquiridas espera ter implementado uma virtualização dos servidores em mais de 50% dos seus sistemas. E isto é feito para reduzir custos: 91% citam a eficiência operacional como o seu principal impulsionador para a virtualização, seguidos de perto pelo controlo dos custos de TI (82%) e agilidade e capacidade de resposta de TI (76%).
Mas como todos sabemos, ninguém dá nada a ninguém. Basta pedir a qualquer gestor de TI que elabore uma lista das suas preocupações em relação à virtualização, e a resposta será quase sempre a gestão de segurança.
Na verdade, a pesquisa realizada pela KuppingerCole, um dos principais analistas europeus, revela que 40% das organizações acredita que os ambientes virtuais são mais difíceis de proteger do que os ambientes físicos (em contraste, apenas 9% pensam o contrário). E existe uma boa razão para isto: a maioria das tecnologias e políticas de segurança de virtualização actuais não abordam as reais ameaças de segurança provenientes da virtualização. No entanto, a pesquisa indica que, apesar de cada vez mais organizações estarem atentas às questões de segurança associadas à virtualização, poucas estão a tomar as medidas necessárias para resolver os seus processos inadequados de segurança.
Neste campo, surge uma questão: pode a segurança resistir à expansão dos dados e dos direitos de acesso?
Observemos por exemplo a expansão de dados. O risco da movimentação descontrolada de dados através de sistemas virtualizados de TI, acabando em ambientes menos seguros, é considerado por 81% dos inquiridos como uma ameaça fundamental à segurança de virtualização. Devido à enorme quantidade de informações que processamos e compartilhamos diariamente, não somos capazes de acompanhar a localização de todas as cópias das nossas informações sensíveis.
No entanto, os riscos para a virtualização que estão associados com a expansão de dados poderiam ser mitigados através da protecção de informações e soluções de controlo avançadas, tal como aplicações Data Loss Prevention (DLP) baseadas na identidade. Uma solução DLP por identidade melhora as capacidades habituais de DLP através de um contexto de identidade e acesso, e vai agregar a compreensão dos indivíduos envolvidos numa acção ao tipo de dados envolvidos na sua acção, de modo a determinar, com um maior nível de precisão, se a acção pode ou não ser autorizada (é importante mencionar que a abordagem DLP por identidade é também referida como gestão de identidade e acesso baseado no conteúdo, dependendo se considerarmos a perspectiva de dados ou de uma identidade).
Tudo isto são boas notícias. Contudo, as organizações europeias e norte-americanas têm aderido a aplicações de DLP de forma lenta. De acordo com a pesquisa, apenas 38% das organizações implementaram soluções de DLP, quanto mais uma abordagem DLP baseada em identidade.
Acontece o mesmo com outro tipo de expansão: a expansão de direitos e a forma como a gestão de utilizadores com privilégios é feita em ambientes virtuais. Os utilizadores com privilégios são normalmente os administradores de TI ou de rede, responsáveis pela manutenção de sistemas e por mantê-los disponíveis.
Segundo a pesquisa, 73% das organizações estão preocupadas que os direitos alargados introduzidos por hypervisores possam levar a erros ou abusos por parte de utilizadores privilegiados. Por exemplo, os utilizadores com privilégios são capazes de ligar, desligar, copiar ou mover máquinas guest a funcionar através de um servidor de alojamento virtual.
Se estes novos acessos hypervisor não forem bem geridos (por exemplo, seguirem o princípio dos privilégios reduzidos), as empresas ficam expostas a riscos significativos desnecessariamente. Além disso, os acessos hypervisor não devem ser geridos de forma isolada. Devem ser mantidos em conjunto com os direitos atribuídos a contas privilegiadas nas máquinas virtuais guest, bem como aos recursos e sistemas a funcionar nessas máquinas.
O estudo conclui que 49% destas organizações não tem uma solução de gestão de utilizadores privilegiados ou de segurança, sendo estas duas soluções essenciais para mitigar os riscos da expansão de direitos de acesso.
Estas preocupações de segurança também poderão comprometer qualquer passagem para uma estratégia de cloud. Quando questionados sobre os principais inibidores para uma rápida passagem para uma estratégia de cloud privada, os factores mais importantes foram as questões da privacidade e conformidade da Cloud e as questões de segurança da Cloud.
Apesar de 39% esperarem ter eliminado os problemas de segurança até ao final de 2011, apenas 30% acreditavam que isto se aplicasse às questões de privacidade e conformidade, o que significa que os utilizadores julgam que a privacidade e as regulamentações de conformidade podem atrasar a evolução das TI em direcção aos princípios da Cloud.
Existem no entanto boas notícias. A pesquisa demonstra uma consciência das organizações de que a segurança, nomeadamente a “identity and access management” (IAM), a regulamentação e a gestão de risco e conformidade, são pré-requisitos para uma estratégia bem sucedida de cloud computing.
Automatização para um controlo total
Poucas organizações estão a utilizar tecnologias de automação para gerir o acesso privilegiado a ambientes virtualizados. Em vez disso, estão a basear-se nos processos manuais, realizados sem tecnologia de suporte, o que coloca em risco a segurança da organização. Por exemplo, apenas 65% dos inquiridos afirmou impor uma separação de funções para tarefas administrativas em plataformas virtuais, um pré-requisito essencial para melhores práticas de conformidade e segurança. E mesmo que isto seja imposto, mais de 40% não utiliza o software necessário para automatizar essa imposição, como certificação de acesso, gestão de utilizadores privilegiados ou gestão de entrada.
Tal como no caso da expansão do direito de acesso, as soluções de automação iriam facilitar esta separação de funções, fazer cumprir o princípio do privilégio reduzido (dando a um utilizador apenas as capacidades absolutamente essenciais para desempenhar o seu trabalho), e manter uma responsabilização sobre todos os activos críticos.
Com tantas organizações conscientes dos riscos associados à segurança da virtualização, por que motivo a taxa de adopção de segurança não é maior? Ao olhar para os números globais, torna-se óbvio que o maior inibidor para a segurança de virtualização é ainda a relativa imaturidade na forma como as organizações abordam a virtualização como um todo. Existe uma falta de conhecimentos e capacidades, bem como de processos, políticas e normas, e a necessidade de um suporte melhorado para a segurança de virtualização dos fornecedores.
Existe uma forma de contornar esta fortaleza aparentemente impenetrável de custos. Se as organizações utilizassem estratégias e ferramentas que suportassem plataformas heterogéneas de forma flexível, e permitissem uma gestão unificada de sistemas físicos e virtuais, conseguiriam distribuir o custo da segurança por toda a sua infraestrutura física e virtual.
Simultaneamente, poderiam automatizar os processos ineficientes de segurança, adoptar uma postura de segurança mais consistente e eficaz, e racionalizar as capacidades necessárias para manter a segurança.
Também é importante assegurar que a segurança seja algo a ter em consideração desde o início da fase de planeamento de uma implementação de virtualização, para combater o aparecimento de falhas de segurança e assegurar que os orçamentos adequados à segurança estão disponíveis desde o início.
Ao virtualizar ambientes de TI, também é importante garantir que a gestão da segurança é integrada com a gestão de infraestrutura e de serviços. Tome em conta factores como gestão ou mudança de configuração, provisionamento de servidores, gestão de incidentes e problemas, gestão de desempenho, gestão de nível de serviço, e catálogos de serviços. A automação é um requisito essencial para alcançar os verdadeiros benefícios da virtualização, e esta integração é obrigatória para alcançar o nível necessário de automação.
Uma abordagem unificada à segurança através das plataformas físicas e virtuais permite uma gestão única de pessoas, processos e aspectos tecnológicos. E se a sua organização decidir gerir e proteger os ambientes físicos e virtuais com uma solução unificada automatizada, vai necessitar de uma parceria com experiência e soluções que possam abranger ambos os ambientes.
E não se esqueça da conformidade. Por natureza, os ambientes virtuais são mais dinâmicos. E trabalhar num servidor virtual traz mais mobilidade. Desta forma, é fundamental manter o controlo e visibilidade do que está a acontecer em ambientes virtuais para garantir a conformidade com os requisitos de auditoria e regulamentação.
Conclusão
Actualmente, a segurança da informação prende-se tanto com o processo como com a tecnologia. A passagem para a virtualização é uma viagem, não um projecto rápido. Por um lado, a virtualização obriga-nos a rever as nossas políticas, processos e procedimentos existentes para suportar o cenário em evolução de TI e garantir a segurança de toda a nossa infraestrutura. Além disso, as nossas estratégias actuais necessitam assegurar que a segurança é aplicada aos dados para permitir uma movimentação eficiente e o uso eficaz da informação. Ao mesmo tempo, a automação é uma necessidade, para que consiga perceber os verdadeiros benefícios da virtualização. Isso faz com que as soluções IAM direccionadas para o conteúdo representem um ingrediente chave no pacote de tecnologias a utilizar.