Tévhitek a virtualizáció biztonságáról

A virtualizáció biztonságának megteremtése és fenntartása kulcsfontosságú feladat az IT-infrastruktúrák védelme szempontjából. Azonban van pár tévhit, amiket érdemes eloszlatni.
 

Amikor a Kaspersky Lab vállalati IT vezetőket kérdezett meg a következő évre vonatkozó biztonsági beruházásaikkal, prioritásaikkal kapcsolatban, akkor a válaszadók 21 százaléka úgy nyilatkozott, hogy a virtualizált infrastruktúrák megvédése a legfontosabb három feladat között szerepel. Ez persze annak tudatában nem meglepő, hogy a felmérésben résztvevő szervezetek több mint felénél a virtuális rendszerek immár kritikus fontosságú szerepet töltenek be, és sokkal több érzékeny adatot kezelnek, mint a korábbi években. Tekintettel a virtualizációra fordított egyre nagyobb figyelemre, a Kaspersky Lab kutatói igyekeztek néhány tévhitet eloszlatni, amelyek véleményük szerint gyakran ütik fel a fejüket e védelmi területen.

1. tévhit: A PC-k és a szerverek védelmére használt végpontbiztonsági szoftverek hatékonyan képesek működni virtuálizált környezetekben is.

A biztonsági cég szerint ez egy igen széles körben elterjedt félreértés. A legtöbb hagyományos végpontbiztonsági megoldás ugyan képes védelmet nyújtani a virtuális környezetek számára, azonban ez hatással van a teljesítményre, különösen a nagyméretű infrastruktúrák esetében.

Egy tanulmányban az AV-Test összehasonlította a hagyományos végpontbiztonsági szoftverek, valamint a virtualizációra specializált eszközök vírusészlelési arányát és rendszerteljesítményét. Mindegyik hasonlóan jó eredményeket ért el az alapvető antivírus feladatok során, azonban a teljesítmény terén mutatott eltérések jelentősek voltak. A tesztelők megállapították, hogy a hagyományos végpontbiztonsági alkalmazásoknak sokkal hosszabb - egyes esetekben kétszer annyi - ideig tartott több, közel egy időben bootoló virtuális gép ellenőrzése. Emellett a hagyományos biztonsági megoldások 40-65 százalékkal több rendszererőforrást használhatnak fel több virtuális gép védelmekor, mint a virtualizációhoz kifejlesztett technológiák.

2. tévhit: A meglévő antivírus nincs hatással a virtuális környezet működésére.

A hagyományos végpontbiztonság az agentalapú modellt alkalmazza, vagyis minden fizikai és virtuális gépen fut a biztonsági szoftver egy-egy példánya. Ez a megközelítés jól működik a fizikai rendszereken, azonban például 100 virtuális gép dedikált ellenőrzése (100 ügynökprogrammal és vírusadatbázissal) már korántsem optimális. 

Ha ebben a modellben tucatnyi virtuális gép egyszerre kezd vírusellenőrzést végezni, akkor az összes többi alkalmazás (virtuális gép) lelassulhat az adott fizikai kiszolgálón. Ugyancsak problémákat vethet fel a vírusadatbázisok egyenkénti frissítése, ami a hálózati sávszélességre is negatív hatással van. Nem beszélve arról, hogy a késlekedő frissítések veszélyeztetik az egyes virtuális gépek biztonságát.

3. tévhit: A virtuális környezetek eredendően biztonságosabbak, mint a fizikai rendszerek.

A virtualizáció lényege, hogy lehetővé teszi a szoftvereknek és így a rosszindulatú programoknak is, hogy úgy működjenek, mint a fizikai környezetekben. A vírusírók rosszindulatú céljaik elérése érdekében a vállalati hálózatok gyenge pontjait támadják. Minél több virtuális hálózat ad otthont kritikus üzleti alkalmazásoknak, az annál inkább lesz a számítógépes bűnözők célpontja. Ha egy támadó ellenőrzést szerez egy kiszolgáló (hypervisor) felett, máris hozzáférhet az azon futó összes virtuális géphez. 

4. tévhit: A nem perzisztens virtuális gépek biztonságosabbak.

Ebben az esetben a rosszindulatú programokkal kapcsolatba kerülő gépeket törlik, és újra létrehozzák azokat. Ez azonban nem olyan biztonságos megoldás, mint amennyire elsőre hangzik, ugyanis a rosszindulatú programnak így is lehet ideje arra, hogy bizalmas adatokhoz férjen hozzá, vagy megkezdje a terjedését a hálózatban. Ráadásul a virtuális gépek legtöbbje perzisztens szerver. A B2B nemzetközi kutatása szerint az elkövetkező 12 hónapban a vállalkozások több mint 65 százaléka fog alkalmazni szervervirtualizációt, és ezeknek a kiszolgálóknak állandóan működniük kell, vagyis a "leválasztásos" biztonsági megközelítés sokszor nem kivitelezhető. 

5. tévhit: Minden virtuális biztonsági megoldás egyforma

Többféle biztonsági megközelítés létezik a virtualizáció kapcsán, és bizony nem egyszer ezek kombinációjára van szükség. A fentiek is mutatják, hogy a szokványos, agentalapú technológiák gyakorta nem jelentenek igazán hatékony megoldást, ugyanakkor mindig mérlegelni kell, hogy mi is az, amit védeni kell. Egy webre nem kapcsolódó szervernek más biztonsági követelményei vannak, mint egy érzékeny információkat kezelő virtuális szervernek. Az viszont biztos, hogy a biztonsági cégek által kínált, hypervisor alapú technológiákat számításba kell venni, ugyanis ezek révén lehet egységessé és a teljesítmény szempontjából legkevésbé fájdalmassá tenni a virtuális infrastruktúrák megóvását.