Применение традиционных подходов к безопасности физических сред к виртуализации

Многие из проблем и атак, с которыми можно столкнуться при виртуализации, можно решить путем использования уже существующих сотрудников, процессов и технологий. Но, что нельзя защитить с помощью имеющихся решений — это виртуальные матрицы, состоящие из гипервизоров, систем управления и виртуальных свичей. Ниже приведены некоторые традиционные подходы к виртуализации и связанные с ними недостатки:

6.1 Межсетевые экраны
Некоторые IT группы отправляют трафик между ВМ на стандартные межсетевые экраны, которые будут проверять трафик и отправлять его обратно на виртуальные машины. Традиционные межсетевые экраны были созданы до виртуализации и устанавливались в дата центрах и на предприятиях, и, следовательно, они не созданы с учетом виртуальной инфраструктуры и связанных с ней систем управления. Это может привести к установке вручную и администрированию, которое затем может привести к ошибкам. Стандартные межсетевые экраны также не обеспечивают должную безопасность при перемещении ВМ.

6.2 Обнаружение проникновений на основе сети/Системы предотвращения вторжений
Эти устройства не работают, когда на хосте находится несколько виртуальных машин. Это главным образом происходит из-за того, что системы IDS/IPS не могу контролировать трафик между виртуальными машинами. Также они не могут получить доступ к любой информации при переносе приложений.

6.3 Ограничение числа ВМ на хост/Назначение на физические NIC
Такой подход не только ограничивает число виртуальных машин на хосте, но также назначает физический сетевой адаптер для каждой виртуальной машины. Хотя это и может стать безопасным подходом и имеет хорошие намерения безопасности, такой подход не позволяет компании получить все выгоды и окупаемость инвестиций от технологии виртуализации.

6.4 Сети VLAN
Сети VLAN широко используются: неважно идет ли речь в невиртуализированных средах или о средах с хорошей степенью виртуализации. Проблема здесь заключается в том, что количество VLAN растет, становится все сложнее управлять сложностями, связанными с доступом к контрольным таблицам, а также управлять вопросами совместимости политики сетевой безопасности между невиртуальными и виртуальными аспектами окружающей среды.

6.5 Агентные антивирусные подходы
Это влечет за собой загрузку полной копии антивирусного ПО на каждой ВМ. Такой подход может обеспечить хорошую защиту, но станет причиной огромных затрат на все копии антивирусного ПО для всех виртуальных машин в среде. Это полнофункциональное ПО может также негативно влиять на память, хранение и активность процессора, поскольку повышает использование оборудования, поэтому ведет к уменьшению производительности.
Несмотря на указанные выше недостатки применения традиционной модели безопасности, 60% респондентов указали, что они пользуются традиционными решениями для обеспечения безопасности и защиты виртуальных сред. Виртуальные среды динамичных и быстро меняются. Традиционным подходам будет сложно в одиночку со всем справиться, перемещаться и изменяться должным образом. Другой подход состоит в том, чтобы сохранить хорошие аспекты текущего подхода к безопасности, и в то же время посмотреть на следующие советы и рекомендации для виртуализации.

Вывод

Итак, давайте подведем итоги: какая именно виртуализация когда может пригодиться, и какие у нее есть плюсы и минусы.
Если у вас есть много пользователей, работающих с одинаковым набором ПО, и система сильно распределена территориально – то стоит подумать об использовании виртуализации представлений, сиречь – терминальных службах.

Достоинства такой системы:

· Снижение требований к «железу» на стороне клиентов

· Снижение требований к пропускной способности сети

· Повышение безопасности

· Значительное упрощение администрирования и поддержки

Недостатки:

· Повышения требований к серверам, как по производительности, так и по надежности

· Возможная единая точка отказа

 

Если у вас существует множество приложений, которые некорректно работают в новой ОС, либо же конфликтуют между собой, или необходимо запускать на одном компьютере несколько версий одной и той же программы – то нужна виртуализация на уровне приложений.

Достоинства:

· Безопасность

· Простота администрирования — централизованное обновление и разграничение прав на доступ к приложениям

Недостатки:

· Некоторая сложность в понимании технологий и в практическом внедрении.

 

Если же вам нужно освободить место в стойке, снизить энергопотребление систем, избавиться от «серверного зоопарка» — то ваше решение – виртуализация серверов.

Достоинства такого решения:

· Экономия места в стойках

· Снижение энергопотребления и тепловыделения

· Упрощение администрирования

· Широкие возможности по автоматизации развертывания и управления серверами

· Снижение вынужденных и запланированных простоев системы за счет failover-кластеров и live migration

· Позволяет (при использовании ОС Microsoft Windows Server) сэкономить на лицензиях на гостевые ОС

 

Недостатки – в принципе, те же, что и у терминальных решений:

· Повышение требований к аппаратному обеспечению серверов

· Возможная единая точка отказа – физический хост и хостовая ОС