Virtual Server Protection - ochránce virtuálních serverů od IBM
Oddělení různých služeb na vlastní virtuální servery je již samo o sobě z hlediska bezpečnosti poměrně zajímavé. Umožňuje to celou infrastrukturu velmi jednoduše a levně rozdělit na více částí s oddělenou bezpečnostní politikou pro každou službu zvlášť a zkomplikovat tak situaci případným útočníkům. Na druhou stranu se objevují některé nové problémy, například chyby v zabezpečení samotného hypervizoru, který se stará o běh virtuálních serverů.
Cestou jak se s těmito problémy vypořádat a jak vytěžit z virtualizace v oblasti bezpečnosti maximum, může být řešení Virtual Server Protection for VMware od IBM. Jedná se o řešení „vše v jednom“, které si klade za cíl stát se jediným bezpečnostním produktem, který budete pro zabezpečení virtuálních serverů potřebovat. Tedy alespoň pokud pro virtualizaci zvolíte VMware ESX(i) server. Fakticky se totiž jedná o samostatný virtuální server, dodávaný jako připravený obraz pro VMware ve formátu OVF.
Připravený obraz stačí v podstatě jen nasadit jako nový virtuální server, přičemž požadavky na přidělené zdroje jsou minimálně 1 GiB operační paměti (s počtem hlídaných virtuálních serverů požadavky na paměť vzrůstají) a alespoň 10 GB prostoru na pevném disku. Po vytvoření virtuálního stroje provedete úvodní nastavení za pomoci připraveného průvodce, který se objeví po prvním spuštění a systém začíná okamžitě pracovat. Na virtuálních serverech o které se bude VSP starat je potřeba mít nainstalovány pouze VMware tools, žádný jiný zásah není potřeba.
A jak to v praxi funguje? Virtual Server Protection (VSP) je spuštěn jako samostatný privilegovaný virtuální stroj ve VMware. Integrace s ostatními virtuálními stroji (které bude VSP hlídat) je realizována pomocí rozhraní VMsafe, což je rozhraní od VMware právě pro integraci bezpečnostních řešení třetích stran. Pomocí tohoto rozhraní je implementován firewall a především klíčový Intrusion Prevention Systém, který se stará o odhalování bezpečnostních problémů v reálném čase. Díky VMsafe má bezpečnostní systém přístup i přímo do operační paměti jednotlivých virtuálních serverů, kde může monitorovat aktivitu a provádět její analýzu vzhledem k rizikovému či škodlivému chování. Je tak možné odhalit například rootkity, bootkity a další často obtížně odhalitelné útoky.
Zmíněný Intrusion Prevention Systém, nebo-li systém proti průniku, se stará o prevenci a monitoring nebezpečných událostí odporujících nastavené bezpečnostní politice. Díky využití heuristické analýzy by měl být schopen zachytit problémy způsobené bezpečnostními dírami například v nezáplatovaných nebo již nepodporovaných operačních systémech, případně kvůli chybám v kódu a zranitelnosti běžících aplikací (včetně například "populární" SQL Injection, Cross-site Scripting a podobně). Dokáže monitorovat síťovou komunikaci jak mezi jednotlivými virtuálními servery tak i pokud jde o komunikaci mezi chráněnou infrastrukturou a vnějším světem. Podle údajů IBM je podporováno zhruba 270 protokolů, které dokáže IPS analyzovat a vyhodnocovat jejich chování.
VSP dále nabízí kompletní přehled o chráněných serverech, dokáže automaticky detekovat nově vytvořené virtuální servery a zabránit jejich nepovolenému začlenění do infrastruktury, sledovat zda některé akce uživatelů nepřekračují nastavenou bezpečnostní politiku, nepoužívají nepovolené aplikace nebo sleduje, jak je nakládáno s citlivými daty. Díky auditním funkcím si mohou administrátoři udržovat přehled o celé infrasktruktuře, což je z hlediska bezpečnosti někdy to úplně nejdůležitější.
Cena tohoto produktu začíná na 56,75 dolarů bez daně za 12 mesíční licenci a 10 fyzických procesorů. To zhruba odpovídá ceně za běžná konkurenční softwarová zapezpečení, která se instalují na každou stanici zvlášť.
Několik otazníků
Komplexní systém pro zabezpečení serverů s vysokou mírou automatizace bez nutnosti do samotných serverů cokoliv instalovat nebo do nich jakkoliv zasahovat je elegantním řešením, které musí být snem každého IT manažera. Otázkou je, jak systém funguje v praxi, zda netrpí častými problémy klasických softwarových bezpečnostních systémů v podobě planých poplachů nebo přílišným nárokům na výkon. To zatím nevíme, byť časem se nějaké praktické srovnání detekčních schopností jistě objeví.
Jistým omezením je výhradní orientace na VMware, což vyplývá ze samotné závislosti na VMware technologiích, které podobný princip ochrany vůbec umožňují. Možná se časem dočkáme podobného systému i pro další virtualizační servery, neboť toto bude pravděpodobně směr, kterým se bude bezpečnost virtualizace dále ubírat. Prozatím však mají ale uživatelé například KVM nebo Hyper-V smůlu.