Стремление компаний к виртуализации внутренних вычислительных ресурсов и к переходу на облачные вычисления может иметь много преимуществ, таких, например, как серверная консолидация, но это сильно опережает традиционные подходы к безопасность и практики управления идентификацией.

Ситуация оставляет большие пробелы, ощущение хаоса и вопросы о том, где же продукты безопасности и услуги должны применяться в мире многочисленных производителей виртуальных машин.

«Виртуализация кардинально изменит обеспечение безопасности и управление компьютерной средой», — отметил аналитик Gartner Нейл Макдональд, выступая на саммите безопасности Gartner Security and Risk Management Summit в США. «Сотрудники стали более мобильными и их труднее обезопасить. Это нарушает политики безопасности, связанные с физическим расположением. Нам необходимы политики не зависящие от топологии сети».

По оценкам Gartner, на сегодняшний день почти половина серверов x86 виртуализирована, при наличии явного рыночного лидера VMware. Но подъем претерпевает Microsoft Hyper-V и еще один соперник, Citrix. Gartner поддерживает движение предприятий по переходу на приватные облачные инфраструктуры. Но в то же время консультационная фирма признает, что инструменты контроля и обеспечение безопасности не достигли соответствующего уровня.

«Гипервизоры будет менее безопасными, чем физические системы, которые они заменяют», — заявил Макдональд. «Целостность нижнего уровня имеет первостепенное значение. Уровень гипервизора не должен быть взломан».

Сегодня часто наблюдается «недостаток прозрачности и контроля на внутреннем уровне VM-to-VM сообщений», — сообщил Макдональд. «Должна ли VM номер 1 говорить с VM номер 3? Как узнать, что тебя не атакуют? Трафик никогда не выходит в нашу физическую сеть». Некоторые компании готовы жить в такой неопределенности, другие нет, сказал Макдональд.

Но эти вопросы должны быть решены, чтобы обеспечить виртуализированную и облачную безопасность. С точки зрения Макдональда необходимо применение различных мер контроля в вопросах обеспечения безопасности виртуальных машин, таких как, например, виртуальные брандмауэры, системы предотвращения вторжений и антивирусы, в дополнения к балансировщикам нагрузки и шейперам трафика.

Все больше такие производители, как Altor, Cisco, Juniper, IBM, Hytrust, HP, Enterasys, McAfee, Catbird, StillSecure, Sourcefire, Reflex Systems и StoneSoft предлагают виртуализованные возможности для брандмауэров, систем мониторинга и предотвращения вторжений. Что касается VMware платформы, «Check Point продвинулась», — сказал Макдональд. «После медленного старта, крупные поставщики продуктов безопасности наконец прогрессируют в плане контроля виртуальной безопасности».

Компания VMware предоставила VMSafe API для облегчения гипервизорного «самоанализа», так чтобы многочисленные программные агенты больше не требовались. Необходимость развертывания и запуска программных агентов традиционно «отравляла наше существование», признал Макдональд. Но все же есть много вопросов о том, как именно это работает.

Trend Micro, рассматриваемый как третий игрок среди производителей антивирусов после Symantec и McAfee, быстрее всех принял некоторые идеи VMware, включая поддержку последних API безопасности VMware vShield в своем продукте Deep Security, который может осуществлять антивирусное сканирование для vSphere. Trend Micro берет меньшую плату за антивирусное ПО на базе VM, возможно, полагая, что ей нечего терять», отметил Макдональд.

Макдональд сказал, что недостаток подхода Trend Micro Deep Security к vShield состоит в том, что код для VMware всё еще должен быть модернизирован с целью нормальной работы и расширения программы управления виртуальной операционной системой; также стоит добавить, что он разработан только для Windows и помещает в карантин, но не удаляет вредоносные инфекции; он только выполняет сканирование вредоносного ПО. И возможный недостаток vShield, берущего на себя функцию брандмауэра, состоит в том, что программное обеспечение специфично для VMware vSphere.

Переход к ориентированным на виртуализацию и основанным на программном обеспечении средствам контроля за безопасностью хоть и содержит много неточностей, но ожидается, что он всё же будет завершен к 2015 году; Gartner предсказывает, что 40% средств контроля за безопасностью, таких как антивирус, будут виртуализированы. Макдональд добавил, что это случится не смотря на то, что такие производители, как Cisco и Juniper замедляют процесс, потому что им нравится продавать «физическое оборудование по завышенным ценам».

На данный момент главная идея – «считать платформу виртуализации самой важной платформой в сфере информационных технологий в вашем информационном центре с точки зрения безопасности и менеджмента», — сказал МакДональд.

Для тех, кто ответственен за управление идентификационными данными в облаке, ситуация является особенно сложной.

«Около двух лет назад мы говорили о том, как сделать управление идентичностью внутренним», — сказал аналитик Gartner Грег Крайзман. «Теперь вопрос для обсуждения другой – как нам справится с проблемой SaaS? Или раньше мы управляли приложениями, а теперь они в облаке… это ведет к совершенно новому вопросу – что, если наши идентификаторы личности также будут там?».

Облако не схоже со старыми моделями развёртывания и использования ПО, при которых ПО устанавливается и управляется внутри организаций, сказал Крайзман, и поскольку провайдеры SaaS используют другие интерфейсы, теперь существует риск попадания под большее количество атак, а также большее количество людей обладает доступом к данным. Google «не очень-то честен, когда рассказывает о своей практике безопасности», — поведал Kreizman.

«К сожалению, дефолтный путь помещения идентификационной информации в SaaS – администрирование вручную», — сказал Крайзман. Нужно использовать FTP или Dropbox. А ведь тот же Dropbox – система, которая пострадала от нескольких проблем в безопасности, включая проблему с паролями, которая оставила открытой пользовательскую информацию на прошлой неделе.

Сегодня компании, желающие расширить их корпоративные системы управления идентификационными данными путем использования облака должны стремиться к корпоративным системам управления – от таких, которые предлагает CA (которая приобрела Arcot Systems) или IBM, до систем самих поставщиков облачных услуг, если это возможно. Помимо этого существуют такие компании, как Exostar и Covisint, которые работают в области под названием «community federation hub» с целью обслуживания особых групп клиентов, в данном случае в основном связанных с авиацией и космосом, обороной, производством авто и здравоохранением.

Сейчас можно говорить о гонке, которая возникла на рынке управления идентификацией с подключением к облаку из-за появления большого выбора, что приводит к созданию «неустойчивого рынка с быстро меняющимися ценами», сказал Крайзман.

Среди «участников»: Okta, Clavid, Symplified, Onelogin, Ping Identity и Nordic Edge (приобретенная Intel). Некоторые традиционные производители систем управления идентификацией и доступом, включая Fisher International, idEntropy, Novell и Lighthouse, продают пакеты услуг и услуги, выгодные для облачных провайдеров и клиентов.

В августе прошлого года VMware приобрела TriCipher с надеждой предоставить клиентам более легкое управление SaaS в будущем. Технологии RSA, как ожидается, будут использованы в облачной системе проверки подлинности, которая скоро будет доступна в бета-версии.

Хоть управление идентификацией и доступом – новая услуга, Gartner ожидает, что пользование этой услугой может увеличиться во много раз в течение нескольких лет — с 5% продаж до 20% к концу 2012 года.



Оставить мнение