Широкое применение виртуализации началось сравнительно недавно, однако сейчас это одна из наиболее передовых технологий, которая применяется организациями не только в целях консолидации и сокращения расходов. Согласно исследованиям агентства Morgan Stanley, в 2011 году руководство компаний продолжит массовый перевод рабочих серверов на виртуальную основу, в результате чего доля таких серверов в текущем году возрастет до 55% (по сравнению с 42% в 2010 году). Но, несмотря на свою популярность, виртуализация связана с многочисленными вопросами безопасности.
О том, как защищать свои данные в виртуальной среде «Капитал.kz» рассказал Георгий Цициашвили, менеджер по работе с бизнес-партнерами в странах СНГ Check Point Software Technologies.
– Одним из трендов текущего года в области компьютерных угроз может стать виртуализация. Какие шаги должны предпринять IT-специалисты компаний, чтобы максимально обезопасить информацию, хранящуюся на виртуальных серверах?
– Компании все больше начинают задумываться о сокращении операционных расходов, консолидации ресурсов, вопросах использования мощного программного обеспечения для выполнения разнообразных задач, в связи с этим большое количество организаций осознает необходимость перехода в виртуальные среды.
Главная опасность виртуализации – консолидация всех процессов на одном устройстве. В физическом мире уровень безопасности приложений, данных разделяется на отдельные зоны безопасности. Если мы устанавливаем все приложения на одну физическую машину, например, VMware ESX, в этом случае достаточно скомпрометировать одну виртуальную систему, чтобы получить доступ практически ко всем остальным. Такой трафик не будет проходить через традиционный межсетевой экран на периметре.
Возникает задача, с одной стороны, иметь в рамках виртуализации системы в большом количестве на одном оборудовании для консолидации ресурсов, снижения стоимости владения. А с другой стороны, необходимо их очень тщательно изолировать друг от друга, инспектировать трафик, даже внутри одной физической машины.
Разделение с точки зрения зон безопасности – это только одна из задач, которая встает перед службой по информационной безопасности в условиях виртуализации. Есть и другие зоны ответственности. Например, чтобы добавить какую-то новую систему в физическом мире, нужно заказать компьютер, согласовать подключение к сетевому оборудованию, то есть ввести в эксплуатацию новое решение и сервисы, что сопровождается порой большим количеством процедур. В случае с виртуализацией новое рабочее место создается очень легко. Настолько легко, что в организациях, где разрешено бесконтрольное распространение виртуализации, системы «растут» настолько быстро, что теряется информация о том, кто, когда и с какой целью их создал, нужны ли они в данный момент времени. И что хуже всего, бывает такое, что они существуют по умолчанию и имеют расширенный доступ к другим ресурсам. Именно поэтому правильной политикой с точки зрения информационной безопасности является полная изоляция вновь созданной виртуальной системы до тех пор, пока не будут предоставлены определенные полномочия.
Сложность виртуальных и облачных технологий заключается в том, что виртуальные системы могут свободно перемещаться по различным физическим серверам внутри кластера. Если в физическом мире машина остается в своей собственной зоне, которая ей была предназначена, то в виртуальном мире, если один из блейдов выделить в демилитаризованную зону, то он может легко переместиться в другую зону безопасности – с другими политиками, с другими уровнями доступа.
Несмотря на то, что виртуальная система перемещается между физическими машинами, на которых она выполняется, не всегда такое перемещение связано с вмешательством человека. Например, консолидация ресурсов на ночь на части «лезвий» с отключением питания на оставшихся. С приходом утра дополнительные «лезвия» включаются, нагрузка повышается, приложения начинают «переезжать», балансировать загрузку. Безопасность должна следовать за приложениями внутри этого облака, куда бы они ни перемещались.
– Как компаниям противостоять рискам, связанным с широким использованием социальных сетей? По Вашему мнению, является ли решением проблемы полный запрет на использование социальных сетей сотрудниками?
– Важно предоставлять информацию пользователям, сообщать о происходящих процессах. Когда сотрудник вовлечен в процесс принятия решений, а у ИТ-администратора есть возможность индивидуально настраивать политики использования приложений, то процесс выстраивания информационной безопасности становится менее болезненным. Доступ к социальным сетям, например, не всегда можно блокировать полностью, так как определенным отделам, например, маркетинговому или по подбору персонала, в работе он необходим. Бывают такие ситуации, когда сотрудникам необходим доступ к Facebook, однако отсутствует необходимость в разделе «Игры». Стандартная URL-фильтрация c подобной функцией разделения доступа не справится, нужен более расширенный контроль.
Важно напоминать пользователям об информационной политике, рассказывать, что стоит за этим понятием, протоколировать информацию, формировать отчеты. Если же вести подобную работу бездумно, просто «перерубая» все концы, то пользователи могут воспользоваться инструментами туннелирования трафика, чтобы обойти корпоративные ресурсы. Когда политика становится неоправданно жесткой, то пользователи могут начинать подключать мобильные телефоны как GPRS-модемы. Тем самым они не только выходят в социальные сети, а, что намного хуже, открывают бесконтрольный канал за пределами корпоративного межсетевого экрана. Поэтому слишком жесткие правила – это совсем не эффективно. Процессом необходимо управлять, а не блокировать и запрещать.
– Компания Check Point недавно объявила о выходе Check Point R75. Есть ли уже интерес к этому продукту со стороны Ваших клиентов?
– Интерес есть, безусловно. Собственно говоря, ответ на данный вопрос вытекает из предыдущего, поскольку R75 дает большие возможности с точки зрения управления безопасностью, причем с вовлечением пользователей. Как только система начинает предоставлять сотрудникам возможность участвовать в принятии тех или иных решений, разъясняя и напоминая о действующих в организации политиках безопасности, человек начинает осознавать свою ответственность. Это один из ключевых факторов концепции 3D Security, которая позволяет организациям преобразовать обеспечение безопасности в бизнес-процесс путем объединения следующих трех сфер: политики, персонала и выполнения требований.
– Могли бы Вы охарактеризовать в сравнении уровень защищенности от компьютерных угроз компаний в Казахстане и других странах СНГ? Есть ли типичные для местных компаний «узкие» места в этом вопросе?
– Чем выше уровень развития информационных технологий, тем сложнее и опаснее угрозы. Соответственно, чем сильнее угрозы, тем выше должна быть степень защиты. Если не рассматривать Россию и Украину, то по уровню защищенности от компьютерных угроз компании Казахстана занимают лидирующую позицию, разделив пальму первенства с еще одной страной.
Теперь о том, что можно считать «узким» местом (это не только в Казахстане, но и в других странах СНГ). Я выделяю два момента. Первое: затраты на информационную безопасность часто воспринимаются как расходная статья бюджета. Однако при внедрении систем информационной безопасности пользователь сберегает во много раз больше. Мне нравится сравнение с медицинской страховкой: возможно, заболею, а возможно, нет, но страховка необходима.
Второе: в ряде случаев пользователь готов к тому, чтобы создать у себя полноценную структуру защиты информации, но его часто смущают чрезмерная сложность реализации и приобретение продукции различных производителей. Мы же предлагаем архитектуру «Программные блейды» – независимые и гибкие модули безопасности от одного производителя, при помощи которых пользователь строит шлюз безопасности с необходимым ему функционалом.
