מייק סטון, CTO ארטנט: "הווירטואליזציה מייצרת גמישות עסקית – אך גם איומי אבטחה"
לדברי סטון, "חשוב להבין, שעקרונות האבטחה לא השתנו מאז ימי הביניים - גם בסביבה וירטואלית יש צורך לדאוג לכך שיהיו גבולות בין אויבים פוטנציאלים לכל מה שיקר וחשוב לארגון" ● הוא ציין, כי "מומלץ שלא לשים באותו השרת מערכות בעלות רמת סיווג שונה. ההפרדה בין מערכות שעל גבי אותו שרת פיזי עדיין לא מספיק חזקה בכדי למנוע יכולת מעבר ממערכת למערכת"
"עדיין לא קיימים כלי התמודדות יעילים עם האיומים הפוטנציאליים על ה-Hyperwiser, שכבת הביניים המגשרת בין הרמה הווירטואלית לזו הפיזית. כיוון שמדובר בשכבה חדשה יחסית בעולם הטכנולוגיה, עדיין לא פותחו עבורה התקפות, אולם בחינות מעבדה הוכיחו, כי ניתן לפגוע בשכבה זו", אמר בראיון לאנשים ומחשבים מייק סטון, CTO ארטנט (Artnet) מקבוצת אמן מחשבים ומומחה אבטחה, שתיאר את היתרונות והסכנות הטמונות בסביבות הוירטואליות.
"חשוב להבין, שעקרונות האבטחה לא השתנו מאז ימי הביניים, כך שגם בסביבה וירטואלית יש צורך לדאוג לכך שיהיו גבולות בין אויבים פוטנציאלים לכל מה שיקר וחשוב לארגון. יש סכנה שארגונים ימהרו להטמיע יכולות וירטואליות מבלי שהם ישימו לב לאיומי האבטחה הפוטנציאליים. על ידי התעדכנות במידע ושימוש בתהליכים מיטביים, ניתן לצמצם סיכונים ולנצל את היתרונות שבסביבות הווירטואליות".
לדברי סטון, איום אבטחה נוסף נגרם לארגון בשל היכולת של המכונות הווירטואליות לנוע בין שרתים פיזיים שונים – כמו במקרה של איזון עומסים או התאוששות מכשל. "העובדה שלניידות המכונות הווירטואליות אין מגבלה גיאוגרפית, והיא אינה מוגבלת למיקום הפיזי בו נמצא השרת, מחייבת את הארגון לקבוע מדיניות אבטחה ביחס למעקב אחר ה-VM Motion, קרי תנועה של המכונות הוירטואליות".
הווירטואליזציה חושפת את הארגון לסכנות רבות יותר?
"לווירטאליזציה יש יתרונות חזקים שמקנים לארגון גמישות ויכולת תמרון עסקי, שלא התאפשרו לו עם השרתים הפיזיים בלבד. אחד היתרונות העצומים של הווירטואליזציה עבור ארגונים הוא היכולת להתקין שרת חדש במערך במהירות עצומה. אם פעם היה לוקח חודש כדי להטמיע שרת חדש, בסביבה וירטואלית ניתן לעשות זאת תוך חצי דקה. זה מאפשר 'Time to Market', שאף ארגון לא יכול להרשות לעצמו לפספס. ברור שטכנולוגיה חדשה טומנת בחובה איומי אבטחה חדשים, ולכך צריך להיערך, אבל הבשורה היא שלסביבה הווירטואלית יש יתרונות גם בתחום אבטחת המידע".
אילו יתרונות אבטחה יש בסביבה הווירטואלית על פני זו הפיזית?
"ובכן, יש מספר יתרונות חשובים. אחד מהם הוא שניתן לקנפג את המכונה הווירטואלית כך שתתקבל התראה יעילה על כך שגורם מסוים מנסה לבצע סריקה שקיים בה פוטנציאל חדירה לרשת הארגונית. יתרון נוסף הוא באפשרות להגן על היישומים בארגון. בדרך כלל ארגונים מנסים לשים כמה שיותר יישומים בשרת הפיזי, בעיקר בשל סיבות כלכליות. אולם, הפיירוול (Firewall) יודע להגן על השרתים ברמת כתובת ה-IP ולא ברמת היישום – כך שאם יש יותר מיישום אחד בשרת, נניח יישום Web ו-FTP, ניתן יהיה לחדור דרך ה-Web ולהשתיל סוכן ב-FTP, דבר שייתן להאקר גישה טובה למערכות הארגון. היתרון של המכונה הוירטואלית הוא בכך שניתן להתקין מכונה שכזו מול כל יישום, מה שמאפשר לפיירוול לספק הגנה יעילה ובלעדית ליישום".
איך אפשר להדק את האבטחה בסביבות וירטואליות?
"מומלץ שלא לשים באותו השרת מערכות בעלות רמת סיווג שונה. ההפרדה בין מערכות שעל גבי אותו שרת פיזי עדיין לא מספיק חזקה בכדי למנוע יכולת מעבר ממערכת למערכת. מצב זה ישתנה כאשר הספקים בשוק ייצאו עם תשתית אמינה, מבוססת Trusted Computing. המלצה נוספת, היא שכדי להתקין כמה שיותר מערכות על אותו השרת יש לבצע מידור קפדני למכונות הווירטואליות המצויות על אותו שרת פיזי. בהמשך, נדרש לחבר כל אזור למתג וירטואלי נפרד. באופן זה, כל מתג וירטואלי מתחבר לכרטיס רשת פיזי של אותו הוסט פיזי שיושב בכל מכונה וירטואלית. את כרטיס הרשת הפיזי קושרים לפיירוול – כך שכל מעבר בין רשת וירטואלית לרשת אחרת תתבצע לפי הגדרות הפיירוול".
תגובות
(0)