Desítky virtuálních strojů na jednom serveru mohou zvýšit reakční schopnost IT oddělení, snížit náklady, zvednout produktivitu, omezit spotřebu elektrické energie a uspořit cenné metry čtvereční prostoru. Proto není divu, že virtualizace přitahuje společnosti všech velikostí. K tomu připočtěte rostoucí poptávku po cloud computingu, která tento trend jen podporuje…

V rámci objektivity je však nutno zmínit také odvrácenou stranu mince. Tou jsou pro většinu CIO především obavy o bezpečnost virtualizované infrastruktury. Aktuální studie evropské analytické společnosti Kuppinger ukazuje, že čtyřicet procent organizací je přesvědčeno o obtížnějším zajištění bezpečnosti virtualizovaných prostředí (v porovnání s prostředím fyzickým). Jen devět procent dotazovaných tvrdí opak. Ono se ovšem není čemu divit, když většina dnešních bezpečnostních technologií a pravidel pro virtualizovaná prostředí velkoryse opomíjí mnoho specifik virtualizovaných infrastruktur. Jinými slovy: většina firem nejenže nepodniká dostatečné kroky k zajištění adekvátní bezpečnosti virtualizovaných a smíšených prostředí, ale ani je neumí kvalitně spravovat.

Jak již bylo řečeno, organizace si plně uvědomují bezpečnostní rizika spjatá s virtualizací. Proč jich tedy tolik zanedbává nasazení bezpečnostních řešení? Odpověď je nasnadě: mnoho firem se stále potýká s relativně nedospělým přístupem k virtualizaci jako celku. Chybí jim zkušenosti i znalosti, ignorují procesy, pravidla i standardy a pomíjí potřebu vyšší míry zabezpečení řešení virtualizace. Informační bezpečnost dnes není jen o vhodných technologiích, její zajištění je dlouhodobým procesem.

Automatizace a jednotná správa: půl úspěchu

Jedním z důvodů neadekvátního zabezpečení je nedostatečné využívání automatizace, například v souvislosti s bezpečnostními pravidly pro přístup uživatelů k určitým zdrojům. Tento proces je často spravován manuálně, bez nasazení dalších podpůrných technologií – a všichni přece víme, že lidský faktor je největším ohrožením bezpečnosti. I nižší administrativní pracovníci mají mnohdy přístup k datům, která k práci vůbec nepotřebují a mohou na nich napáchat víc škody než užitku. Zde může výrazně pomoci řešení automatizace, které usnadní rozdělení (a kontrolu přístupu) uživatelů dle pracovní náplně a zajistí, aby zaměstnanec dostal jen taková práva a byl mu udělen přístup pouze k takovým datům, která jsou absolutně nezbytná pro výkon jeho pracovní náplně, postará se o vyšší zabezpečení obchodně kritických dat a zajistí compliance (dodržování zákonných požadavků).

Můžete namítnout, že cena za zabezpečení virtuální infrastruktury je přehnaně vysoká a váš rozpočet na tuto položku nedovoluje implementaci sofistikovanějších řešení. Pokud však v organizaci využíváte strategie a nástroje, které pružně podporují heterogenní platformy a dovolují jednotnou správu virtualizovaných i fyzických systémů, rovnoměrně rozložíte náklady na zabezpečení kompletní infrastruktury – fyzické i virtualizované. Zároveň zautomatizujete neefektivní bezpečnostní procesy a zajistíte konzistentnější i efektivnější zabezpečení. Otázku bezpečnosti je při nasazování virtualizace nutno řešit v raných plánovacích fázích, aby se předešlo komplikacím s nedostatečným zabezpečením a pro daný účel byly z rozpočtu vyhrazeny dostatečné prostředky.

Při virtualizaci IT prostředí je rovněž důležité zajistit provázanost správy bezpečnosti se správou infrastruktury i služeb. Počítejte se záležitostmi, jako je řízení změn, správa konfigurací, server provisioning, DLP (data loss prevention) pro prevenci před ztrátou dat, správa incidentů a problémů, výkonnostní management, správa úrovně služeb a katalogy služeb. Automatizace je zásadním požadavkem pro získání skutečných výhod plynoucích z virtualizace. Tato provázanost a integrace je zase nezbytná pro dosažení potřebné úrovně automatizace.

Unifikovaný přístup k bezpečnosti napříč fyzickým i virtualizovaným prostředím umožňuje jednotnou správu lidských zdrojů, procesů i technologických aspektů. Organizace však musejí při implementaci volit partnera s dostatečnými zkušenostmi i adekvátní nabídkou unifikovaného automatizovaného řešení pro pokrytí smíšených (fyzických i virtualizovaných) infrastruktur.

A rozhodně nezapomeňte na zajištění shody s ustanoveními. Už ze své podstaty jsou virtualizovaná prostředí dynamičtější a pracovní zátěž virtuálních serverů mobilnější. Pro plnění souladu s regulatorními a auditorskými požadavky je proto kriticky důležité mít neustále přehled a kontrolu nad tím, co se ve virtualizovaném prostředí vlastně děje.

Cloud je na tom obdobně

Obavy o bezpečnost jsou hlavní brzdou rovněž v otázce využívání služeb cloud computingu. I zde je však situace díky lepší nabídce dodavatelů řešitelná. Před přechodem ke cloudu musí společnosti zvážit různé varianty (SaaS, PaaS a IaaS, interní nebo externí hosting, veřejný nebo privátní cloud apod.). Musejí rovněž dobře rozumět vlastním službám, které již využívají, a identifikovat ty nejvhodnější k přesunu do cloudu. Při zvažování externích služeb cloudu porovnejte různé dodavatele a jejich nabídky (SLA se zde řeší obdobně jako u tradičního outsourcingu).

Nezapomeňte, že cloud koexistuje s ostatními (tradičními) platformami a společně tvoří podnikovou IT infrastrukturu. Pro zabezpečení cloudu by proto neměla být vytvářena separátní pravidla. Ta musí zahrnovat celé IT prostředí včetně cloudu a vytvářet konzistentní rámec pro kompletní infrastrukturu. Podívejte se proto na to, co již máte, a adekvátně to přizpůsobte pro použití v cloudu.

Tradiční bezpečnostní modely musí projít nutnou evolucí, aby pokryly také nové výpočetní alternativy. Velkým problémem je například tzv. data sprawl – tedy situace, kdy nemáte plnou kontrolu a přehled nad tím, jak a kým jsou vaše data využívána a sdílena, ani kde se nachází. Tento svízel v cloudu ještě získává na ošemetnosti, neboť model cloud computingu je ze své podstaty vysoce dynamickým, často sahá za typické hranice organizace a mnohdy je sdílen s dalšími podniky. Tradiční bezpečnostní perimetr proto nemůže nabídnout dostatečnou míru kontroly nad daty a jejich pohybem v cloudu. A ačkoli standardní řešení pro prevenci ztráty dat (DLP) umí lokalizovat, klasifikovat i kontrolovat informace, pro účel použití v rámci cloudu jsou samostatně zkrátka nedostatečná. Tam je potřeba ke vztahu k datům nasadit řešení vycházející z pravidel nastavených na základě identit – ať už jde o jejich kontrolu, nebo o jejich ochranu. DLP řešení nám tedy umožní porozumět informačnímu obsahu našich souborů a dokumentů, zatímco řešení založená na identitách přidává potřebnou „inteligenci“ a zaručuje nám kontextualizaci těchto dat – kdo se je snaží využívat, jak by měla být využívána (ke kopírování, k tisku atd.).

Samotná řešení DLP musejí následně vycházet z identit jednotlivých uživatelů. Je proto třeba je integrovat s technologiemi IAM (identity and access management). Naopak technologie IAM musejí nabízet také kontextuální informace, aby poskytly dostatečnou úroveň přehledu a kontroly, což podporuje sdílení dat a minimalizuje riziko. Klíčová je tedy integrace, nebo chcete-li propojenost technologií DLP a IAM. Jedině tak máte nad daty dokonalý přehled a do cloudu pošlete jen ta data, pro něž to opravdu považujete za vhodné.

Přijetí virtualizace není krátkodobým projektem, jde o dlouhou cestu. Je třeba revidovat existující pravidla, procesy a procedury, které by podpořily měnící se IT prostředí a zabezpečily celou IT infrastrukturu. Aktualizované bezpečnostní strategie musejí zajistit také zabezpečení samotných dat a umožnit jejich efektivní pohyb i využívání. Automatizace není možností, ale nutností – bez ní zkrátka nepocítíte všechny výhody plynoucí z virtualizovaného prostředí. A technologie IAM? Ty jsou jen další z klíčových ingrediencí k úspěchu.

Igor Kopřiva
Autor působí jako software engineering manager ve společnosti CA Technologies.