I dipartimenti IT delle organizzazioni moderne spesso virtualizzano di default nuove applicazioni e carichi di lavoro.
La virtualizzazione è, ormai, la norma, e il deployment di un server fisico l’eccezione. Tuttavia, 1/3 delle aziende ammette di non aver investito in sicurezza per i propri ambienti di elaborazione virtualizzati. Perché no?
Secondo una recente indagine condotta da Forrester, l’85% delle organizzazioni ha adottato o sta progettando di adottare la virtualizzazione di server x86; il 79% delle aziende ha già sviluppato o sta progettando una policy del tipo “virtualizzazione prima di tutto” e, in media, il 52% dei server x86 nelle imprese è virtuale, con una proiezione vicina al 75% entro i prossimi due anni.
La stessa indagine, però, mette in luce come molti responsabili dei servizi di sicurezza informatica (CISO) non siano ancora consapevoli dei rischi cui sono esposti gli ambienti astratti, mentre altri sono molto preoccupati per i loro ambienti virtuali ma non sempre hanno il potere di applicare nuove policy o implementare nuovi controlli di sicurezza.
I percorsi
Secondo Andrew Lintell, direttore corporate sales della società di sicurezza Kaspersky Lab, è la congiuntura economica attuale che ha spinto molte aziende a far decollare l’uso della virtualizzazione negli ultimi 18 mesi. “L’industria della sicurezza sta facendo i conti quotidianamente con l’aumento delle minacce agli ambienti virtualizzati. Le organizzazioni sembrano essere più consapevoli di ciò di cui hanno bisogno per astrarre i loro ambienti che non dei rischi associati a questa operazione”.
“Storicamente le aziende hanno adottato tecnologie nuove ed emergenti, come Internet, in virtù dei loro benefici evidenti, senza pensare alle implicazioni di sicurezza”, ha commentato David Emm, ricercatore senior di Kaspersky Lab.
La virtualizzazione è un buon esempio di quegli ambienti nei quali avere “un po’” di conoscenza può rivelarsi davvero pericoloso.
Uno studio condotto da Kaspersky Lab a livello globale tra le imprese con 100 o più postazioni di lavoro informatiche, ha riscontrato che il 42% del campione ritiene che i propri server virtuali siano più sicuri di quelli fisici, nonostante il fatto che un intervistato su tre ammetta che la propria conoscenza in materia di virtualizzazione è “basic”.
I rischi per gli ambienti business-critical
“C’è la percezione comune che le macchine virtuali siano più sicure di quelle fisiche, ma questo è poco più che un mito. Infatti, i sistemi virtuali sono altrettanto vulnerabili al malware, che compare sotto forma di codici maligni arrivati come allegati di posta elettronica, attacchi drive-by-downloads, Trojan botnet e anche attacchi spear-fishing mirati”, ha dichiarato Peter Beardmore, senior director prodotti e servizi di Kaspersky Lab.
“Non c’è dubbio che i vantaggi economici della virtualizzazione siano enormi, sia in termini di costi che di accessibilità. Ma sottovalutare i rischi per la sicurezza pone le aziende di tutte le dimensioni in una posizione pericolosa”.
Nonostante la scarsa conoscenza della virtualizzazione, lo studio Kaspersky ha messo in luce che l’81% dei servizi implementati in ambienti virtuali sono di tipo business-critical. Circa la metà di coloro i quali si sono rivolti a fornitori di servizi di gestione delle applicazioni in ambienti virtuali ha ammesso di non avere una comprensione completa del tema e, soprattutto di non sapere come si fa a garantire la sicurezza di questo tipo di ambiente.
Mentre i professionisti IT hanno rapidamente virtualizzato gli ambienti informatici, per ridurre i costi e migliorare la flessibilità, Forrester Research ha scoperto che i professionisti della sicurezza sono rimasti ai margini di questa svolta tecnologica, vuoi per scelta o per costrizione. “I manager sono così concentrati sulle prestazioni e i costi che la sicurezza è spesso trascurata o aggiunta in coda, in chiusura di progetto”, ha chiarito Lintell. Come risultato, i dipartimenti IT tendono a fare affidamento su sistemi di sicurezza tradizionali, progettati per gli ambienti fisici, per proteggere anche gli ambienti virtuali. In genere, le organizzazioni si affidano ai sistemi di sicurezza esistenti perché non hanno ancora sviluppato un piano per l’ambiente virtuale, rileva la ricerca di Forrester.
I rischi della virtualizzazione
Molti professionisti della sicurezza non sono consapevoli di quali strumenti sono disponibili per la protezione degli ambienti virtuali e men che meno sono avvezzi a quelli specificamente pensati per la virtualizzazione server, rilevano i ricercatori Forrester. “Molti professionisti IT pensano che un server virtuale sia proprio la stessa cosa di uno fisico, ma non è così. I rischi sono ben diversi”, ha messo in guardia l’analista di Forrester Andrew Rose.
Secondo Forrester, questi rischi includono:
• Visibilità limitata sul traffico interno tra le diverse macchine virtuali.
Molti professionisti della sicurezza non hanno gli strumenti per ispezionare il traffico tra due macchine virtuali ospitate sullo stesso server virtuale.
• Aumento della vulnerabilità alle minacce interne.
La natura “collassata” degli ambienti virtuali aggrava l’impatto delle minacce interne.
• Incapacità di mantenere i controlli di sicurezza in un ambiente dinamico.
Il Change and Configuration Management può essere difficile in un ambiente virtuale, perché è davvero facile aggiungere o eliminare una virtual machine e la proliferazione scomposta delle macchine virtuali è una realtà sperimentata da molte organizzazioni.
• Maggiori necessità di compliance.
La virtualizzazione aumenta i requisiti di conformità. Il PCI Security Standards Council, ad esempio, ha emesso il suo primo orientamento in materia di sicurezza della virtualizzazione nel giugno 2011 e gli altri organismi internazionali lo stanno seguendo a ruota.
• Necessità di garantire la sicurezza di una pluralità di layer.
Con la virtualizzazione, si stratificano negli ambienti IT ulteriori layer infrastrutturali e gestionali, che sono parecchio importanti da proteggere. Come avviene per lo stesso hypervisor, che introduce in azienda alcuni nuovi rischi, anche se finora marginali.
Mentre David Emm di Kaspersky Lab ha confermato che la minaccia per l’hypervisor rimane teorica, l’esperto sostiene che le aziende non possono, in ogni caso, permettersi di trascurare la sicurezza del VM. “Legato a questo aspetto, c’è il fatto che le macchine virtuali possono essere facilmente ricollocate all’interno di nuovi ambienti che potrebbero rivelarsi intrinsecamente meno sicuri – ha messo in guarda Rose -. Lo stato della sicurezza di una macchina virtuale che sia spenta o inattiva è facile da trascurare, la vera sfida è riuscire a tenerne traccia“.
Un altro motivo comune per non implementare la protezione degli ambienti virtuali, ha detto Emm, è che i professionisti della sicurezza informatica non riescono a comprendere il “rischio emergente”. La virtualizzazione, ha spiegato, è una tecnologia che insinua a poco a poco nel loro lavoro, tanto che solo a un certo punto si “svegliano” e capiscono che qualcosa deve essere fatto.
Come implementare le misure di sicurezza negli ambienti virtualizzati
Forrester suggerisce che le imprese, nell’affrontare la sicurezza degli ambienti virtuali, puntino a un livello di protezione che sia almeno pari a quello del loro approccio generico alla sicurezza. Partendo da questo livello, poi, dovrebbero cercare nuove opportunità per migliorare la tutela specifica degli ambienti astratti.
Per fare questo, Forrester consiglia:
• L’applicazione di un modello di sicurezza “zero trust” delle informazioni, in cui tutto il traffico di rete è, per definizione, non attendibile.
• L’implementazione di un sistema di sicurezza “a prova di virtualizzazione”. Bisogna rifuggere la chimera di affidarsi a sistemi di protezione di tipo tradizionale, mette in guardia l’analista.
• L’implementazione di sistemi privilegiati di gestione delle identità.
• L’integrazione di tecnologie di gestione delle vulnerabilità all’interno dell’ambiente virtuale.
La formazione ad hoc
“L’industria ha bisogno di svegliarsi da questa situazione di torpore e investire in soluzioni di sicurezza adeguate, che siano abbinate sempre a un programma di formazione completo”, ha commentato Beardmore.
Anche Forrester concorda sulla necessità di formazione specifica, che suggerisce altresì di assumere professionisti della sicurezza informatica dotati di provate competenze in materia di virtualizzazione o con esperienza specifica di lavoro maturata all’interno di organizzazioni dedite ai servizi gestiti, servizi erogati attraverso datacenter virtualizzati di grandi dimensioni. Questi professionisti, solitamente, hanno familiarità con gli ambienti multi-tenant e spesso hanno una conoscenza profonda su come fare a rendere sicuri i carichi di lavoro multi-tenant.
