Risparmi di costi, maggiore agilità del business, migliori garanzie di disaster recovery. Sono questi i principali vantaggi offerti dalla tecnologia di virtualizzazione, che consente di utilizzare un unico server fisico per ospitare più server virtuali, ognuno con il proprio sistema operativo e le sue applicazioni. Tutto perfetto finché non si guarda al lato della sicurezza. La virtualizzazione obbliga le imprese ad adottare nuove regole e strumenti per impedire che possano venire compromessi la continuità del business e la confidenzialità d’informazioni. E, di conseguenza, violare standard internazionali e normative specifiche a livello locale.Sono molte le società esperte in sicurezza informatica ad avere lanciato l’allarme e a proporre soluzioni. Tra queste, Ca punta a un aspetto molto sensibile: il controllo degli accessi. “La virtualizzazione – spiega Elio Molteni, senior solution strategist di Ca Italia – richiede una gestione molto più attenta e diligente dei cosiddetti utenti privilegiati, o privileged account. I sistemi operativi quali Linux, Unix, Windows sono corredati nativamente di utenze di sistema denominate “superuser”. Queste offrono, a chi le utilizza, un potere illimitato in termini di privilegi di accesso alle risorse del sistema – server o workstation – ospitante”. Il problema è da sempre sentito in un sistema informatico. Di solito agli utenti aziendali non sono assegnate utenze che permettono di modificare la configurazione della propria stazione di lavoro. Se vogliono installare un nuovo programma, per esempio, devono chiamare un addetto ai sistemi It che sul posto, o da remoto, attraverso le sue credenziali di “amministratore” (denominazione del superuser in ambiente Windows), esegue l’operazione, sempre che sia compatibile con la policy aziendale. Windows Vista, in particolare, è dotato di sistemi che impediscono in modo ancora più stringente che nelle versioni precedenti dell’Os la “manomissione” del Pc da parte di chi non è un superuser (ed è per questo motivo che, principalmente, oggi comincia a essere apprezzato nelle imprese). Se di regola – fatte salve particolari “concessioni” più o meno formalizzate – gli utenti non amministratori non hanno diritto di accesso alle funzionalità d’installazione di software e modifica dell’ambiente operativo del loro Pc, questo avviene in modo ancora più vero verso i server. Solo in funzione del loro ruolo, gli amministratori attribuiscono a ciascun utente privilegi di accesso a questa o quella partizione di un file server o a questa o quell’applicazione remota.
Il superuser in un ambiente virtualizzato
Normalmente i superuser che lavorano nei dipartimenti informatici di un’azienda utilizzano lo stesso nome utente e la stessa password per accedere alle workstation e a uno o più server con la possibilità di fare tutto. Il numero di questi “utenti”, in una piccola azienda o un dipartimento o una business unit di un’azienda più è abbastanza limitato. I rischi di abuso dei privilegi di superuser in una piccola realtà o un’area aziendale con un proprio sistema It separato da quelli di altre aree, sono abbastanza limitati. Con il consolidamento dei server, ma ancor più con la “virtualizzazione” i rischi connessi a una non ottimale gestione dei superuser cambiano e si aggravano in modo esponenziale. “Chi opera con il privilegio – continua Molteni – può leggere, scrivere, cancellare file, attivare o disattivare servizi e persino leggere e modificare i file di log di sistema. Il fatto che spesso più amministratori condividono non solo il codice utente, o account, ma anche la relativa password, rende molto discutibile il processo di autenticazione e le conseguenti autorizzazioni. Questa vulnerabilità dei sistemi operativi si amplifica enormemente in un ambiente dove è adottata la virtualizzazione e i sistemi di controllo (accesa contro system) sono inadeguati”. Per rendere ancora meglio l’idea delle problematicità cui si va incontro, Molteni ci spiega più in dettaglio cosa può rappresentare un superuser in un ambiente virtualizzato. “Con la virtualizzazione, i sistemi operativi e i loro impliciti rispettivi utenti superuser sono una realtà da considerare a due livelli: a livello fisico (physical hosting layer) e a livello virtuale (virtual server layer). Il server fisico, spesso referenziato come “hypervisor” o “privileged partition”, supporta tutti i server virtuali ospitati. Ogni macchina ospitata sullo specifico hypervisor ha la propria istanza di sistema operativo e l’utente superuser associato. Ma anche il livello fisico, cioè l’hypervisor, a sua volta è dotato di un utente superuser. Per esempio, un server fisico che ospita cinque server virtuali ha ben sei superuser: uno per il livello fisco e uno per ogni server virtuale ospitato. È chiaro che i cinque utenti privilegiati presenti sui cinque server ospitati debbano essere controllati e governati in modo opportuno. Chiunque acceda con i privilegi di un superuser a uno dei server virtuali può non solo ottenere informazioni presenti sulla macchina, anche creare ingenti danni al sistema operativo, innescare uno “sbilanciamento” dei carichi delle risorse di sistema (memoria, Cpu, etc.), banda di rete e altro ancora. Di fatto, l’uso improprio e non controllato di un utente superuser a livello hypervisor può impattare su tutti i server virtuali considerati nell’esempio”.
Prevenire guasti e violazioni delle compliance
I rischi connessi a un mancato adeguamento delle regole e dei sistemi di sicurezza alle specificità di un ambiente virtualizzato possono quindi riguardare sia gli aspetto hardware, software e di operatività del sistema informativo sia quello del rispetto delle normative. “Il rischio maggiore – precisa il senior solution strategist di Ca – è associato proprio al livello fisico dell’hypervisor. Se consideriamo che oggi, a differenza di qualche anno fa, un sistema virtualizzato possa ospitare applicazioni vitali per il business di un’aziendale, ecco che la sicurezza negli ambienti virtualizzati merita effettivamente un’attenzione ancora maggiore rispetto agli ambienti tradizionali. I server o macchine virtuali ospitate dall’hypervisor sono identificati e associati a dei file o set di file/directory dell’hypervisor stesso. Con i privilegi associati alla figura di superuser è facilissimo, per errore o per dolo, spostare o cancellare questi file. Se la macchina virtuale corrispondente a questi file offre un servizio in produzione, potete immaginare i danni conseguenti per l’azienda. Questo livello di rischio non può essere accettato da nessuna organizzazione che intenda fare business in modo continuo e profittevole. È quindi necessario che ogni impresa che adotti la virtualizzazione prenda le dovute precauzioni attraverso appropriate misura di sicurezza”. Benché un’innovazione tecnologica ancora fresca e in fase di espansione all’interno delle aziende, la virtualizzazione e i nuovi rischi connessi siano già stati presi in considerazione da diverse normative. Comunque sia, i rischi associati all’adozione non ragionata della virtualizzazione, anche qualora questa non sia esplicitamente menzionata, rientrano tra quelli che le normative obbligavano già a prevenire o mitigare. “Le caratteristiche che devono possedere i sistemi operativi – spiega Molteni – sono ben note e indirizzate dalle differenti normative e dagli standard internazionali quali la Sarbanes Oxley (Sox), il Payment Card Industry Data Security Standard (Pci/Dss), e le direttive dell’Unione europea in materia di privacy (European Union Privacy Directives). Le organizzazioni, e di conseguenza l’Information Technology, sia esso interno o in outsourcing, devono conseguentemente porre la massima attenzione verso i rischi, in termini di “data security” e “compliance” impliciti nella virtualizzazione dei sistemi.
Controllare i privilegi e separare le responsabilità
Ma come agire per porre rimedio a eventuali lacune in questo senso? “Due sono gli approcci base per ridurre i rischi associati all’adozione della virtualizzazione” risponde Molteni. “Il primo è rafforzare il controllo degli accessi, il secondo è tracciare opportunamente le operazioni svolte dai server virtuali. Ecco che ritornano protagoniste alcune regole essenziali per il controllo degli accessi: least privilege e separation of duty. La prima si basa sul concetto che un utente possa accedere solo alle risorse richieste per svolgere la propria mansione. Molti utenti possono richiedere accesso a più server, ma raramente un singolo utente ha bisogno di privilegi illimitati su tutti i server. Il fatto steso che un’utenza superuser sia equivalente su tutte le macchine virtuali e magari abbia la medesima password, non rappresenta certo una garanzia di sicurezza. Se da un lato quest’ appare come una semplificazione, il rischio di sicurezza è altissimo: per esempio quello legato alla separation of duty, che da noi in Italia si definisce separazione dei compiti e delle responsabilità. Non dimentichiamo che tutte le normative, inclusa la legge sulla privacy italiana (D. Lgs, 196/03) dettano regole ferree sull’unicità delle identità digitali. Secondo la regola della separation of duty e del least privilege, un amministratore di sistema incaricato del backup di un’applicazione critica, quale quella delle vendite, dovrebbe essere autorizzato solo all’operazione di copia dei dati, senza cioè poterli vedere o modificare. Di conseguenza, un adeguato livello di sicurezza in un ambiente virtualizzato richiederebbe che quell’amministratore potesse agire sullo specifico server, con privilegi ridotti, e non, necessariamente, con accesso globale (accesa all’) a tutte le macchine virtuali. Se usasse l’utenza “root” (in ambiente Unix/Linux) o “amministratore” (in Windows), avrebbe accesso a tutto e su tutte le macchine, vanificando ogni sforzo teso a garantire un livello di sicurezza dei dati magari detta dalle policy aziendali, a loro volta associate a una direttiva specifica”. L’adozione di un adeguato livello di tracciabilità delle operazioni di accesso, soprattutto all’interno di un ambiente virtualizzato, non garantisce oggi la possibilità per un’azienda di cautelarsi in termini di controllo a posteriori. Con l’amalgamarsi di più server virtuali in un unico server fisico e il conseguente aumento dei superuser a esso associati, l’affidabilità degli attuali log degli accessi, inclusi quelli dei superuser, tende a diminuire. Occorre prevedere nuove contromisure. “La tracciabilità cautelerebbe un’azienda – spiega il manager di Ca – se il tanto discusso superuser non fosse di utilizzo comune e se i dati di log fossero, come si suol dire i gergo tecnico, “tamperproof, in altre parole non potessero essere manomessi. Peraltro – pone l’accento Molteni – i requisiti di controllo dei superuser e la non modificabilità dei log (audit trail) sono richiamati da più normative e standard internazionali, come ho già accennato in precedenza. Un esempio è il Requisito 10.1 del Payment Card Industry Security Standard, che recita, in sintesi: “Gli accessi effettuati con i privilegi di superuser devono essere riconducibili a ogni singolo individuo”. Anche la nota legge sulla privacy, a proposito del ruolo di “incaricato”, fa riferimento al medesimo requisito dello standard Pci”. Inutile dire che Ca, oltre al know how in materia di sicurezza degli ambienti virtualizzati, è tra i fornitori a offrire soluzioni per accrescere e governare la sicurezza di questi sistemi. “Sono soluzioni denominate Host Access Control System – precisa Molteni – che rispondono proprio ai requisiti di least privilege e separation of duty. Fra queste, non molte in ogni caso, la soluzione Ca Access Control è leader di mercato”.
