La virtualizzazione è diventata uno strumento importante per molte organizzazioni che cercano un modo per ottimizzare lo sfruttamento dei server e delle infrastrutture esistenti. Eppure, nonostante tutti i benefici, spesso gli ambienti virtualizzati non vengono protetti a dovere.
Una policy di sicurezza di rete è un documento di alto livello sviluppato dal management per trasmettere ai dipendenti le linee guida strategiche in merito alla protezione degli ambienti IT.
I responsabili dei processi di gestione e di business sono responsabili per l’organizzazione e la progettazione delle policy di sicurezza.
Le policy di sicurezza della rete dovrebbero precisare chi è il responsabile della sicurezza e ciò che deve essere protetto in un ambiente virtualizzato, nonché definire un livello di rischio accettabile.
Alcune delle aree principali da affrontare nel definire le policy di sicurezza per un ambiente di rete virtualizzato sono i seguenti:
- Autorizzazione e responsabilità
- Replica, tolleranza ai guasti e failover
- Sicurezza host
- Risorse condivise
- Backup
- Risposta agli incidenti
- Formazione
Impostazione dei diritti di accesso
Senza una formazione adeguata, i dipendenti sono generalmente inconsapevoli di come le loro azioni o attività possono influenzare la sicurezza dell’organizzazione. Le autorizzazioni hanno a che fare con il determinare chi è responsabile dell’impostazione dei diritti di accesso per i server host e i sistemi virtualizzati associati.
Per le piccole aziende, le policy impostate possono consentire al responsabile dei server host e dei server virtualizzati di essere lo stesso individuo. Nelle imprese di maggiori dimensioni, queste due figure devono essere separate in modo che i diversi ruoli siano distinti in categorie come gli amministratori host, gli operatori del backup, gli amministratori di rete virtuali e gli utenti finali.
Con il crescere della diffusione della virtualizzazione all’interno degli ambienti di grandi dimensioni, la necessità di loggarsi e registrarsi per accedere alla maggior parte, se non a tutti, i componenti all’interno dell’ambiente IT dovrebbe essere ovvia. I registri di controllo dovranno essere dettagliati, riservati e includere anche i controlli di integrità. Le policy dovrebbero, inoltre, prevedere anche le tempistiche di revisione.
Implementare le necessarie funzionalità di replica, tolleranza ai guasti e failover richiede una chiara comprensione delle interrelazioni che si creano tra i diversi servizi. Ad esempio, se un singolo server virtualizzato dovesse guastarsi, potrà essere replicato rapidamente.
Ma se più server host finiscono in down, qual è il piano per replicare questi sistemi e i loro client virtualizzati? Il principale vantaggio della virtualizzazione è l’alta disponibilità, ecco perché la policy di sicurezza della rete dovrebbe affrontare le opzioni relative all’alta disponibilità delle macchine virtuali VMware, Hyper-V e XenServer. Se le policy aziendali affrontano questa questione, allora sarà possibile avere un dispositivo completamente ridondante, con l’esatta configurazione, nel caso in cui gli venga richiesto di sostituirsi a una macchina compromessa.
La sicurezza a livello di host
La sicurezza dell’host è una componente fondamentale e critica delle policy di protezione degli ambienti virtualizzati.
C’è una grande differenza tra sistemi fisici e virtuali: i sistemi virtuali sono in realtà solo una raccolta di file che possono essere rubati, copiati e manipolati, cosa molto diversa dai sistemi fisici. Siccome gli aggressori possono potenzialmente copiare questi file, il controllo degli accessi deve essere sottoposto a revisione con le giuste cadenze. Le policy di protezione dovranno anche affrontare il rischio di diffusione di malware da un sistema virtualizzato a un altro.
Le risorse condivise sono un altro fattore di interesse chiave. Il singolo utente di un sistema virtuale ha potenzialmente accesso a RAM, CPU e forse anche alla scheda di interfaccia di rete (NIC) del sistema fisico.
Questo fa sì che sia possibile estrarre i dati dalle risorse condivise e offre anche l’opportunità di utilizzare sniffer per intercettare il traffico che attraversa la scheda di rete fisica.
Il backup dei sistemi virtuali, nel frattempo, può sembrare qualcosa di cui già ci si sta prendendo cura nel momento in cui si esegue il backup di tutto il sistema fisico. Tuttavia, poiché la virtualizzazione fa quasi sempre uso di ambienti di storage condivisi su larga scala, facendo il backup del disco rigido dell’host i dati possono ora essere salvati come un unico file contiguo.
Se una piccola parte di questo file è danneggiato, si potrebbe perdere l’intera dotazione dati di un sistema virtuale. Ogni sistema virtuale potrà però essere sostenuto utilizzando le funzionalità di replica nativa degli ambienti di virtualizzazione. Al minimo, le policy di sicurezza di rete dovranno tener conto di queste pratiche.
La risposta agli incidenti
Mentre noi tutti speriamo che niente vada storto, la verità è che le cose brutte accadono. Prima che questo si verifichi, occorre assicurarsi di avere un buon piano di risposta agli incidenti in atto per far fronte a eventuali problemi. Tale piano deve affrontare anche il ripristino degli ambienti virtuali.
Non trascurare la formazione è un altro problema da affrontare. Le policy definite devono affrontare ciò che i dipendenti possono e non possono fare. La formazione dovrebbe vertere sull’applicazione delle best practice di sicurezza: un dipendente non correttamente addestrato potrebbe accidentalmente fornire una password a un potenziale hacker.
Senza una formazione adeguata, i dipendenti sono generalmente inconsapevoli di come le loro azioni o attività possono influenzare la sicurezza dell’organizzazione.
Le policy di sicurezza di rete di un’impresa per un ambiente virtualizzato devono tener conto dei molti cambiamenti che la virtualizzazione ha portato sul posto di lavoro, sia a livello di tecnologia che di persone. Il lato tecnologico delle policy deve affrontare le molte caratteristiche distintive degli ambienti astratti e deve comprendere tutti gli aspetti relativi ad audit, backup e sicurezza degli ambienti host.
A livello di persone, le policy non solo devono includere la formazione sulle best practice di sicurezza, ma anche la miglior comprensione da parte dei dipendenti su come le loro azioni possono influenzare la sicurezza delle loro organizzazioni.
