Nonostante l’impegno che un progetto di server virtualization normalmente comporta, secondo una recente indagine Idc sui Cio delle imprese italiane, questi progetti occupano il terzo posto nella graduatoria delle principali aree di attuale investimento It, con il 54% delle citazioni espresse dagli intervistati. Un livello preceduto solo dalla ‘riscoperta’ delle applicazioni analitiche (Bi/Bpm, in lista prioritaria nel 68% dei casi) e dal persistente bisogno di sistemazione del back-office, con il 58% delle risposte (un dato che, tra parentesi, dice quante piccole e non tanto piccole imprese debbano ancora approdare all’Erp). Evidentemente, i vantaggi ci sono. E sono tanti. In prima linea ovviamente quelli economici, con la riduzione, grazie al maggior utilizzo delle risorse, degli investimenti nell’infrastruttura It, con un risparmio che permette di reinvestire la somma altrimenti destinata ad acquistare nuovo storage e nuovi server in progetti più strategici alle linee di business o alla stessa It, e la riduzione del Tco di questa stessa infrastruttura, che sempre grazie al miglior impiego delle risorse vede scendere i costi di mantenimento durante il suo ciclo di vita.
Seguono poi i vantaggi di efficienza e flessibilità. La prima permette ai Cio di rispondere (almeno in parte) all’eterna richiesta del top management di fare di meglio e di più con meno soldi e risorse umane. La seconda mette l’It sia in condizioni di poter eseguire con maggiore rapidità i compiti di routine, specialmente quelli legati a picchi periodici (tipo chiusure trimestrali o di bilancio), sia, soprattutto, di poter sviluppare con maggiore tempestività i nuovi servizi. Non a caso, una gran parte degli attuali progetti di server virtualization è nata per poter disporre immediatamente, grazie alla ridistribuzione delle risorse virtualizzate, degli ambienti di sviluppo e testing necessarie ai nuovi progetti. E questa flessibilità, oltre al fatto che la virtualizzazione presuppone un lavoro preliminare di riorganizzazione dei processi It, porta alla logica conseguenza di permettere alla funzione It di essere meglio allineata alle necessità del business. Un obiettivo che sebbene, ancora secondo Idc, non compaia ai primi posti e venga addirittura raramente riconosciuto come tale, è comunque quello strategicamente più importante, quello che più direttamente porta l’It, e quindi il Cio, ad essere promotore del successo dell’impresa.
Con tutto ciò, esiste un’altra faccia della medaglia che non solo non va ignorata, ma non si può nemmeno far finta di ignorare, dato che se, come abbiamo detto, solo alcuni dei vantaggi sono evidenti, i problemi della virtualizzazione sono più facilmente percepibili. C’è ovviamente un problema di asset e process management, che nasce dal fatto stesso di dover gestire le disponibilità delle risorse hardware e software perché vengano sfruttate nel modo più intenso possibile. Sono stati creati degli strumenti specializzati, ma resta un lavoro difficile. Un ulteriore problema, che sfugge a una prima analisi, è anche il backup, la cui gestione, in presenza di asset non strettamente legati a compiti o processi specifici, diventa più impegnativa. Anche qui, esistono strumenti sofisticati, ma una più attenta pianificazione è comunque necessaria. C’è poi la necessità di attribuire dei precisi ordini di priorità ai compiti, in modo che la riallocazione delle risporse disponibili avvenga senza conflitti e possa essere in certa misura automatizzata, Questa cosa non è in sé un difetto, dato che porta a quella riorganizzazione dei processi che abbiamo appena citato come uno dei vantaggi. Il problema è che comporta un lavoro di pianificazione che può risultare così impegnativo, specie nelle piccole imprese con funzioni It sottodimensionate e personale sovente carente per numero e skill, da far preferire la vecchia strada (‘un processo, una macchina) degli ambienti tradizionali. Infine il problema principale, o almeno quello che i Cio vedono come principale, della server virtualization è la sicurezza.
Point of failure moltiplicati
La sicurezza è sempre stata una ‘voce’ fondamentale per l’informatica, e oggi (anche sulla spinta delle necessità di compliance normativa delle imprese) lo è più che mai. Ma quando viene coniugata alla virtualizzazione la sicurezza acquista un peso ancora maggiore. In un ambiente virtualizzato infatti, che si tratti di una macchina o che si tratti di un intero data center, più processi di elaborazione vengono eseguiti su una stessa piattaforma fisica. Se questa non è più che sicura, tutti i dati associati ai processi eseguiti sono in pericolo. Non solo: il rischio viaggia anche in senso opposto. Dato infatti che in un ambiente virtualizzato più applicazioni e più utenti (intesi sia come persone fisiche, sia come istanze emesse da un servizio It) accedono ad una stessa risorsa, si moltiplicano le possibilità che questa risorsa sia oggetto di un attacco volontario o diventi per errore umano (che stando alle statistiche è sempre la causa di pericolo maggiore) vulnerabile ad attacchi. In una parola, la virtualizzazione tende a moltiplicare i cosiddetti ‘point of failure’ e questo comporta una maggior attenzione sul fronte della sicurezza. Non stupisce quindi che gli investimenti in soluzioni di sicurezza e in software di virtualizzazione, sebbene abbiano volumi molto differenti (Idc valuta, nel 2010, a oltre 20 miliardi di dollari il mercato mondiale dei primi contro circa tre miliardi di dollari per i secondi) si sviluppino in modo parallelo con tassi di crescita a due cifre.
Con tutto questo, si può certamente avviare un progetto di virtualizzazione che realizzi un ambiente ragionevolmente sicuro. L’approccio non è concettualmente diverso da quello che riguarda la protezione di una macchina fisica e poggia sui due soliti pilastri: la limitazione degli accessi e dei privilegi degli utenti al minimo necessario a svolgere i compiti assegnati e il controllo continuo delle attività che coinvolgono Cpu, rete e dischi, correlando queste attività a quelle che ci si possono legalmente attendere dagli utenti collegati in modo da rivelare in tempo reale eventuali anomalie. Un sistema virtualizzato presenta due livelli: uno è il sistema operativo che ospita la piattaforma di visualizzazione, l’altro è dato dalle macchine virtuali ospitate, ciascuna delle quali ha il suo sistema operativo. Se un attacco raggiunge il primo livello, riservato ai cosiddetti ‘superuser account’ tutte le macchine virtuali e le relative sessioni sono a rischio, e anche se una sola di esse viene ad essere effettivamente attaccata, poiché le macchine virtuali condividono risorse di Cpu, memoria e banda di rete comuni, anche le altre finiscono per risentirne.
La soluzione è duplice: da un lato, ‘a monte’ si deve rafforzare il sistema perimetrale dell’intera struttura virtualizzata e controllare l’accesso al sistema operativo host (o ‘core system’) con soluzioni che lo proteggano specificamente (che alcuni vendor già hanno o stanno realizzando); dall’altro, ‘a valle’, si devono proteggere le connessioni tra core system e macchine virtuali e la macchine virtuali stesse con quelle stesse soluzioni (ed altre specifiche che si stanno via via realizzando, ma che sono concettualmente analoghe) che in un ambiente tradizionale sarebbero adottate per controllare il traffico di rete e proteggere i server dagli attacchi di virus, worm e quant’altro ‘malware’ possa giungere dal mondo esterno. Per la macchina virtuale il ‘mondo esterno’ è l’ambiente di virtualizzazione che la gestisce, ma il concetto non cambia.
Per ogni problema una soluzione
La natura dinamica della virtualizzazione, le cui tecnologie e la cui offerta sono in rapida evoluzione, richiede una gamma di soluzioni di sicurezza in grado di coprire le aree di vulnerabilità vecchie e nuove con tutta la visibilità, granularità e scalabilità che si richiedono a chi deve garantire la sicurezza di ambienti che sempre più escono dall’area dello sviluppo e del testing per ospitare applicazioni (e dati) critici per il business. Abbiamo quindi voluto ascoltare alcuni fornitori che coprono aree diverse della sicurezza It per avere il loro parere sulle problematiche che presentano i nuovi data center virtualizzati.
Come proteggere l’hypervisor
Come esordisce Fabio Panada (nella foto in basso a sinistra), Iss Solution Architect Leader, Ibm Italia, “In tema di ambienti virtualizzati Ibm ha una storia si può far risalire alle esperienze maturate sui mainframe, capaci d’integrare risorse diverse in ambienti fisici e virtuali”. Recentemente, e cioè lo scorso aprile, è stata annunciata una nuova iniziativa della ricerca Ibm, dal nome in codice ‘Phantom’, che propone nuovi strumenti per mettere in sicurezza gli ambienti server virtualizzati.
L’iniziativa, sviluppata nei laboratori di Ibm X-Force e Ibm Research ed alla quale collabora VMware, nasce da precise istanze delle imprese utenti. “Infatti – spiega Panada – il problema della sicurezza in ambienti virtuali è, sebbene recente, già diffusamente sentito, in quanto il mondo It, per una serie di ragioni economiche e tecnologiche che non staremo qui a ricapitolare, si sta spostando molto verso la virtualizzazione e nella migrazione verso gli ambienti virtuali la security è un aspetto che non si può trascurare”.
Questo perché, oltre alle problematiche di sicurezza che potremmo definire ‘classiche’ di un ambiente server tradizionale, la virtualizzazione, prosegue Panada, “introduce una serie di nuovi layer che vanno verificati dal punto di vista della sicurezza. Se pensiamo al prodotto più conosciuto sul mercato, cioè VMware, sappiamo che questo introduce una componente, chiamata hypervisor, che sta alla base della comunicazione tra l’hardware ed i sistemi virtuali. Questo ambiente normalmente non è protetto, e non è neanche facile da proteggere con i sistemi attuali”. Tant’è vero, aggiunge Panada, che Vmware, che in quanto largamente diffusa è anche la più colpita da attacchi, ha a sua volta avviato un progetto, chiamato Vmsafe, per collaborare con i maggiori vendor It (tra cui ovviamente Ibm) per rilasciare strumenti di protezione che coprano gli ambienti virtuali. Questi infatti possono essere attaccati da programmi in grado di simulare una virtual machine e quindi di inserirsi tra le vere macchine viruali gestite dall’hypervisor per portarvi i danni per i quali è stato creato. Questi ‘malware’ simulano anche il bootstrap di una macchina virtuale, per cui l’utente crede che questa si sia avviata e stia lavorando in modo normale, quando in realtà si tratta di una macchina fasulla, ma in grado d’intercettare tutte le comunicazioni (e quindi le informazioni in esse contenute) che vanno dall’hypervisor alla macchina stessa. “C’è addirittura – aggiunge Panada – una simulazione di shut-down, che fa credere che la macchina sia spenta quando invece memoria e dischi rimangono attivi e in grado di carpire dati sensibili”. L’obiettivo del progetto Phantom, le cui soluzioni dovrebbero essere rilasciate sul mercato entro l’anno, è quindi quello di creare un software di protezione (che si presenta all’hypervisor come un’applicazione e per la quale VMware ha sviluppato le relative Api), che si attesti in una partizione isolata e sicura e sia grado di prevenire le intrusioni che sfruttano le chiamate tra sistema operativo e hardware, collocandosi tra i sistemi operativi virtualizzati e i driver che controllano l’hardware e filtrando il traffico di rete che, all’interno dell’ambiente virtuale, avviene tra le diverse virtual machine.
“Phantom – conclude Panada – non è l’unica iniziativa Ibm in tema di sicurezza in ambienti virtuali. Stiamo portando avanti progetti che riguardano la protezione degli z-series, cioè dei mainframe. Si tratta di progetti che erano già stati avviati da Iss con X-Force prima dell’acquisizione e che ovviamente ora, che siamo una società Ibm e che i vari laboratori di ricerca lavorano in modo coordinato, stanno ricevendo la massima spinta”.
Primo punto: badare a chi entra
e a cosa fa
“Rispetto ad una situazione tradizionale, personalmente ritengo che in un ambiente virtualizzato i rischi per la sicurezza siano certamente maggiori”, dichiara Rusudan Losaberidze(nella foto in basso a destra), Senior Principal Consultant, Security Sales di CA; aggiungendo però che questo è dovuto al fatto che gran parte degli utenti non ha un’idea esatta del rapporto tra server fisici e macchine virtuali.“Ma una volta compreso come funziona una infrastruttura virtualizzata, credo si possano raggiungere gli stessi livelli di protezione”.
Tra le problematiche che il consolidamento e la virtualizzazione delle risorse di un data center introduce ai fini della sicurezza, un rilievo particolare assume il controllo degli accessi e delle identità. Infatti, come osserva Losaberidze, “Una macchina fisica che ospita le varie macchine virtuali, sulle quali vengono eseguite diverse applicazioni, va vista esattamente come un data center, in quanto l’accesso all’unico server fisico poi dà l’accesso a tutte le macchine virtuali su di esso residenti. Dal punto di vista della sicurezza, questa macchina va quindi considerata come un ‘data center logico’, del quale sono da proteggere innanzitutto le comunicazioni tra le macchine virtuali ospiti e quella ospitante, attraverso il software di virtualizzazione che distribuisce i carichi di lavoro, e poi le interconnessioni tra le stesse macchine virtuali”. In quest’area esiste una soluzione, Ca Access Control, che presidia non solo gli accessi, con un controllo granulare degli utenti, ma controlla anche quello che ogni utente può e non può fare. In mancanza di un controllo del genere, in un ambiente virtualizzato può accadere che una macchina fisica venga manomessa in modo da alterare i settaggi delle risorse (di Cpu, di memoria…) destinate alle macchine virtuali fino a giungere, al limite, allo spegnimento delle stesse, rallentando o impedendo l’erogazione di un servizio. “Ciò permette – prosegue Losaberidze – di implementare una segregazione dei compiti basati sui ruoli, per cui ciascuno può fare solo ciò che è stabilito che faccia”. Un risultato non secondario di questa limitazione dei compiti è quello di impedire il ‘furto’ delle macchine virtuali, ossia che qualcuno copi su uno storage rimovibile una Virtual machine (che, ricordiamo, è pur sempre un file, sia pure di grandi dimensioni) e se la porti via con tutti i dati in essa contenuti. “Un’azione – osserva Losaberidze – che equivale al furto di un portatile da una scrivania, ma è molto più facile”. Ma oltre che sottrarre una Vm, anche aggiungerla è un rischio, perché se la macchina virtuale aggiunta non è protetta con antivirus, controllo accessi e quant’altro, diventa una ‘porta aperta’ per l’attacco di tutte le Vm che stanno sullo stesso server fisico. In un caso del genere Access Control interviene isolando il ‘corpo estraneo’ e limitandone il potenziale dannoso.
Il vero problema? L’utente finale
“La sicurezza di un ambiente It – osserva Paolo Ardemagni (nella foto in basso a sinistra), Regional Director Sud Europa di Checkpoint – dipende da un ecosistema che oggi ha tecnologie di sicurezza consolidate sulla piattaforma hardware, dove girano decine di soluzioni software, dall’antivirus alle Vpn, dal vulnerability assesment alla intrusion prevention, che permettono di mettere in sicurezza l’infrastruttura.
Ciò non vale però per gli applicativi, che sono sempre più basati sul Web, sul social networking, su chiunque insomma lasci un pezzo di questo o di quello nella rete”. Si tratta quindi di proteggere le applicazioni in un ambiente che, fa notare ancora Ardemagni, non si può più nemmeno definire aziendale, in quanto il 70% dei computer è portatile e, soprattutto per i manager, non esistono più confini tra l’attività svolta in ufficio, in casa o in movimento. “Non c’è più un utente consumer, enterprise o che altro, ma un utente onnipresente e onnicomprensivo. E questo è il problema: rendere sicure applicazioni fruibili da chiunque, ovunque e in qualsiasi momento”. La sicurezza poggia quindi sulle reti, cablate e wireless, Ip o Ethernet che siano. E tocca al responsabile It, o alla soluzione di sicurezza che si potrà trovare, gestire e controllare l’accesso a queste reti in modo da individuare anomalie che prefigurino una minaccia ed intervenire in un tempo tale da impedire che queste possano colpire le attività, e quindi il business, dell’impresa.
L’attenzione all’utente finale è anche al centro della strategia di Kaspersky Lab, una società russa che lavora nel nostro Paese da 10 anni e detiene il 10% del mercato retail dell’antivirus e internet security. Ora, con l’apertura a Roma del suo primo ufficio regionale, punta dichiaratamente al business corporate, con particolare attenzione alla pubblica amministrazione e alle grandi imprese, che Alexander Moiseev, managing director di Kaspersky Lab (nella foto a sinistra), qualifica come quelle con più di cinquemila posti di lavoro. “Tra un ambiente tradizionale ed uno virtualizzato per i nostri applicativi non c’è
praticamente nessuna differenza. Noi infatti badiamo a controllare tre cose: la prima è il traffico passante, la seconda è l’applicazione presentata all’utente finale e la terza è il controllo delle connessioni virtuali che vengono stabilite tramite, ad esempio, il peer-to-peer. Con un approccio quindi un po’ diverso dal controllo delle connessioni di rete, che è fisico”. L’attenzione di Moiseev è focalizzata sull’utente finale, dal quale proviene il maggior numero di problemi. La mancanza di un monitoraggio costante sulla macchina dell’utente finale porta ad un rischio legato alla finestra temporale che si apre tra l’ingresso di un virus e il suo blocco da parte del controllo centrale, il cui database può non essere aggiornato, un tempo nel quale il software ‘maligno’ è libero di agire. “È dagli utenti, più che dall’esterno, che viene il maggior numero di problemi. E il nostro primo impegno verso i clienti – conclude Moiseev – è appunto quello di fare educazione”.
