Un’infrastruttura virtuale garantisce un alto grado di sicurezza, ma è necessario fare le mosse giuste per ottenere i massimi benefici
La virtualizzazione è stata scelta dalle medio grandi aziende di tutto il mondo per soluzioni che variano dalla server consolidation alla business continuity, dall’application lifecycle management all’enterprise desktop management. Rispetto ad altri approcci tesi alla realizzazione di un’infrastruttura condivisa, infatti, la creazione di macchine virtuali è l’unica opzione efficace che può garantire che instabilità, vulnerabilità e attacchi rivolti a una applicazione specifica non abbiano alcun impatto sulle altre applicazioni che operano sullo stesso sistema.
Per comprendere come funziona la sicurezza in un ambiente virtuale, bisogna tenere presente che in un’infrastruttura di questo tipo, il sistema operativo ospite (guest) e l’applicazione operano in container isolati chiamati macchine virtuali, o Vm. Le macchine virtuali sono progettate appositamente per essere sicure e completamente isolate le une dalle altre, anche se si trovano a condividere lo stesso hardware. Ogni sistema operativo guest operante in una macchina virtuale non può accedere all’hardware virtuale, ai dati o al traffico di rete di un’altra macchina virtuale. In pratica, ogni singola macchina virtuale è priva di qualsiasi possibile collegamento con altre macchine virtuali che insistono sullo stesso hardware.
Prendiamo il caso di una persona, che sul proprio pc di casa utilizzi due copie di Windows come macchine virtuali, la prima per navigare in Internet, la seconda per gestire le proprie finanze personali. Questo utente ha la certezza che qualunque tipo di spyware o virus, inavvertitamente scaricato navigando in Internet, non sarà in grado né di andare a toccare, né di ottenere qualsiasi informazione relativa alle sue finanze, dato che i file si trovano in un’altra macchina virtuale. Lo stesso principio si applica ai carichi di lavoro dei server aziendali, dove ogni problema di una specifica applicazione non potrebbe andare a impattare sulle attività di altre macchine virtuali separate che si trovano sullo stesso server.
Le best practice
Ecco, di seguito, alcune best practice per lavorare attivamente sul concetto e tradurlo in realtà. Stabilire policy per la sicurezza e l’accesso alla rete.L’unico modo in cui le macchine virtuali possono comunicare tra loro è tramite la creazione di una rete, esattamente come le macchine fisiche. In questo caso, è consigliabile implementare le comuni procedure di sicurezza e accesso alla rete che si adottano solitamente per i sistemi operativi.
Integrare il software di virtualizzazione con i controlli di accesso degli utenti già esistenti. L’infrastruttura centrale viene gestita centralmente tramite una console centrale chiamata VirtualCenter.
Questa console deve essere integrata con i sistemi di accesso degli utenti già presenti presso l’organizzazione, come ad esempio le Active Directory.
Gli utenti devono poter utilizzare i privilegi d’accesso e i ruoli previsti dal
virtualcenter e demandare privilegi superiori agli amministratori di sistema. Gli audit log devono essere mantenuti e rivisti, esattamente come tutte le modifiche e le attività collegate all’infrastruttura virtuale.
Garantire sicurezza ai desktop. Una fonte rilevante di preoccupazioni legate alla sicurezza è la sicurezza degli end-point. C’è una crescente tendenza all’utilizzo di laptop da parte di lavoratori che operano a casa, in hotel o in altri luoghi esterni, e da lì accedono a reti o risorse aziendali su reti aperte o comunque non garantite in termini di sicurezza.
Questo può portare a una serie di possibili attacchi alla sicurezza: il malware può diffondersi sulla rete aziendale, tramite la connessione Vpn o quando il laptop è connesso alla rete in ufficio; i dati che risiedono sul laptop possono essere vulnerabili quando il laptop si trova fuori dal firewall aziendale; all’interno della rete aziendale, è possibile implementare policy di restrizione della navigazione su Internet e del download del software. Se però le macchine, in particolare quelle affidate a consulenti esterni, vengono utilizzate fuori dalla rete, è difficile applicare queste policy.
Per risolvere queste problematiche, è possibile applicare policy It anche a macchine virtuali che contengono un sistema operativo, applicazioni aziendali e dati, in modo da creare un ambiente pc isolato e sicuro, in grado di funzionare su ogni desktop Windows.
In questo senso è possibile implementare un set di Virtual rights management policy (del tutto simili ai Drm della musica digitale). Tra le policy possibili ci sono crittografia e autenticazione, definizione di una data di scadenza per la macchina virtuale, network quarantine per ridurre le reti a cui una macchina virtuale o un host possono accedere ai dispositivi.
