Un’area dove la virtualizzazione può veramente portare un’innovazione radicale è la sicurezza di reti e sistemi. Questo mercato è rimasto fondamentalmente statico negli ultimi quindici anni, con i suoi antivirus, i firewall, i sistemi di intrusion dete …
Un’area dove la virtualizzazione può veramente portare un’innovazione radicale è la sicurezza di reti e sistemi. Questo mercato è rimasto fondamentalmente statico negli ultimi quindici anni, con i suoi antivirus, i firewall, i sistemi di intrusion detection e tutta una serie di altri strumenti che sembrano sempre meno efficaci.
L’industria della sicurezza informatica ha tentato di rinnovarsi puntando su almeno un paio di approcci nuovi, come l’intrusion prevention e la cosiddetta endpoint security, ma con scarso successo. Sfortunatamente, alla mancanza di idee nuove è corrisposto un aumento esponenziale delle minacce e un’evoluzione impressionante delle tecniche e degli strumenti di attacco.
Adesso, grazie alla virtualizzazione, per la prima volta in molti anni i security vendor hanno l’opportunità di rendere sicure le infrastrutture in un modo completamente nuovo.
Il ruolo dell’hypervisor
Le procedure tradizionali di messa in sicurezza impongono che l’azienda implementi una serie di protezioni per i suoi sistemi operativi, non importa se questi siano installati su server fisici o virtuali.
Questo implica che, anche in un virtual data center, alcune Vm saranno usate per ospitare network Intrusion detection system (Ids) o firewall, tutti i sistemi operativi virtuali saranno dotati di un agente antivirus e/o antispyware, alcune Vm particolarmente importanti avranno installato un sistema di cifratura dei dati, e via dicendo.
Ma questo approccio non è l’unico possibile nel mondo delle virtual infrastructure e certamente non il più efficiente. A differenza dei data center fisici, infatti, quelli virtuali offrono un nuovo punto di osservazione: l’hypervisor.
Abbiamo già detto che questo livello software è responsabile per l’esecuzione di tutte le Vm, mediandone le attività con l’hardware fisico del virtualization host.
Che succederebbe se usassimo la posizione privilegiata dall’hypervisor per controllare la sicurezza delle macchine virtuali? Giacché la memoria virtuale di ogni Vm è gestita dall’hypervisor, così come l’hard disk virtuale e la rete virtuale, questo componente ha traccia di tutte le attività che a ogni livello si susseguono nel virtual data center.
Nel mondo fisico, un prodotto di sicurezza potrebbe a malapena ottenere le stesse informazioni solo attraverso una miriade di agenti che vanno installati in ogni singolo sistema operativo da proteggere e sensori da collocare nelle reti da proteggere. Nel mondo virtuale, invece, il prodotto di sicurezza può limitarsi semplicemente a interrogare l’hypervisor.
Facciamo un esempio pratico. Anziché avere un agente antivirus installato in ogni singola Vm, un security vendor potrebbe averne uno solo per tutte le Vm, che interagisca direttamente con l’hypervisor per la scansione dei virus e la loro pulizia. In questo scenario, innanzitutto, la quantità di risorse fisiche che vengono consumate (spazio disco occupato dagli agenti e memoria utilizzata per la scansione) è una frazione di quella necessaria nell’approccio tradizionale.
Secondariamente, la quantità di informazioni che l’hypervisor garantisce all’antivirus non ha eguali. Quest’ultimo può accedere a tutti gli aspetti della Vm, la virtual Ram, il virtual Hd, la virtual Nic, e così via, e potrebbe addirittura correlare le attività di due Vm diverse, estrapolando l’informazione che un virus è in azione e si sta propagando da una macchina virtuale all’altra.
Il beneficio più grande di tutti, comunque, è il fatto che l’hypervisor è trasparente alle macchine virtuali: un agente antivirus che esegua una scansione del sistema operativo virtuale non può essere rilevato e quindi anche i virus più intelligenti, oggi in circolazione, non possono tentare di disattivarlo per sopravvivere.
A onor del vero, va detto che questo vantaggio strategico è destinato a svanire prima o poi: appena i ricercatori troveranno un modo di “evadere”, come si dice in gergo, la virtual machine e da questa spostarsi al livello dell’hypervisor, allora anche gli agenti antivirus a quel livello saranno individuabili dai virus con la stessa tecnica.
Tutto dipende da quando questa scoperta verrà fatta: potrebbero volerci solo settimane oppure anni. Nel frattempo, lo strumento di sicurezza che lavora al livello dell’hypervisor è inattaccabile. Qualunque prodotto di sicurezza oggi in commercio può essere usato nell’esempio sopra. Addirittura si può ipotizzare qualcosa di molto più elaborato, chiamando in causa quell’orchestrational framerwork che abbiamo menzionato in precedenza.
Scenari futuribili
L’antivirus che interagisce con l’hypervisor, rileva due virus in una virtual machine: per il primo ha un vaccino, quindi richiede all’hypervisor l’accesso alla virtual hard disk e procede alla rimozione del virus in maniera assolutamente trasparente. Per il secondo virus non è ancora disponibile un vaccino.
Per evitare una diffusione del codice maligno alle altre Vm, l’antivirus comunica con l’orchestrational framework installato nel virtual data center e, attraverso di esso, istruisce l’hypervisor per spostare la Vm infetta in una rete virtuale completamente isolata, dove il virus non ha modo di propagarsi. Per questa rivoluzione nel mondo della sicurezza, che da sola giustifica l’adozione della virtualizzazione, dovremo aspettare ancora un po’: affinché gli scenari sopra descritti siano attuabili, i virtualization vendor devono permettere ai security vendor di interagire con i propri hypervisor, e putroppo a oggi ancora nessun player ha rilasciato una interfaccia del genere.
I primi hypervisor ad avere questa capacità appariranno nel corso del 2009. Da quel momento, potrebbe cominciare una rivoluzione nel campo della sicurezza informatica come non se ne vedono da decenni.
