we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

26 ago, 2015

Virtualização e segurança: superando os riscos

Michael Thompson

Tem 2 artigos publicados com 400 visualizações desde 2015

Michael Thompson
Publicidade

A virtualização já existe há muito tempo e suas vantagens – desde flexibilidade e escalabilidade até garantia de qualidade e economia de custos – são bem documentadas. No entanto, não é raro ela ainda ser considerada uma tecnologia “nova” ou “emergente” devido ao seu aumento de popularidade nos últimos cinco anos.

Com qualquer tecnologia em rápido desenvolvimento, seja ela virtualização, mobilidade, nuvem etc., a segurança pode ser um grande obstáculo a uma adoção mais ampla. E, como costuma ser o caso, as preocupações com segurança com relação à virtualização não são infundadas. Por exemplo, riscos associados a cargas de trabalho dinâmicas que causam brechas de segurança que potencialmente colocam sistemas inteiros em risco devido ao modo como os recursos são compartilhados certamente existem.

Um bom exemplo: em novembro do ano passado, um invasor enviou aos clientes da BrowserStack, fornecedora de testes baseados em navegador, um e-mail sobre a segurança das máquinas virtuais da empresa. O e-mail, cuja intenção era parecer ter sido enviado pela empresa, dizia, “Não temos firewalls instalados e nossas políticas de senhas são péssimas… É quase certo que todos os nossos dados foram comprometidos”. Embora a BrowserStack negue as alegações feitas no e-mail, o incidente naturalmente incitou muitas pessoas a questionarem se medidas adequadas para garantir um ambiente virtual seguro estavam sendo tomadas pela empresa.

Esse incidente em particular, somado ao medo já existente, serviu para aumentar a preocupação com as implicações de segurança da virtualização e de ambientes virtualizados.

Os riscos

Então, quais são os principais riscos de segurança associados à virtualização? Primeiro, a virtualização agrega camadas adicionais de complexidade à infraestrutura. Isso significa que o monitoramento de eventos e anomalias incomuns também se torna mais complexo, o que, por sua vez, dificulta ainda mais a identificação de problemas de segurança, como ameaças avançadas persistentes.

Além disso, os ambientes virtualizados são dinâmicos e passam por rápidas transformações. Diferentemente dos ambientes físicos, máquinas virtuais podem ser criadas em questão de minutos. Fica fácil perder o controle do que está online, offline e das possíveis brechas de segurança resultantes. Isso está relacionado a um fenômeno conhecido como dispersão virtual, que se refere a quando o número de máquinas virtuais existentes em um ambiente atinge um ponto em que não podem mais ser gerenciadas com eficácia, como pela devida aplicação de todos os patches de segurança. Nesses casos, não é mais possível garantir a segurança de todas as máquinas virtuais. Invasores já usaram máquinas virtuais offline como porta de acesso aos sistemas de uma empresa, como foi alegado na violação da BrowserStack.

Por fim, além da natureza dinâmica das máquinas virtuais propriamente ditas, as cargas de trabalho podem ser transferidas com rapidez. Isso também representa um risco à segurança. Por exemplo, uma certa carga de trabalho pode precisar de um nível mais alto de segurança, que pode ser proporcionado pela máquina virtual inicial a que foi atribuída. Mas quando há a necessidade de criar espaço para trabalhos mais importantes, sem as devidas verificações e balanceamentos, essa carga pode ser facilmente transferida para uma nova máquina virtual com um nível de segurança menor, o que pode criar uma brecha.

Atenuação dos riscos

O incidente da BrowserStack é apenas um entre os muitos motivos pelos quais, apesar das vantagens da virtualização, ainda há preocupações com os riscos de segurança associados à virtualização. No entanto, isso não quer dizer que os riscos não possam ser gerenciados.

A seguir, apresentamos algumas táticas que, quando seguidas, podem ajudar a atenuar ameaças potenciais a ambientes virtuais sem a necessidade de processos e soluções caros e incômodos que não estão ao alcance de muitas organizações.

  • Separação: estabeleça como e onde separar as máquinas virtuais de desenvolvimento, teste e produção.
  • Imposição do processo: habilite processos específicos à TI por meio de portais de autoatendimento para aumentar a eficiência e simplificar o gerenciamento.
  • Gerenciamento de dispersão: gerencie ativamente o ambiente virtual em termos de o que está sendo usado e o que é ou não necessário.
  • Gerenciamento completo da pilha: concentre seu foco em conexões de ponta a ponta no ambiente virtual.
  • Auditoria incorporada: aproveite ferramentas para automatizar verificações de segurança, balanceamentos e processos, sempre que possível.
  • Aplicação de patches: implemente um processo de manutenção e gerenciamento de patches e programe-o para garantir que os patches estejam atualizados tanto em máquinas virtuais online quanto offline.

Com o conhecimento dos principais riscos de segurança associados à virtualização e um compromisso de seguir as práticas recomendadas de atenuação dos riscos, é possível para qualquer organização encontrar um equilíbrio entre aproveitar as vantagens da virtualização e manter os mais altos níveis de segurança.

De 0 a 10, o quanto você recomendaria este artigo para um amigo?

Michael Thompson
Saiba mais

Michael Thompson

edit2 Artigo(s)

é o diretor de marketing de produto para gerenciamento de sistemas da SolarWinds e na empresa ele também já trabalhou como como diretor de estratégia empresarial para a virtualização e armazenamento. Thompson está na indústria de gestão de TI há mais de uma década, e atuou na liderança de equipes de gestão de produtos na IBM. Ele tem MBA e bacharelado em engenharia química.