A virtualização já existe há muito tempo e suas vantagens – desde flexibilidade e escalabilidade até garantia de qualidade e economia de custos – são bem documentadas. No entanto, não é raro ela ainda ser considerada uma tecnologia “nova” ou “emergente” devido ao seu aumento de popularidade nos últimos cinco anos.
Com qualquer tecnologia em rápido desenvolvimento, seja ela virtualização, mobilidade, nuvem etc., a segurança pode ser um grande obstáculo a uma adoção mais ampla. E, como costuma ser o caso, as preocupações com segurança com relação à virtualização não são infundadas. Por exemplo, riscos associados a cargas de trabalho dinâmicas que causam brechas de segurança que potencialmente colocam sistemas inteiros em risco devido ao modo como os recursos são compartilhados certamente existem.
Um bom exemplo: em novembro do ano passado, um invasor enviou aos clientes da BrowserStack, fornecedora de testes baseados em navegador, um e-mail sobre a segurança das máquinas virtuais da empresa. O e-mail, cuja intenção era parecer ter sido enviado pela empresa, dizia, “Não temos firewalls instalados e nossas políticas de senhas são péssimas… É quase certo que todos os nossos dados foram comprometidos”. Embora a BrowserStack negue as alegações feitas no e-mail, o incidente naturalmente incitou muitas pessoas a questionarem se medidas adequadas para garantir um ambiente virtual seguro estavam sendo tomadas pela empresa.
Esse incidente em particular, somado ao medo já existente, serviu para aumentar a preocupação com as implicações de segurança da virtualização e de ambientes virtualizados.
Os riscos
Então, quais são os principais riscos de segurança associados à virtualização? Primeiro, a virtualização agrega camadas adicionais de complexidade à infraestrutura. Isso significa que o monitoramento de eventos e anomalias incomuns também se torna mais complexo, o que, por sua vez, dificulta ainda mais a identificação de problemas de segurança, como ameaças avançadas persistentes.
Além disso, os ambientes virtualizados são dinâmicos e passam por rápidas transformações. Diferentemente dos ambientes físicos, máquinas virtuais podem ser criadas em questão de minutos. Fica fácil perder o controle do que está online, offline e das possíveis brechas de segurança resultantes. Isso está relacionado a um fenômeno conhecido como dispersão virtual, que se refere a quando o número de máquinas virtuais existentes em um ambiente atinge um ponto em que não podem mais ser gerenciadas com eficácia, como pela devida aplicação de todos os patches de segurança. Nesses casos, não é mais possível garantir a segurança de todas as máquinas virtuais. Invasores já usaram máquinas virtuais offline como porta de acesso aos sistemas de uma empresa, como foi alegado na violação da BrowserStack.
Por fim, além da natureza dinâmica das máquinas virtuais propriamente ditas, as cargas de trabalho podem ser transferidas com rapidez. Isso também representa um risco à segurança. Por exemplo, uma certa carga de trabalho pode precisar de um nível mais alto de segurança, que pode ser proporcionado pela máquina virtual inicial a que foi atribuída. Mas quando há a necessidade de criar espaço para trabalhos mais importantes, sem as devidas verificações e balanceamentos, essa carga pode ser facilmente transferida para uma nova máquina virtual com um nível de segurança menor, o que pode criar uma brecha.
Atenuação dos riscos
O incidente da BrowserStack é apenas um entre os muitos motivos pelos quais, apesar das vantagens da virtualização, ainda há preocupações com os riscos de segurança associados à virtualização. No entanto, isso não quer dizer que os riscos não possam ser gerenciados.
A seguir, apresentamos algumas táticas que, quando seguidas, podem ajudar a atenuar ameaças potenciais a ambientes virtuais sem a necessidade de processos e soluções caros e incômodos que não estão ao alcance de muitas organizações.
- Separação: estabeleça como e onde separar as máquinas virtuais de desenvolvimento, teste e produção.
- Imposição do processo: habilite processos específicos à TI por meio de portais de autoatendimento para aumentar a eficiência e simplificar o gerenciamento.
- Gerenciamento de dispersão: gerencie ativamente o ambiente virtual em termos de o que está sendo usado e o que é ou não necessário.
- Gerenciamento completo da pilha: concentre seu foco em conexões de ponta a ponta no ambiente virtual.
- Auditoria incorporada: aproveite ferramentas para automatizar verificações de segurança, balanceamentos e processos, sempre que possível.
- Aplicação de patches: implemente um processo de manutenção e gerenciamento de patches e programe-o para garantir que os patches estejam atualizados tanto em máquinas virtuais online quanto offline.
Com o conhecimento dos principais riscos de segurança associados à virtualização e um compromisso de seguir as práticas recomendadas de atenuação dos riscos, é possível para qualquer organização encontrar um equilíbrio entre aproveitar as vantagens da virtualização e manter os mais altos níveis de segurança.