Secondo Gartner il 60% delle aziende che virtualizzano la propria infrastruttura di rete vedranno un drastico abbassamento del livello di protezione dei propri dati. A tal proposito vi abbiamo intervistato Alberto Brera, Country Manager di Netasq, produttore di soluzioni IPS/UTM e Virtual Security Appliances.

Goin: Sul fenomeno “virtualizzazione” si legge molto ultimamente, ma effettivamente l’aspetto sicurezza sembra passare in secondo piano. Come mai?

AB: Se da un lato i firewall IDS / IPS tradizionale sono in grado di monitorare il traffico che entra ed esce dal server fisico che ospita decine di “macchine virtuali” (server di servizio – web, produzione, finance, posta, back-office, FTP ecc.), non si è ancora instaurata la consapevolezza che tali dispositivi non sono in grado di monitorare il traffico presente all’interno delle reti virtualizzate.

Goin: Cosa si intende per rete virtualizzata? Quali sono i rischi da considerare in fase di pianificazione?

AB: La virtualizzazione consente a più server virtuali – ognuno con il suo sistema operativo, le sue applicazioni e lo specifico livello di fiducia – di girare su una singola piattaforma hardware. L’hypervisor gestisce tale piattaforma mettendone le risorse (CPU, memoria) contemporaneamente a disposizione di più istanze (sistemi operativi), che girano sul server fisico come “macchine virtuali”, in modo totalmente indipendente l’una dall’altra. Anche i dispositivi di rete (switch, router, schede di rete) vengono migrati, generando una nuova rete virtuale intercomunicante. Ritroviamo la tipica topologia di rete a stella anche in ambiente virtuale, solo che tale rete gira interamente su una singola piattaforma fisica. Oggi è impensabile pianificare una rete tradizionale senza firewall, però si tende a farlo in ambiente virtuale. Facciamo un esempio: In una tipica topologia di rete, un server web (1) pubblicato all’esterno, che eroga ai clienti servizi e-commerce ed il server con la banca dati (2), rivolto verso l’interno, a cui accedono solo gli impiegati, sono posti in segmenti di rete diversi, separati da un firewall. Con la virtualizzazione invece entrambi i server di servizio (1 e 2) vengono migrati su una singola piattaforma hardware come “macchine virtuali”. La piattaforma fisica in sé è ancora protetta dal firewall hardware, ma entrambi i servizi vengono eseguiti sullo stesso server fisico, collegato con una singola scheda di rete fisica al firewall: il traffico tra le due macchine virtuali (quindi la rete virtualizzata) non sarà analizzato dal firewall fisico. Ciò implica che, se il server web viene attaccato con successo, i criminali possono accedere facilmente a tutti gli altri server presenti sulla stessa piattaforma hardware, senza che il firewall fisico noti queste attività.

Goin: Come proteggere gli ambienti virtualizzati?

AB: Esistono diverse metodologie di paravirtualizzazione che forzano il collegamento tra le schede di rete virtuali ad adattatori fisici separati. MA un server fisico può contenere decine di macchine virtuali, questa soluzione vanifica i vantaggi primari della virtualizzazione, ossia la drastica riduzione delle componenti hardware, comprese le schede di rete, ed il fail-over automatico su una delle piattaforme fisiche disponibili, in base al carico di lavoro del server. Un’altra soluzione può essere il VLAN tagging che forza il traffico di ogni macchina virtuale a passare per il firewall fisico. Questa soluzione però è particolarmente spiacevole in un ambiente virtualizzato, perché i tag VLAN vanno configurati manualmente e reimpostati completamente in caso di fail-over, perché i switch virtualizzati si riconfigurano automaticamente ed in modo dinamico quando l’hypervisor sposta le macchine virtuali da una piattaforma all’altra.

Dispositivi di sicurezza concepiti come macchine virtuali (OVA = Open Virtual Appliance, da non confondere con software Open Source!) sono sicuramente la soluzione ottimale. Le Virtual Security Appliances forniscono tutte le funzioni di sicurezza (compresi IPS, UTM e gestione della vulnerabilità) alle macchine virtuali integrandosi perfettamente con gli switch virtuali e risiedendo al centro della rete. Inoltre non necessitano di alcuna riconfigurazione in caso di “movimento” delle macchine da parte dell’hypervisor, né devono tener conto della posizione fisica reale delle macchine virtuali, in quanto direttamente coinvolte in questo processo, come parte attiva della rete virtualizzata.

Goin: Come si posiziona l’offerta NETASQ in tale ambito?

AB: La visione di NETASQ è di offrire sicurezza proattiva day-0 a qualunque azienda, indipendentemente dalle sue dimensioni o dall’infrastruttura IT impiegata. Per questo motivo abbiamo sviluppato tre diversi modelli di Virtual Security Appliance, concepiti in base alle principali tipologie di impiego della virtualizzazione nelle aziende (PMI, grandi aziende e provider di servizi in the cloud). La versione per provider include anche il nostro sistema di vulnerability assessment, che apre agli MSP di offrire servizi di sicurezza di nuova generazione ai propri clienti.

Pubblicato Mercoledì 12 Maggio 2010 alle 11:58 nella sezione Networking. Puoi seguire i commenti a questo articolo grazie al feed RSS 2.0. Puoi lasciare un commento, o fare un trackback dal tuo sito.