Infraestrutura > Virtualização

Por que os gestores ainda temem a virtualização

Segurança faz empresas ‘pensarem e repensarem’ na ampla adoção da virtualização. Riscos? Sempre existirão. Basta conhecê-los e gerenciá-los

28 de Junho de 2017 - 16h10

Você se juntou à multidão que busca a virtualização e a nuvem visando obter maior economia e agilidade? Certamente! A virtualização já está consolidada e traz enormes vantagens em termos de flexibilidade, escalabilidade e o mais importante, a redução de custos. No entanto, não é raro que seja considerada uma tecnologia “emergente”, não somente devido ao aumento de popularidade nos últimos anos, mas principalmente devido a ter atingido um outro patamar, que é a virtualização de rede e de storage. Tudo em nome da segurança e da alta disponibilidade da informação.

As funcionalidades que permitem tanta flexibilidade computacional levam gerentes de rede e segurança a pensar: Uma ameaça no ambiente virtual pode se espalhar para toda a rede? Preocupações como está podem estar segurando inúmeras empresas a aderirem em maior proporção a tecnologia que será fator de sobrevivência em um futuro bem próximo, ou até atual.

Como qualquer tecnologia em rápido desenvolvimento, a segurança pode ser um grande obstáculo para uma adoção mais ampla da virtualização em todas as três camadas — servidores, storage e rede. Porém, as preocupações com a segurança não costumam ser infundadas. Por exemplo, é comum encontrar riscos associados a cargas de trabalho dinâmicas que causam brechas de segurança que potencialmente colocam sistemas inteiros em risco devido ao modo como os recursos são compartilhados.

Riscos à segurança

Então, quais são os principais riscos à segurança associados à virtualização? A virtualização agrega camadas adicionais de complexidade à infraestrutura. Isso significa que o monitoramento de eventos e anomalias incomuns também se torna mais complexo, o que, por sua vez, atrapalha ainda mais a identificação de problemas de segurança, como ameaças avançadas persistentes.

Além disso, os ambientes virtualizados são dinâmicos e passam por rápidas transformações. Diferentemente dos ambientes físicos, máquinas virtuais inteiras podem ser criadas em questão de minutos. Fica fácil perder o controle do que está online, offline e das possíveis brechas de segurança resultantes. Isso está relacionado a um fenômeno conhecido como dispersão virtual, que é quando o número de máquinas virtuais existentes em um ambiente atinge um ponto em que não podem mais ser gerenciadas com eficácia, como por um simples exemplo, a aplicação de patches de segurança nos sistemas operacionais. Nesses casos, não é mais possível garantir a segurança de todas as máquinas virtuais, sejam elas de produção, homologação, testes ou que não estejam servindo para nada, mas estão lá, muitas vezes, completamente esquecidas. Vale destacar que muitos invasores já usaram máquinas virtuais que não estavam sendo utilizadas para nada, mas que estavam no ar, como porta de acesso aos sistemas de uma empresa.

Por fim, além da natureza dinâmica das máquinas virtuais propriamente ditas, as cargas de trabalho podem ser transferidas com muita rapidez. Isso também representa um enorme risco à segurança. Por exemplo, uma certa carga de trabalho pode precisar de um nível mais alto de segurança, que pode ser proporcionado pela máquina virtual inicial a que foi atribuída. Mas quando há a necessidade de criar espaço para trabalhos mais importantes, sem as devidas verificações e balanceamentos, essa carga pode ser facilmente transferida para uma nova máquina virtual com um nível de segurança menor, o que pode criar uma brecha de segurança.

Medidas para riscos relevantes

Apesar das vantagens da virtualização, ainda há preocupações com os riscos de segurança associados à virtualização. No entanto, isso não quer dizer que os riscos não possam ser gerenciados. Algumas medidas:

Separação: estabeleça como e onde separar as máquinas virtuais de desenvolvimento, testes e produção;

Criação de processos automatizados:  habilite processos específicos à TI por meio de portais de autoatendimento para aumentar a eficiência e simplificar o gerenciamento;

Gerenciamento de dispersão: gerencie ativamente o ambiente virtual em termos do que está efetivamente sendo usado e o que não está, ou o que não é necessário;

Gerenciamento completo das camadas de virtualização: não importa em que nível a sua infraestrutura está, gerencie com eficiência a virtualização dos servidores, da rede e do storage;

Auditoria incorporada: aproveite ferramentas para automatizar verificações de segurança, balanceamentos e processos, sempre que possível;

Aplicação de patches: implemente um processo de manutenção e gerenciamento de patches e programe-o para garantir que estejam atualizados tanto em máquinas virtuais online quanto offline.

Com o conhecimento dos principais riscos de segurança associados à virtualização e um compromisso de seguir as práticas recomendadas de atenuação dos riscos, é possível para qualquer organização encontrar um equilíbrio entre aproveitar as vantagens da virtualização e manter os mais altos níveis de segurança.

*Sérgio Leandro é especialista em infraestrutura virtual para ambientes de missão crítica e CEO da OS&T Informática.