مجازی‌سازی واقعیت‌ها در نیروانا

محققان و دیگر اعضای صنعت امنیت رایانه معتقدند علاوه بر نبود درک درست از شیوه و چگونگی کارکرد محیط‌های مجازی، دقت و توجه اصلی صنعت رایانه به بازدهی و هزینه باعث شده است پدیده امنیت از اولویت بالایی برخوردار نشده و بعضا حتی نادیده گرفته شده است.

به گزارش تحلیلگر امنیتی فارستر، اندرو رز، بسیاری از متخصصان آی‌تی به این می‌اندیشند که سرورهای مجازی شباهت زیادی به سرورهای فیزیک دارند، با وجود ریسک‌های امنیتی این سرورها با برادرهای فیزیکی‌شان متفاوت است.

هر چه سازمان ها بیشتر به دنبال محیط‌های مجازی می‌روند و کارزیست شغلی خود را به آنجا منتقل می‌کنند، باید توجه داشت که سرورها دیگر تنها قطعات فیزیکی نیستند که اتصالات آنها را بدقت می‌توان چک و بررسی کرد. سرورها به نرم‌افزارهای پیچیده‌ای تبدیل شده‌اند که در لایه بالایی شبکه‌های مجازی فعال می‌شوند و به لایه‌های مختلف مجازی‌سازی شده اطلاعات دسترسی خواهند داشت. همین موضوع نشان می‌دهد محافظت از داده‌ها باید تغییر کند.

اما چه اموری را حرفه‌ای‌ترها باید انجام دهند تا محیط‌های مجازی کار‌شان علاوه بر به‌صرفه بودن، امن هم باشد؟

ـ ایجاد سیاستی برای استفاده از سرورهای مجازی.

ـ محدودکردن تعداد سرورهای مجازی که از یک سرور فیزیکی نشات می‌گیرند.

ـ کنترل تعداد نرم‌افزارهای حیاتی شغلی که می‌تواند روی یک سرور کار کند.

سرورهای مجازی می‌تواند با ایجاد نرم‌افزارهای نگهبان و پیاده‌سازی استانداردهای امنیتی ساده به کنترلی نسبی برسند. کارهایی از قبیل ایجاد سیاست تغییر مولفه‌های امنیتی، نظارت، گزارش‌گیری منظم و بازبینی توسط سوپریوزر و محدودسازی دسترسی به محیط مجازی شبکه توسط افراد مختلف، در کنار نظارت بر ترافیک شبکه بین سرورهای مجازی و شبکه‌ها به‌طور دائم می‌تواند در تشخیص رفتارهای ناهنجار در سرور بسیار مفید و زودهنگام باشد.

ادریان دیویس، تحلیلگر ارشد موسسه امنیتی ISF معتقد است هر سرور مجازی باید به‌روش‌های معمول سرورهای فیزیکی محافظت شود. جلوگیری از دسترسی فیزیکی، سخت‌کردن مولفه‌های نرم‌افزاری سیستم، مدیریت تغییر و حفاظت در برابر بدافزار، نظارت و گزارش‌گیری منظم، علاوه بر بالابردن سطح شبکه ازجمله فایروال‌ها، سیستم‌های تشخیص حملات و دزدی داده از موارد عادی امنیتی در شبکه‌های فیزیکی است که باید در سرورهای مجازی نیز انجام شود.

همچنین کسانی که به طور جدی با مقوله امنیت سر و کار دارند، نباید تنها محیط مجازی را مربوط به خود بدانند و اگر موردی مرتبط با سرویس‌دهنده بود، حتما در تعامل با آنها مشکل را حل کنند.

معماری‌های چندلایه سنتی، که لایه‌های presentation، application و دیتا از طریق فایروال فیزیکی از دنیا بیرون است، در دنیای مجازی دیگر کاربرد ندارد و ممکن است دو یا چند لایه در دنیای فیزیکی حضور داشته باشد. در طراحی امنیت محیط‌های مجازی، بهتر است کسانی که به داده‌ها دسترسی پیدا می‌کنند ، گروه‌های منابع و ناحیه‌هایی که قابلیت دسترسی دارند را پیش از نصب اولیه مشخص و فهرست کاملی از موارد امنیتی الزامی تهیه کنند.

ترنت هنری، تحلیلگر موسسه گارتنر، معتقد است سوئیچ‌های مجازی که در سرورهای فیزیکی نصب هستند، بخش قابل توجهی از ترافیک داده را از سرورهای مجازی پنهان می‌کنند و بخشی از این سیاست‌ها ازجمله تشخیص حمله به روش‌های عادی قابل انجام نخواهد بود.

در محیط‌های مجازی فایروال و ابزارهای نظارتی تنها ابزارهایی است که می‌توان به آن اتکا کرد و مسائلی از مجله فایروال‌های فیزیکی و انواع روش‌های پیکربندی آنها از دسترس مسئولان آی‌تی شرکت خارج است. از این رو باید تکنیک‌های جدیدتری برای تشخیص نفوذ به سیستم و خرابکاری استفاده کرد که این نیازمند انعطاف‌پذیری بیشتر متخصصان امنیتی را می‌طلبد.

امن‌سازی محیط مجازی، فقط به فناوری وابسته نیست. علاوه بر مواردی امنیتی که با کد و دستور انجام می‌شود، باید استانداردها، پروسه‌ها، کنترل‌ها، نظارت‌ها و گزارش‌گیری‌ها نیز تغییر کند.

در امن‌سازی محیط‌های مجازی، بخش‌های اطلاعاتی باید در ابتدا بدانند که قابلیت‌های محیط مجازی در اختیارشان چیست.

مایکروسافت، VMWare، سیتریکس، NIST و CIS راهنماهای امنیتی مختلفی در رابطه با این موضوع منتشر کرده‌اند.

هم‌اکنون بزرگ‌ترین تهدیدی که کارزیست‌های مجازی را تهدید می‌کند، ناتوانی در پیکربندی صحیح و بی‌نقص است که نیاز به تخصص، تمرین و تجربه دارد. اگر محیط‌های مجازی بخوبی پیکربندی نشوند، امکان به‌وجود آمدن ماشین مجازی هرز در سیستم وجود دارد، یعنی بخشی از محیط مجازی بکلی از اختیار مدیر خارج می‌شود.

بسیاری معتقدند که پیاده‌سازی صحیح محیط‌های مجازی، می‌تواند درست به اندازه سرورهای فیزیکی امنیت داشته باشند. استفاده از سخت‌افزار مطمئن، معماری سخت‌افزارهای نظارتی مطمئن و مدیریت نظارت مجازی صحیح می‌تواند بخش زیادی از دغدغه‌های امنیتی را رفع کند، اما مساله آنجاست که همه این موارد با یکدیگر معمولا در اختیار نیست و در نتیجه، درست به اندازه سرورهای فیزیکی نمی‌توان امنیت داشت. با وجود این سازمان‌ها می‌توانند با کمک Intel TXT و AMD TrustZone تا حد زیادی از مشکلات را کم کنند.

نیازهای اولیه از این طریق رفع می‌شود و می‌توان بقیه مولفه‌ها را یکی یکی انجام داد. از جمله کارهایی که می‌تواند رسیدن به امنیت ایده‌آل را تضمین کند، گفت‌وگو با سرور و دریافت اطلاعات کافی برای استفاده از امکانات نرم‌افزاری با بهترین همخوانی است.

آرمان صالحی