La virtualizzazione è di gran moda presso i datacenter. E per un buon motivo. Con un tipico server che viene utilizzato al massimo al 40% delle sue possibilità, la virtualizzazione può rendere più efficace l'uso delle risorse di sistema e portare una notevole riduzioni dei costi. Data la notevole espansione di VMware, subsidiary di EMC, e di un certo numero di altre piattaforme di virtualizzazione, la tecnologia sta chiaramente conoscendo un notevole sviluppo.
Di solito, la sicurezza è un aspetto secondario, ma non è assolutamente da sottovalutare. La virtualizzazione cambia la definizione di server e di datacenter. In contrasto con i server fisicamente distinti collegati su una rete (che può presumibilmente essere resa sicura o controllata), un ambiente virtuale può essere considerato un “datacenter in a box” isolato. E visto che tutte le comunicazioni da processo a processo che avvenivano su una rete nel passato si verificano all'interno di un singolo dispositivo It, non c'è dubbio che le ramificazioni di sicurezza assumono un'importanza significativa.
Il fatto è che nessuno sa di preciso quanto la virtualizzazione stia sconvolgendo i 15 anni di lavoro che ci sono voluti all'industria per sviluppare le difese per i sistemi e le applicazioni. Per comprendere la situazione, è importante anzitutto capire che le funzioni di sicurezza sono differenti nel mondo della virtualizzazione.
In altre parole, anche se è impossibile dire esattamente quali saranno le più significative sfide per la sicurezza della virtualizzazione, vanno comunque evidenziati alcuni punti chiave.
• I meccanismi di difesa della rete vengono rimessi in discussione. La maggior parte dei meccanismi di difesa della rete è indirizzata al controllo del traffico, confrontando i pacchetti o valutando cosa si sa essere maligno e quindi agendo di conseguenza. Se il traffico non può essere valutato, è necessario monitorare le comunicazioni tra processi all'interno delle macchine virtuali o fra un'infrastruttura virtuale che comprende molteplici macchine fisiche. La definizione “di rete” nel mondo virtuale è significativamente differente e richiede difese diverse. Blue Lane Technologies e Reflex Security sono due dei fornitori che già lavorano per risolvere il problema, qualsiasi possa essere tale problema.
• Gli hypervisor aggiungono un ulteriore elemento di incertezza. Tutti parlano di quanto poco sicuro sia il sistema operativo. Sì, tutti i sistemi operativi, nessuno escluso, sono poco sicuri, ma aggiungere ancora una certa complessità significa includere uno strato di sistema operativo potenzialmente insicuro (l'hypervisor) sopra quello che potenzialmente è un altro sistema operativo poco sicuro. L'hypervisor è lo strato di astrazione del software fra il puro hardware e le istanze del sistema operativo che vi girano sopra. È un software e come la maggior parte del software è tecnicamente vulnerabile. La domanda è: quanto vulnerabile? La posta in gioco è alta; se l'hypervisor sottostante è compromesso, è possibile prendere possesso di tutte le macchine virtuali che vi funzionano sopra.
• L'aggiornamento della configurazione/patch è più articolato. Quando cinque, 10 o 100 dispositivi virtuali sono disposti su ogni server fisico, l'infrastruttura per l'amministrazione della configurazione corrente è messa sotto stress. Effettuare il patching di 5.000 immagini virtuali che funzionano su sistemi operativi differenti è praticamente impossibile. L'odierna offerta per la gestione della configurazione deve evolversi per consentire di raggiungere la scalabilità (e l'efficienza) necessari per funzionare nel mondo virtuale.
• Devono cambiare i modelli di business del software. Molti software, soprattutto quello di amministrazione/gestionali, vengono commercializzati in base al numero di dispositivi gestiti, ma in un mondo virtuale, cos'è un dispositivo gestito? Ogni immagine virtuale generata deve essere pagata? C'è una richiesta di pagamento quando l'immagine è rimossa? Come conseguenza della virtualizzazione, vedremo probabilmente emergere un nuovo modello di pricing del software.
