Aprenda a segregar servidores virtuais
Proteger os servidores virtuais uns dos outros requer um conjunto único de mecanismos de segurança.
Desvincular os servidores físicos uns dos outros em um data center já não é tarefa das mais fáceis. Tentar isolar os servidores virtuais rodando em um mesmo hardware é ainda mais complicado.
O Mercy Medical Center, em Baltimore, passou pelo problema quando implementou o NAC (controle de acesso de rede) da ConSentry Networks. Como parte desse projeto, a companhia aposentou hardwares de servidores que rodavam múltiplos aplicativos e os substituiu pode servidores virtuais, cada um deles rodando um único aplicativo. Embora isso tenha tornado a implementação do NAC mais baseada em aplicativos do que em servidores, ela trouxe consigo uma série de complicações relacionadas a segurança.
Se você levar em conta os pré-requisitos de um bom firewall servidor-a-servidor – em particular, as necessidades de velocidade e suporte a IPS (sistema de prevenção de intrusos) –, implementar a segurança em um ambiente virtual pode fazer mais sentido.
Alguns fabricantes identificaram aí um nicho. A Reflex Security, por exemplo, oferece um appliance de firewall e IPS virtual empacotado como uma máquina virtual para controlar e garantir a segurança da comunicação entre os servidores virtuais. Como os servidores e o firewall se comunicam dentro do hardware, eles não precisam buscar um switch externo. Isso reduz o desempenho do hit de IPS.
Além disso, como esses recursos são oferecidos em software na máquina virtual, sua implementação é mais barata do que a de um firewall-IPS baseado em hardware. “Você não precisa ficar mudando cabos de lugar toda vez que quiser garantir a segurança de um servidor diferente”, explica Nand Mulchandani, diretor sênior de produtos da VMware. “Tudo pode ser feito no software, a um custo muito menor”, completa.
Outros destaques do COMPUTERWORLD:
> Chegou a hora de descartar o Windows?
> Java é cada vez mais ameaçada por novas linguagens
> Cargos em TI que você nunca imaginou existirem
> Linux para o mercado SMB: lento, sólido ou ambos?
> Prêmio Melhores Empresas para Trabalhar TI&Telecom abre inscrições
Outras empresas, como a Blue Lane Technologies, também desenvolvem aplicativos de segurança baseados em máquinas virtuais (VM), e mesmo a fabricante de firewall Check Point Software diz que não descartou a idéia de desenvolver seu próprio aplicativo de firewall-IPS virtual.
Aplicativos virtuais de segurança são um passo na direção correta, mas alguns usuários dizem que o desempenho ainda não é aceitável. “Temos utilizado o Reflex e outros, mas eles não parecem conseguir transmitir pacotes tão rapidamente quanto o necessário”, disse Rein. Segundo ele, é realmente necessário que a segurança seja processada em algum lugar dentro do próprio hypervisor.
Nesse aspecto, a VMware está abrindo seu hypervisor a alguns parceiros de segurança confiáveis por meio de um programa chamado VMsafe. Os fabricantes de soluções de segurança terão a mesma visibilidade do hypervisor na operação de uma máquina virtual, incluindo a memória, CPU, disco e sistemas I/O, diz VMware. Desta forma, eles conseguem identificar e eliminar malware, como vírus, Trojans e keyloggers, antes que eles danifiquem a máquina ou roubem seus dados.
