Hệ thống ảo, lỗ hổng thật

Quản Trị Mạng - Liệu sự vội vàng đổ xô sử dụng hệ thống ảo có để lại những lỗ hổng cho hệ thống an ninh IT? Đối với nhiều doanh nghiệp, câu trả lời là có. Nhân viên của LogLogic, Bill Roth đã nói: “Khi bạn sử dụng nền tảng điện toán mới, sẽ luôn có những hậu quả không lường trước được, và hậu quả không lường trước được trong trường hợp của ảo hóa là vấn đề về bảo mật”.

Bởi các doanh nghiệp luôn tìm mọi cách để cắt giảm chi phí, phòng IT luôn ngồi trên chiếc ghế nóng và việc họ sử dụng công nghệ ảo là chuyện rất dễ hiểu. Ví dụ, VMworld 2010 được đặt ở San Francisco mới đây đã ghi nhận có tới hơn 17 ngàn người tham gia và đã có 145 ngàn máy ảo được triển khai.

Tuy nhiên, cũng do các doanh nghiệp vội vàng đổ xô vào công nghệ ảo, chính họ cũng tự mình đặt thấp mức độ an ninh và chuyện họ phải đối mặt với những vấn đề liên quan tới an ninh bảo mật là chuyện dễ hiểu.

Một cuộc khảo sát được thực hiện bởi Altor Networks và Juniper Networks trên VMworld 2010 cho thấy tư duy cắt giảm chi phí đang đẩy những doanh nghiệp có xu hướng sử dụng công nghệ ảo tới những chi phí cho an ninh bảo mật.

Bill Roth cho biết thêm: “Áp lực luôn đặt trên vai những người quản trị IT trong việc sử dụng các nguồn phần cứng sao cho hiệu quả”.

Điều tốt, điều xấu và sự kết hợp của cả 2 điều này

Cuộc khảo sát của Altor và Juniper cho thấy IT luôn mâu thuẫn bởi họ gặp khó khăn trong việc đáp ứng nhu cầu của cấp trên trong những trường hợp tình hình hoàn toàn ngược lại.

Johnnie Konstantas, giám đốc marketing của Altor Networks cho biết: “Lợi nhuận của các doanh nghiệp sử dụng công nghệ ảo có thể rất lớn và vì vậy nên các doanh nghiệp có thể sử dụng một số công nghệ bảo mật có sẵn và áp dụng nó với bảo mật của công nghệ ảo. Thế nên, khi họ nhận thức được với nguy cơ bảo mật, họ cũng phải chuẩn bị đối mặt với chúng.”

Konstantas cũng chỉ ra rằng, một số doanh nghiệp chỉ quan tâm tới việc sử dụng công nghệ ảo. Tuy nhiên, những doanh nghiệp lớn sẽ có một phòng thí nghiệm, nơi họ có thể kiểm tra khả năng khôi phục thảm họa khi vấn đề xảy ra, hoặc thường xuyên chịu áp lực trong việc chuẩn bị phương pháp bảo mật ngay sau khi họ ảo hóa hệ thống của mình.

“Dò đường trong màn sương”

Khái niệm lên kế hoạt cho một mạng và đặt vấn đề bảo mật lên hàng đầu đã được dân IT thực hiện tốt, nhưng tại sao rất nhiều doanh nghiệp lại không thực hiện theo phương thức này?

Roth cho rằng, thông thường, IT luôn phải đối mặt với 2 vấn đề lớn – họ được yêu cầu phải làm nhiều hơn năm trước và họ yêu cầu phải thực hiện nhanh hơn. Ông là giám đốc triển khai phần mềm mới cho GSI Commerce, một nhà cung cấp thương mại điện tử nắm giữ Toys 'R' Us và NFL. Roth cho biết thêm: “Những hạn chế này là điều chúng tôi luôn phải chịu đựng”.

Trong khi đó, không phải IT nào cũng đủ hiểu biết cần thiết để có thể nắm bắt được điều gì đang diễn ra trong môi trường ảo.

Cũng theo Roth: “Chúng tôi có một ứng dụng ảo giúp quản lý bản ghi. Điều chúng tôi không hiểu khi chúng tôi đã gia nhập vào một đám mây hay vẫn đang hoạt động dưới sự “bảo hộ” của VMware (NYSE: VMW) Cloud Director là, vấn đề bảo mật là gì giữa các máy ảo?”

Ví dụ, một máy tính ảo (VM) chạy ứng dụng văn phòng có thể được chứa trong một server vật lý khi máy ảo yêu cầu độ bảo mật cao. Sự thiếu hiểu biết này có thể dẫn tới rất nhiều rắc rối. Ví dụ, những máy ảo được đặt liền kề nhau với những yêu cầu bảo mật khác nhau có thể dẫn tới vấn đề bảo mật bởi máy ảo không được bảo mật thích đáng sẽ bị hacker khai thác thành máy trung gian để lây nhiễm sang máy ảo khác, những máy đang chạy trên cùng một máy chủ vật lý.

Mong chờ điều không mong muốn

Rất nhiều thời điểm, vấn đề IT phải đối mặt là khi họ sử dụng nền tảng mới, thế nên họ không biết nên mong chờ điều gì.

Roth cho biết: “Ví dụ, khi tôi tạo một máy ảo hoặc thiết lập một môi trường ảo như VMware Workstation, sẽ có tới 2 giao diện mạng mà chúng ta có thể không biết để có thể quản lý. Cho dù công nghệ ảo là điều tuyệt vời, nhưng không phải lúc nào nó cũng thực hiện đúng những gì ta thực sự mong muốn. Khi bạn sử dụng nền tảng điện toán mới, sẽ luôn có những hậu quả không lường trước được, và hậu quả không lường trước được trong trường hợp của ảo hóa là vấn đề về bảo mật”.

Có thể, cách tốt nhất để đối mặt với vấn đề này là kiểm soát chúng và luyện tập các cách đối mặt với vấn đề, khi chúng không yêu cầu người dùng thực hiện nhiều thay đổi trong cách họ làm việc.

Konstantas nói thêm: “Quan điểm của chúng tôi về thế giới là vấn đề chúng ta lo ngại đang xảy ra và bạn nên “gói bọc” tất cả các máy ảo vào một hệ thống bảo mật cùng với một firewall, và điều này nên được thực hiện theo cách sự an toàn, bảo mật sẽ theo sát tất cả các máy ảo. Từ đó, người dùng sẽ không phải lo lắng tới các vấn đề bảo mật nữa”.

Giải pháp có thể chấp nhận được dành cho bảo mật

Một trong những rào cản khi thực hiện các biện pháp bảo mật cho môi trường ảo là thiếu công cụ cần thiết. Các nhà sản xuất chính như Computer Associates và HP (NYSE: HPQ) đã mở rộng các công cụ bảo mật để đáp ứng được môi trường ảo, nhưng những chuyên gia công nghệ ảo cho rằng điều này vẫn chưa đủ bởi thế giới ảo có những yêu cầu riêng, khác biệt so với môi trường thực tế.

Theo Konstantas, "tỷ lệ thay đổi trong môi trường ảo cao hơn rất nhiều so với môi trường thực tế. Ví dụ, 55% người được hỏi trong cuộc khảo sát trong VMworld 2010 nói rằng họ đã từng nhận thấy sự thay đổi vài lần trong một ngày khi họ thêm, xóa hoặc thay đổi nội dung trong máy ảo.”

Các công cụ và phương pháp được thiết kế dành riêng cho môi trường ảo đang xuất hiện nhiều hơn.

Altor là một trong những nhà sản xuất cung cấp các công cụ mới. Sản phẩm của hãng này giúp tự động hóa quá trình quản lý máy ảo và cảnh báo bảo mật khi có vấn đề xảy ra. Ngoài ra, những chương trình này cũng có khả năng “nhìn xuyên thấu” vào một máy tính ảo, cho phép đội ngũ IT thực hiện những phương pháp quản trị máy ảo dễ dàng hơn.

Thêm vào đó, Konstantas cho rằng “việc chia nhỏ những các quyền dành cho một và tất cả máy tính ảo là điều không thể với những phần mềm hiện tại bởi chúng không có khả năng nhìn xuyên thấu bên trong một máy ảo giống như phần mềm của chúng tôi”.

LogLogic, hãng cung cấp phần mềm quản lý bản ghi, đã làm việc với VMware để tạo ra các bản ghi dành cho sản phẩm Cloud Director, giúp người dùng có thể thực hiện các phân tích pháp lý và bảo mật.

Trend Micro (Nasdaq: TMIC) mới đây đã công bố một module chống malware không sử dụng đại lý dành cho môi trường ảo VMware. Đây là sản phẩm Deep Security 7.5 của hãng.

Phương pháp bảo mật này tiện ích ở chỗ, khi bạn sử dụng một máy ảo, chương trình sẽ tự động khởi động mức độ bảo vệ hợp lý. Ứng dụng chống malware sử dụng đại lý không cho phép bạn thực hiện điều này bởi đại lý lưu trữ mức độ bảo mật phù hợp với máy tính ảo được sử dụng và điều này có thể bị lỗi thời mỗi khi bạn sử dụng lại máy ảo này.

Vấn đề khác phần mềm bảo mật không sử dụng đại lý có thể giải quyết được là sự cố yếu nguồn. Điều này xảy ra khi hoạt động bảo mật chạy đồng thời trên một số máy ảo trong một máy chủ vậy lý và chúng phải cạnh tranh nguồn từ máy chủ này.

Tuy nhiên, chỉ riêng những sản phẩm này vẫn chưa đủ.

Theo Roth: “Kế hoạch bảo mật tốt nhất tập trung vào 3 điều – con người, quy trình tiến hành và sản phẩm. Bạn cần phải thuê nhân viên giỏi và phải biết rõ về nhân viên của mình; bạn cần những sản phẩm thích đáng; và bạn cần phải thực hiện đúng quy trình tiến hành."