Anche se non è una regola assoluta, il passaggio a pieno titolo nel mondo virtualizzato avviene quando l’azienda decide di spostare applicazioni e db proprietari di aree strategiche quali finanza, affari legali, marketing ecc. Da questo momento l’efficacia della scelta di virtualizzare è strettamente legata alla qualità della tecnologia adottata, in termini di stabilità e, soprattutto, sicurezza
All’ultima VConference ho fatto un giochino. Non discutere in astratto di vantaggi e svantaggi della virtualizzazione – mi sono detto – e rivolgiti direttamente a chi ha già effettuato questa scelta sia essa una piccola realtà, una grande azienda oppure un’amministrazione pubblica. E fai una domanda sola, a tappeto: qual è stato il problema più importante con cui ci si misura nella gestione di un progetto di virtualizzazione? Tutti coloro che mi hanno risposto, senza eccezioni, hanno richiamato varie combinazioni dei seguenti elementi: qualità della performance, problematiche relative a backup e storage e naturalmente sicurezza. Nella commistione di questi elementi tutti immancabilmente finivano per andare a parare lì. Ora sebbene il mio rudimentale sondaggio non ha nessuna pretesa di scientificità, qualche tempo dopo, raccogliendo materiale per questo servizio, ho scoperto che non si discostava troppo da altre ricerche condotte con metodi più ortodossi e su campioni più ampi; anche da quelle la security faceva sempre capolino ed emergeva sempre forte e chiara una certa preoccupazione (Weltanschauung?) anche nella testa del più sprovveduto – o più ottimista scegliete voi – dei manager, deciso a prendere seriamente in considerazione l’opzione virtualizzazione. Meno esplicita perché magari sottintesa è stata invece la reale consapevolezza dei vantaggi – che come vedremo sono importanti – che la virtualizzazione apporta in termini di sicurezza. Curiosa la tendenza a dimenticare o comunque a non valutare appieno neppure in fase di implementazione del progetto l’impatto che la virtualizzazione ha sull’organizzazione intesa come insieme di aree funzionali la cui collaborazione non è affatto scontata. Questo servizio mi ha dato l’opportunità di ritornare ad affrontare e riordinare questi aspetti; con quali risultati spetta a voi decidere.
VIRTUALIZZAZIONE: VANTAGGI NELLA SICUREZZA
La vertigine dell’hypervisor. In un ambiente virtualizzato l’hypervisor (VMM – Virtual machine monitor) controlla una o più macchine virtuali per mezzo di un software che simula l’hardware sottostante. Per le sue caratteristiche l’hypervisor semplifica la gestione delle risorse computazionali. La riduzione del carico di lavoro amministrativo rende più semplice implementare e mantenere aggiornate le misure di sicurezza più adatte. L’hypervisor ha questa particolarità: esso dà all’amministratore la sensazione di vedere le VM come un pool di risorse hardware, facendogli dimenticare la configurazione del singolo computer host quale entità finita che fornisce un certo servizio. Il consolidamento di molteplici VM su una singola macchina riduce i costi dell’hardware e le esigenze di spazio. L’hypervisor genera la macchina virtuale grazie alle risorse hardware disponibili in locale semplificando il load balancing e portando a livelli esponenziali la scalabilità. Sulla piattaforma virtualizzata gli errori hardware sono del tutto trascurabili: la VM semplicemente sostituisce la macchina guasta con una funzionante. Ancora una volta la sicurezza ne esce rafforzata. Poiché le VM sono facili da replicare, l’amministratore può sistematicamente portare nuovi servizi e applicazioni online nell’ambiente replicato; può mettere a punto una VM hardenizzata e testata con una configurazione di sicurezza specifica e applicarla ai nuovi servizi on-demand, il tutto rispettando le policy esistenti. Ogni nuovo servizio o applicazione può quindi girare in modo indipendente senza il rischio di interferenze. Se un’applicazione che gira su una VM a causa di un bug provoca il crash del sistema, non si hanno ripercussioni sulle altre applicazioni. Allo stesso modo se un intruso compromette un’applicazione, gli effetti dell’attacco sono limitati alla VM compromessa senza intaccare le altre VM. In entrambi i casi l’amministratore si limita a fermare la VM danneggiata e a ripristinare la situazione ex ante ristabilendo l’ultima configurazione stabile. Male che vada si renderà necessario un riavvio del sistema. In entrambi i casi – come vedremo meglio nel paragrafo successivo – le tracce lasciate dal bug o dall’intruso saranno – almeno sulla carta – le tracce digitali di cui si servirà l’amministratore per analizzare il problema: i metodi utilizzati dall’intruso e le vulnerabilità del sistema; una configurazione carente, un attacco innovativo.
Patching più sicuro. Come sa bene qualsiasi amministratore di sistema, effettuare gli aggiornamenti anche di un parco macchine piuttosto limitato costa tempo e fatica. Su di una piattaforma virtualizzata il patching non è più veloce, ma è senz’altro più sicuro. In primo luogo perché, a differenza di quanto avviene in un ambiente fisico, non è possibile aggiornare contemporaneamente tutte le macchine virtualizzate (l’host fisico non riuscirebbe a gestire la richiesta). Quello che potrebbe essere visto come un limite della virtualizzazione in realtà costringe l’amministratore a preparare in modo più accurato la sessione di patching anche in considerazione di un altro aspetto che affronteremo in seguito, la proliferazione delle VM.
Logging sicuro. Una strategia di sicurezza vecchia come i computer è quella di configurare la macchina in modo che il sistema operativo registri tramite log tutte le attività che hanno luogo. Per esempio potrebbe essere utile registrare tutti gli accessi (login) avvenuti sul domain controller. Informazioni queste molto utili all’amministratore per esempio per capire in che modo un intruso è riuscito a guadagnare l’accesso a una macchina del dominio; oppure per stimare l’entità dei danni provocati e per identificare le falle per le quali non erano state predisposte le necessarie difese. Il problema però è che i log possono essere incompleti oppure essere manipolati. Niente impedisce infatti a un intruso, dopo che ha guadagnato l’accesso, né di bloccare la registrazione né di manometterle cancellando ogni traccia. Fermo restando che è sempre problematico stabilire a priori di quali informazioni si necessita per effettuare l’analisi proficua di un attacco. In sintesi: la raccolta di informazioni può essere incompleta e l’integrità dei dati discutibile. In relazione a una macchina virtuale, questi problemi presentano caratteristiche diverse. In primo luogo perché rispetto a una macchina fisica quella virtuale è meno complessa: un minor numero di file e dunque potenzialmente minori vulnerabilità. D’altra parte anche le tracce digitali che la VM genera sono più limitate ed è per questo che gli esperti consigliano di configurare la macchina virtuale in modo che sia in grado di caricare tutti i log generati dall’esecuzione completa della VM. Inoltre occorre considerare che la maggior parte delle istruzioni eseguite dalla VM non necessitano di registrazione; più utili quelle che si riferiscono a eventi non di routine come per esempio una tentata intrusione.
Prevenzione e detection delle intrusioni. C’è un altro aspetto di sicurezza che con le VM è più agevole affrontare. Le VM hanno il potenziale per rendere più efficace sia la prevenzione sia la scoperta di un’intrusione. La prevenzione avviene monitorando il traffico di rete e tenendo traccia dei pacchetti in entrata e in uscita. Se basata sulle signature funziona grosso modo così: gli input che si determinano all’interno della rete vengono messi a confronto dal tool con un db di attacchi noti. Sfruttando questo approccio, i software di prevenzione in pratica isolano tutti gli eventi che si discostano dalla normalità; ovviamente se un certo attacco non è stato mai effettuato prima non vi sarà traccia nel db. Inoltre i sistemi basati sulla rilevazione delle anomalie possono generare falsi positivi. Un sistema più affidabile per identificare un attacco sarebbe quello di riprodurlo su sistemi reali e testare la risposta dei sistemi. Naturalmente in questo modo si rischia molto. Molto meno pericoloso è invece effettuare la stessa simulazione su un clone del sistema reale. Implementare un sistema di detection post-intrusione su una VM consente sulla carta di sopperire al problema dell’integrità e dell’affidabilità dei dati a cui accennavamo in precedenza. Una VM infatti, esattamente come un sistema fisico su cui è installato un sistema di intrusion detection, è perfettamente in grado di monitorare tutti gli eventi. Le info raccolte possono servire per rafforzare le policy di detection. Il sistema di prevention potrebbe verificare se la VM legge determinati blocchi di disco come quelli che contengono le password oppure registrare un’attività anomala della Cpu non giustificata da particolari sollecitazioni. Semmai, come per il logging, il problema più grande da risolvere è quello di sopperire al gap semantico (ossia la differenza tra l’informazione estratta dal dato e l’interpretazione che allo stesso dato viene data in un certo contesto da qualcuno) tra gli eventi che avvengono sulla VM e quelli della macchina fisica.
VIRTUALIZZAZIONE E PROBLEMI DI SICUREZZA
Accanto agli aspetti più innovativi introdotti dalla virtualizzazione – e come abbiamo visto la sicurezza è uno dei più importanti – non vanno sottovalutati i problemi che questa tecnologia introduce, a partire dalla semplice constatazione che il furto o il danneggiamento dell’hardware che ospita le VM dovrebbe costringerci a considerare preventivamente i potenziali rischi e le conseguenze determinate da questi eventi. Questo tipo di analisi, già delicata in ambito fisico, deve essere attentamente ponderata quando si tratta di piattaforme virtuali dove la compromissione dell’host comporta di fatto l’accesso di tutte le VM presenti.
Hypervisor. Come abbiamo visto, l’hypervisor consente a più s/o di utilizzare l’hardware a bordo della macchina fisica. Questo strato supplementare di software, contrariamente a quanto si sente ancora dire, non è, rispetto agli altri, più facile da proteggere. Anzi la complessità del software rende più probabile la presenza di vulnerabilità, peraltro implicitamente confermate ogni volta che un vendor rilascia una patch di sicurezza. Perciò l’aggiunta di un nuovo layer in un ambiente fisico già sollecitato dalla presenza di altri software – a partire dal s/o – a loro volta affetti da bug e falle – difficilmente potrà essere immune da problemi. Sul layer di virtualizzazione inoltre grava un’infrastruttura di gestione e funzionamento propria, anch’essa passibile di compromissione. Questo rischio, tra i più sottovalutati, può portare in alcuni casi al danneggiamento di tutti i workload ospitati. Le piattaforme di virtualizzazione sono in costante evoluzione. Da un lato si registra un’offerta per certi versi ancora limitata; più in generale il comparto sconta la mancanza di standardizzazione e di non compatibilità tra software concorrenti. Questi aspetti confermano il punto di vista di Nicola Barbi, direttore generale support di Econocom (www.econocom.com), peraltro fortemente condiviso quando rileva che «l’hypervisor può presentare vulnerabilità che ancora non si sono evidenziate, ma che potrebbero essere individuate e sfruttate dagli hacker». Il consiglio di Barbi è «di trattare il layer come la piattaforma x86 più critica nel data center aziendale e mantenerlo il più leggero possibile, andando a rafforzare la configurazione per le modifiche non autorizzate». Come sintetizza Marco Ugolini, pre sales manager di Kaspersky Lab Italia (www.kaspersky.it), nel proteggere le infrastrutture virtualizzate si devono fare i conti con due fronti aperti, in aggiunta a quelli tradizionali: la sicurezza del software e quella legata all’implementazione logica di queste infrastrutture: «Se il primo fronte è delegato principalmente al vendor, senza escludere la responsabilità dello staff IT aziendale, il secondo fronte – nota Ugolini – di complessità maggiore, è totalmente a carico di chi implementa e gestisce tali strutture. La mancanza di un adeguato controllo dell’accesso amministrativo al layer hypervisor e alla VM oltre che pericolosa è, come ci conferma Barbi (Econocom), una pratica tutt’altro che rara: «Molte piattaforme di virtualizzazione prevedono percorsi multipli di amministrazione rendendo di fatto difficile un rigoroso controllo dell’accesso amministrativo al layer». Parere questo condiviso anche da Alessandro Peruzzo, amministratore unico di Panda Security Italia (www.pandasecurity.com), che sottolinea come «negli ambienti virtualizzati aumenta il rischio di accessi incontrollati a informazioni e applicazioni». Entrambi, a questo proposito, auspicano il controllo dei propri dati, inclusi file log e di registro, e raccomandano piattaforme di virtualizzazione che consentono di definire livelli di responsabilità amministrativa differenziati. Ancora Barbi (Econocom) sottolinea altresì come le comunicazioni tra macchine virtuali all’interno di un singolo host sfuggono ai dispositivi di sicurezza basati su rete. In pratica, molte piattaforme di virtualizzazione, allo scopo di rendere più efficienti le comunicazioni tra le VM, permettono di creare nell’host fisico un software basato su reti virtuali e switch che consenta alle macchine virtuali di comunicare direttamente; «questo traffico di dati sfugge completamente ai dispositivi di protezione presenti – mette in guardia Barbi -. Per mantenere livelli di visibilità e di controllo adeguati, occorre almeno prevedere lo stesso tipo di monitoraggio normalmente utilizzato per i network fisici».
Proliferazione delle VM. La scalabilità, ovvero la facilità con cui è possibile installare una VM, è da sempre un punto di forza della virtualizzazione. Se la moltiplicazione delle macchine fisiche è limitata dai tempi di setup e dai budget delle aziende, quella delle VM al contrario è molto più semplice e veloce; anche se chi le crea può avere le sue buone ragioni per disseminare qua e là VM, la situazione può facilmente sfuggire di mano. Il numero di VM può crescere a livelli esponenziali con il solo limite dato dalla quantità di spazio fisico disponibile sulla macchina. La proliferazione di VM ha dirette conseguenze sulla performance del sistema: le VM non sanno nulla dei bisogni, in termini di risorse e performance, delle altre VM né dell’hypervisor che le controlla. Ognuna cerca solo di accaparrarsi la propria fetta di torta rappresentata dalla Cpu. Tuttavia più aumentano le VM più cresce il lavoro per l’hypervisor e di conseguenza per la Cpu che deve gestire tutti i processi generati dalle VM. Detto questo e premesso che per stabilire quali sono le vulnerabilità più importanti da tenere sotto controllo in un ambiente virtualizzato occorre partire dal tipo di virtualizzazione implementata nella propria infrastruttura, in linea generale le minacce da considerare – in aggiunta a quelle già esistenti nel mondo IP – originano dalla gestione delle contese hardware, dei flussi per applicazione/cliente/virtual server, dalla disponibilità di banda e dalla qualità dei middleware.
L’IMPATTO DELLA SICUREZZA SULL’ORGANIZZAZIONE
Se acquisto un’auto usata tendo a fidarmi di più del meccanico che l’ha revisionata che del venditore che neppure ha visto da che parte è entrata in officina. Eppure, così come avviene per altre tecnologie, anche per quanto riguarda la decisione di sviluppare un certo progetto di virtualizzazione nella realtà non è difficile imbattersi nello iato tra chi decide di acquisire la tecnologia e chi si troverà in seguito a gestirla. Tipicamente, infatti, l’interlocutore con cui il vendor si trova a discutere del progetto – sia esso un tecnico oppure un manager che gestisce la sicurezza – non è la persona giusta per farlo, vale a dire il responsabile delle applicazioni e dei server. Inoltre il decisore dovrebbe avere tutto l’interesse a valutare l’impatto che un progetto di virtualizzazione avrà sulla struttura organizzativa dell’azienda. Poniamo per esempio di trovarci nella situazione in cui esistano due o più aree funzionali che gestiscono sistemi, reti e storage. Come escludere attriti o addirittura conflitti fra di loro? Quando giriamo la domanda ad Andrea Bellinzaghi, technical manager di Check Point Software Technologies (www.checkpoint.com), non ha nessuna difficoltà a riconoscere che ci si scontra con questo problema quasi tutte le volte in cui ci si siede al tavolo con il cliente: «Il nostro interlocutore tipico, non è (quasi mai) il contatto giusto. Questa situazione rischia di influire negativamente sulla sicurezza dei sistemi virtualizzati che vengono così configurati e mantenuti da persone che potrebbero non avere conoscenze di sicurezza informatica», ammette Bellinzaghi. Per Marco Rottigni, Ssl Vpn product manager di Stonesoft (www.stonesoft.com), l’approccio migliore è quello di stabilire una collaborazione tra l’esperienza dei gestori tradizionali e quella dei fautori della virtualizzazione: «Occorre arrivare a un compromesso tra tradizione e vantaggi offerti dalla nuova tecnologia che deve potenziare le logiche tradizionali di implementazione senza stravolgerle, onde evitare impatti enormi sui processi e il livello di sicurezza già in essere». Anche Denis Sacchi, responsabile progettisti di Asystel (www.asystel.it), sottolinea il valore della cooperazione: «Al di là di un comprensibile attaccamento di ciascun reparto per il proprio ambito, la cooperazione resta essenziale. È pur vero che certe cose in ambiente virtuale si fanno in modo differente rispetto al mondo fisico, pensiamo per esempio al networking, ma è altrettanto vero che le competenze specifiche restano indispensabili». Lo stesso concetto è ribadito anche da Elena Campidoglio, responsabile information security di Cedacri (www.cedacri.it), che, dopo aver sottolineato come la gestione degli oggetti virtualizzati determina un accentramento di competenze sistemistiche e aver rilevato che le componenti fisiche sottostanti restano necessariamente in carico ai settori di competenza, sottolinea come «è innegabile che si crei una buona armonia tra i reparti per evitare un abuso o un uso inappropriato delle risorse che vengono assegnate in pool agli ambienti da virtualizzare». Alberto Brera, country manager di Netasq per l’Italia (www.netasq.com), pone invece l’accento sulle partnership tecnologiche che, a suo parere, «garantiscono che le diverse componenti di un’infrastruttura virtualizzata presentino tutte le caratteristiche che rendono la virtualizzazione unica». Claudio Camporeale, delivery manager della business unit System Integration di S.E.S.A. (www.sesaspa.it), così sintetizza i termini della questione: «Una seria progettazione permette il superamento di vincoli di “non esportabilità” e anche la chiara definizione su dati e flussi gestiti di ruoli e responsabilità, inclusi gestori dei singoli servizi di VM, networking e storage». Richiamando un aspetto molto importante che le tecnologie di virtualizzazione introducono come l’automazione – vale a dire la capacità di gestire in modo molto più efficiente problematiche di messa in opera/dismissione di interi sistemi – e senza dimenticare i vantaggi derivanti dall’efficientamento di processi e costi, Emilio Tonelli, responsabile prevendita Sud Europa di WatchGuard (www.watchguard.it), sottolinea come «queste logiche, se adottate correttamente e opportunamente orchestrate, portano molti benefici ai vari dipartimenti e risolvono i conflitti tra gli stessi. Penso a quante volte un dipartimento ha dovuto ritardare implementazioni o consegne per motivi legati a una difficile o addirittura scarsa comunicazione con l’IT e con gli altri dipartimenti. Con le tecnologie di virtualizzazione – afferma Tonelli -, l’IT in particolare ha una reale opportunità di dimostrarsi proattivo nei confronti di tutti i dipartimenti e del business e, perché no, di anticiparli». Anche Fabio Tognon, HP BladeSystem product manager (www.hp.com/it), riconosce la centralità del tema, soprattutto oggi che la tecnologia sta proponendo nuovi paradigmi operativi e gestionali: «Vale la pena di sottolineare che non è tanto la virtualizzazione in quanto tale a imporci questo tipo di riflessione, quanto piuttosto una progressiva evoluzione delle tecnologie che il mercato sta richiedendo e che si stanno affacciando in modo prepotente sullo scenario competitivo».
(I RARI CASI DI) VIRTUALIZZAZIONE SCONSIGLIATA
Riflettere su questi aspetti è utile anche per evitare malintesi o, peggio, esporsi a rischi inutili. Pensiamo ad esempio all’errata valutazione che porta a considerare gli ambienti virtualizzati in modo differente dal resto dell’infrastruttura IT. Secondo Massimo Cipriani, principal consultant, technical sales di CA Technologies (www.ca.com), «in questo caso il rischio è di finire col privilegiare gli aspetti di ottimizzazione nell’utilizzo delle risorse, di flessibilità, di velocità di implementazione, rispetto alle problematiche di sicurezza, ovvero riservatezza, integrità e disponibilità delle informazioni. Non tutte le organizzazioni applicano in ambito virtuale le stesse soluzioni di sicurezza degli ambienti fisici – prosegue Cipriani – e tale situazione si verifica spesso per un’oggettiva maggiore complessità degli ambienti virtuali». Un altro esempio: la coesistenza di sistemi con differenti livelli di criticità sullo stesso ambiente fisico; «un banale errore di configurazione e questi sistemi potrebbero trovarsi sugli stessi segmenti di rete», avverte Bellinzaghi (Check Point). Un’altra fonte potenziale di problemi è la segregazione delle attività da parte degli amministratori di sistema: «Se nell’ambiente fisico la gestione dei server applicativi, del networking e della security è demandata spesso ad aree specializzate dell’azienda, quando si passa all’ambiente virtuale questa separazione viene a mancare, con il rischio di non dare il giusto peso alla sicurezza», rileva ancora Bellinzaghi. Un discorso a parte merita il problema della collocazione fisica dei sistemi. «La possibilità di svincolare interi sistemi dalla collocazione fisica può essere un enorme vantaggio, ma anche, in alcuni ambienti, un vincolo molto forte. E lo stesso discorso vale per la capacità di condividere risorse hardware tra più clienti», ci dice Emilio Tonelli (WatchGuard). Detto questo la loro collocazione fisica non presenta, se non in casi isolati, vincoli particolari: «L’aspetto fondamentale, da tenere in considerazione – afferma Marco Pacchiardo, Italy security practice head, Professional Services di BT Italia (www.italia.bt.com/) – è che la collocazione dei sistemi all’esterno dell’azienda pone un maggiore grado di rischio in termini di Security Governance. Lo spostamento degli asset presso terze parti introduce, infatti, un grado di incertezza maggiore, che deve essere pianificato e ponderato con attenzione in termini di Sla e Slm». Naturalmente la virtualizzazione non rappresenta la soluzione a tutti i problemi. «Virtualizzare indiscriminatamente non è certo consigliabile e in alcuni casi è addirittura controproducente – afferma Sacchi (Asystel) – si pensi, per esempio, a casi di applicativi che tendono a saturare una specifica risorsa; a quelli in cui il costo del licensing di alcuni prodotti cresce se eseguiti in ambiente virtuale, oppure quando è richiesto l’accesso diretto del sistema operativo all’hardware». Detto in altri termini: «La virtualizzazione è una soluzione brillante in contesti in cui il consolidamento porta dei vantaggi», ci dice Campidoglio (Cedacri); pensiamo ai classici risparmi di costi dell’hardware e dell’energia consumata. «Ma nei casi in cui ci siano esigenze di prestazioni esasperate, indipendenza e controllo centralizzato dell’infrastruttura sottostante, può risultare poco efficace insistere sulla condivisione di uno strato di basso livello tra target con esigenze fortemente differenti», puntualizza Campidoglio spostando il focus su aspetti contigui. Fernando Catullo, amministratore delegato di Intesi Group (www.intesigroup.com), ci offre infine un esempio concreto di virtualizzazione sconsigliabile: «Le soluzioni virtualizzate, nel caso dei sistemi di sicurezza, non sono l’approccio migliore. Vanno infatti previsti dispositivi hardware sicuri e certificati, controllati da componenti applicative che li interfaccino direttamente. Virtualizzare l’hardware non è possibile e caricare le applicazioni su macchine virtuali comporta problemi di configurazione e di affidabilità dovuti al forte disaccoppiamento tra hardware e software introdotto dalla virtualizzazione».
Ridotto il rischio tecnologico
Osservata da un punto di vista olistico, la virtualizzazione è un modo alternativo di implementare un ambiente di data center operativo meno oneroso in termini di costi di possesso e gestione e più efficiente in termini di agilità dell’amministrazione e flessibilità dell’infrastruttura. Sul versante dell’offerta le innovazioni che i fornitori di hardware e di software di virtualizzazione hanno implementato nel corso degli ultimi 24/36 mesi hanno ridotto sensibilmente il rischio tecnologico, sia in termini di sicurezza sia di performance, circoscrivendo ancora di più il perimetro delle applicazioni non virtualizzabili. Per queste sue caratteristiche la virtualizzazione si profila sempre più come un paradigma di riferimento non solo per la maggior parte delle realtà enterprise, ma anche per le medie e piccole imprese. Sebbene i numeri debbano ancora suffragare questa affermazione, anche per le Pmi la virtualizzazione, anche se applicata a contesti più circoscritti, ma associata a una gestione evoluta della connettività porta infatti benefici tangibili e duraturi che aspettano solo di essere raccolti.
