Virtualizace sítí povede ke změnám v bezpečnosti (2.)

Specializací analytika Gartneru Neila MacDonalda je bezpečnost. Nejenže zblízka pozoruje, na čem pracují výrobci bezpečnostních řešení, ale je také zastáncem velkých změn ve chvíli, kdy se mění prostředí síťových technologií.

Virtualizace sítí povede ke změnám v bezpečnosti (2.)


← Předchozí část

VMware vytvořil první sadu API rozhraní sám, aniž by spolupracoval s různými bezpečnostními vendory. Spolupracovali pouze s Trend Micro. „To, co vzniklo, je inovativní. Pro Trend Micro to bylo jednoznačně výhodné, uzavřeli totiž spolu spoustu obchodů. API rozhraní, která vzejdou jako produkt poradní komise, totiž obecně nefungují dobře. Při zaměření na několik poskytovatelů lze dosáhnout mnohem většího úspěchu,“ zdůrazňuje MacDonald. Tento bezagentní přístup má svá pro a proti. Je tu například nová off-line ochrana virtuálního stroje s vylepšeným využitím zdrojů. „Na straně záporů figuruje potřeba rozšíření hypervizoru – je to pouze VMware a potřebuje licencování, jedná se pouze o Windows a ne tak úplně „bezagentní“, a k dispozici máme pouze skenování proti malwaru. Nemůžete provádět prevenci neoprávněného vniknutí založenou na hostiteli nebo třeba monitoring chování,“ dodává.

API rozhraní vShield poskytují VMwaru schopnost firewallu. Dnes se používají oddělené karty rozhraní pro každou pracovní zátěž. „Důvěřujete VMwaru v oddělení paměti, ale pro síťový provoz vše rozešlete odděleně na fyzické firewally. Není dalším logickým krokem jednoduše zvirtualizovat firewall?,“ táže se MacDonald. Firewall VMwaru by to zvládl, pro základní segmentaci to postačí. Virtuální firewally mají i Check Point, Juniper nebo Cisco. Firewall Check Pointu obsahuje IPS (Intrusion Prevention System), který VMware nemá, pro něj tyto záležitosti dodávají partneři. „Ve virtualizaci to vše znamená, že jsem vzal bezpečnostní kontrolu a „vcucnul“ jsem ji dovnitř. Otázka je, kdo za ni bude nyní zodpovědný? Musíte vytvořit rozdělení povinností. VMware k tomu má přístup založený na rolích. Stejně jako HyTrust. Nechceme toto vše nutně v rukou jedné osoby - síť je chráněna a dohlížena bezpečnostním administrátorem, zbytek pak administrátorem VMwaru. Ale budoucnost je hybridní, s některými firewally virtualizovanými, jinými hardwarovými. Co drží Palo Alto Networks zpátky, je to, že používají hodně vlastního hardwaru. Firewall Palo Alto dnes není virtualizovaný, ale bude,“ uzavírá MacDonald.





Komentáře