terça-feira, 9 de agosto de 2011

Nas nuvens

Gartner: virtualização e cloud exigem reforço na segurança

Fornecedores movimentam-se para oferecer às empresas monitoramento do firewall e prevenção de invasões na nuvem e em ambientes virtuais.

A corrida para virtualizar sistemas e a computação em nuvem podem possibilitar muitas vantagens para as companhias, como a consolidação de servidores, mas exigem reforço na segurança e nas práticas tradicionais de gerenciamento de identidade. Esse cenário está gerando enormes lacunas e, inevitavelmente, surgem perguntas sobre onde os produtos e os serviços de segurança devem ser aplicados no mundo dos fornecedores de máquinas virtuais (VM).

"A virtualização muda radicalmente a forma de proteger e gerenciar o ambiente computacional", afirma o analista do Gartner Neil MacDonald. "Os trabalhos são móveis e a segurança desses ambientes fica mais difícil. Há quebra das políticas de segurança ligadas à localização física. Por isso, precisamos de políticas de segurança independentemente do tipo de rede."

O instituto de pesquisas Gartner estima que quase metade das cargas de trabalho baseadas em servidores x86 é virtualizada hoje com a ajuda do software VMware. Mas o Microsoft Hyper-V e a solução da Cisco estão em ascensão. O Gartner acredita que as empresas estão planejando a mudança para uma arquitetura de nuvem privada. Mas, ao mesmo tempo, o instituto de pesquisas reconhece que a adoção de ferramentas de gerenciamento e segurança não tem crescido para atender a essa demanda.

"O hypervisor vai ser menos seguro do que os sistemas físicos que ele substitui", diz MacDonald. “A integridade dessa camada inferior é primordial. A camada hypervisor não pode ser comprometida”, avalia.

Hoje, há uma "falta de visibilidade e de controles internos em relação à comunicação entre máquinas virtuais", avalia MacDonald. "A máquina virtual um está conversando com a máquina virtual três? Como saber se elas não estão sendo atacadas?”, diz. Algumas empresas estão dispostas a viver com essas incertezas, outras não, afirma MacDonald.

Perguntas como essas devem ser abordadas para descobrir quais opções existem para lidar com a virtualização e a segurança na nuvem. Na opinião de MacDonald, é preciso executar uma ampla gama de controles de segurança nas VMs, como firewalls virtuais, sistemas de prevenção de intrusão e antivírus, além de balanceadores de carga e shapers de tráfego.

Cada vez mais fornecedores como Altor, Cisco, Juniper, IBM, HyTrust, HP, Enterasys, McAfee, Catbird, StillSecure, Sourcefire, Reflex Systems e StoneSoft estão oferecendo opções de virtual appliances para realizar o monitoramento do firewall e a prevenção de invasões. "Depois de um início cauteloso, os grandes fornecedores de segurança estão efetuando progressos na segurança virtual."

A VMware tem oferecido o VMsafe APIs para facilitar a visualização de intrusões baseada em hipervisor. Assim, agentes múltiplos de software não são mais necessários.

A Trend Micro adotou para si algumas das ideias da VMware, incluindo o suporte para a segurança dos últimos Applications Programming Interface (APIs) da VMware. A Trend Micro está cobrando menos pelas máquinas virtuais baseadas em software A/V, da VMware, talvez pensando que "não tem nada a perder", opina MacDonald.

A transição para a virtualização focada em software baseado em controles de segurança, embora cheia de incertezas, ainda está prevista para acontecer e, mesmo que esteja apenas implementada "na casa de um dígito hoje", em 2015 o Gartner prevê que 40% dos controles de segurança, como antivírus, serão virtualizados.

A ideia principal é "tratar a plataforma de virtualização como a mais importante plataforma de TI do data center a partir de uma perspectiva de segurança e de gestão", diz MacDonald. Para os responsáveis pela área de gestão de identidade na nuvem, no entanto, a situação parece ser particularmente desafiadora.

"Há dois anos, estávamos falando sobre como efetuar a gestão de identidade internamente", pontua o analista do Gartner Gregg Kreizman. "Agora, a questão é sobre como vamos colocar os braços em volta dos problemas de SaaS já que está tudo na nuvem". Por isso, surge uma questão nunca antes pensada: "que tal se tivermos as nossas identidades na nuvem?"

"Infelizmente, a forma padrão para obter informações de identidade em SaaS ainda é administrá-la diretamente", afirma Kreizman. "Um FTP ou um Dropbox podem estar envolvidos". Dropbox é um serviço que tem sofrido várias falhas de segurança, incluindo uma durante a semana passada que envolveu um problema de gerenciamento de senhas fazendo com que as informações dos usuários ficassem expostas.

Para Kreizman, as empresas hoje querem estender seus sistemas de gestão de identidade corporativa para a nuvem. Não há uma série de opções para ingressar no mercado de gerenciamento de identidades na nuvem, situação que cria um "mercado volátil" e até "uma espécie de Velho Oeste", assinala Kreizman.

Alguns fornecedores tradicionais de identidade e acesso de gestão, incluindo Fisher International, idEntropy, Novell e Lighthouse, estão vendendo pacotes e serviços para o possibilitar benefícios aos provedores de nuvem e clientes.

A VMware adquiriu, em agosto do ano passado, a TriCipher com a expectativa de facilitar aos clientes controles mais para SaaS. A RSA também tem trabalhado no desenvolvimento de tecnologias para possibilitar a autenticação em nuvem de forma segura.

Apesar de o acesso e o gerenciamento de identidades sejam serviços relativamente novos, o Gartner espera que eles cresçam em poucos anos. Espera-se que as vendas de soluções de gerenciamento de identidade e acesso cresçam 20% ao final de 2012.

Nenhum comentário: