Conheça os Benefícios e Desafios da Virtualização

PMG Academy

PMG Academy

em 8 de novembro de 2019

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

Conheça os Benefícios e Desafios da Virtualização

Impactos da virtualização

Por definição, a virtualização está apresentando algo de forma virtual (em vez de física). Em tecnologia de informação (TI) corporativa, a virtualização altera a arquitetura técnica, pois permite que recursos diferentes sejam executados em um ambiente único (ou de várias camadas).

Em geral, ela transforma um hardware no host para vários outros hardwares e, consequentemente, ao longo do tempo, tem o potencial de reduzir despesas de capital, custos de administração e outros custos financeiros da empresa.

A virtualização, como termo e conceito, tem ampla utilidade e pode ser aplicada a diversas áreas:  servidores virtualizados, armazenamento virtualizado, processadores virtualizados, memória virtual, áreas de trabalho virtuais, redes virtualizadas etc.

Devido à sua extensa aplicação e à redução de custos, a virtualização está sendo avaliada pelos CIOs (Diretores de informática) em todo o mundo, à medida que planejam uma estratégia sobre como proporcionar agilidade e potência em computação para atender às necessidades de suas empresas.

Além disso, como as organizações atualmente requerem uma maneira rápida e confiável de fornecer recursos técnicos que possibilitem tempo mais rápido de colocação no mercado, a virtualização está na pauta da diretoria e já está aprimorando a eficácia de muitas empresas em todo o mundo.

Originalmente, a virtualização foi usada na maioria das vezes para facilitar a consolidação de servidor, porém agora muitas outras abordagens se apresentam.

A virtualização tem início durante a fase de projeto do ambiente técnico, quando a equipe de projeto considera como oferecer suporte aos processos de negócios e identifica ativos necessários para converter o plano em realidade.

É durante essa fase que as empresas geralmente percebem que o ciclo de vida de fornecimento do hardware correto e de outros equipamentos pode durar mais do que o esperado e que existe uma maneira mais rápida de implantá-los: desenvolvendo alguma abstração do universo físico e hospedando recursos virtuais distintos dentro dos limites de um recurso físico exclusivo.

“Virtual” é o oposto de “físico”, não de “real”. A virtualização é muito real; ela está aqui para ficar e algumas tecnologias novas, como computação em nuvem e em grade, dependem dela para cumprir com seu potencial.

Benefícios comerciais da virtualização

Há vários benefícios na implementação da virtualização na TI da empresa. Entre eles:

•             Redução de custo – consolidando várias instâncias de servidores (virtualizados) em um servidor físico, as empresas reduzem seus gastos com hardware. Além de reduzir gastos de capital, os ambientes virtualizados permitem que as empresas economizem em manutenção e energia, geralmente resultando na redução do custo total de propriedade (TCO).

•             Automação – a tecnologia permite que alguns ambientes virtualizados sejam fornecidos conforme a necessidade e dinamicamente, facilitando, assim, a automação de processos de negócios e eliminando a necessidade de continuamente prover recursos e gerenciar partes do ambiente técnico que oferecem suporte a necessidades comerciais esporádicas. Algumas tecnologias de virtualização facilitam a alocação automática de um processo para seu desempenho ideal em um conjunto de ambientes virtualizados.

•             Rapidez de resposta – como o ambiente virtual tem a capacidade de provisionar a si mesmo para obter o melhor dos recursos disponíveis, os tempos de resposta são mais rápidos e os tempos de inatividade podem ser reduzidos a quase zero, melhorando a agilidade e o desempenho.

•             Dissociação – processos que antes precisavam estar em uma mesma máquina física agora podem ser facilmente separados, embora ainda preservando a solidez e a segurança necessárias. Os diferentes universos virtualizados (rede, sistema operacional [SO], banco de dados, aplicativo etc) podem ser dissociados (até distribuídos em localizações geográficas distintas) sem ameaçar a integridade do processo.

•             Flexibilidade – a criação ou a preparação relativamente fácil do ambiente adequado para o aplicativo correto permite que as empresas ofereçam flexibilidade à infraestrutura, não apenas nas fases de teste ou pré-produção, mas também na área de produção. Quando surge um novo procedimento ou requisito técnico/comercial, a capacidade da virtualização de permitir uma criação rápida do ambiente possibilita às empresas testar o ambiente sem ter que esperar que o processo de fornecimento regular seja executado e fornecido.

•             Agilidade – a agilidade facilita a adaptação rápida às necessidades do negócio, por exemplo, quando ocorre um pico de pedidos e se faz necessário potência em computação. Uma empresa pode até mesmo optar por comprometer em excesso os recursos de uma máquina física, uma vez que a virtualização facilita a movimentação rápida dos diversos recursos “que habitam” em uma máquina física para outras máquinas virtuais. Dessa forma, a virtualização oferece suporte de alinhamento às necessidades do negócio.

•             Balanceamento de carga de trabalho – a implantação de vários ambientes virtuais garante as práticas recomendadas de alta disponibilidade, redundância e failover, pois cargas de trabalho podem seguir para onde são mais eficientes. Assim, a virtualização se concentra não apenas na eficácia (fazendo as coisas corretamente), mas também na eficiência (fazendo as coisas de maneira mais rápida, mais barata e mais confiável).

•             Simplificação – a TI virtual é ainda TI, portanto, algumas das dificuldades típicas de TI estão presentes mesmo em um ambiente virtual. No entanto, reduzir o número de servidores físicos reduz significativamente a probabilidade de falha e os custos de gerenciamento e resultados em simplificação, uma das promessas da virtualização.

•             Utilização de espaço – a consolidação de servidor economiza espaço na central de dados e facilita a escalabilidade, pois há vários servidores em um servidor.

•             Sustentabilidade – ambientes virtualizados usam menos recursos ambientais. É comum o desperdício no consume de energia nas centrais de dados em máquinas que não são aproveitadas de maneira consistente. Como a virtualização permite que várias máquinas virtuais sejam executadas em uma máquina física, é necessário menos energia para ligar e resfriar dispositivos.

Resumindo: os benefícios da virtualização para o negócio podem ser expressos como mostrado na figura 1.

Figura 1 – Cinco motivos para virtualizar

Resultado

Como o resultado é alcançado

1. Redução da complexidade de TI.

Aplicativos e seus sistemas operacionais são encapsulados em máquinas virtuais que são definidas no software, tornando-os fáceis de provisionar e gerenciar.

2. Possibilidade de padronização.

Como aplicativos são dissociados do hardware, a central de dados pode convergir em um número menor de dispositivos de hardware.

3. Melhora na agilidade.

Aplicativos e máquinas virtuais podem ser copiados e movidos em tempo real, e na nuvem, em resposta às mudanças nas condições comerciais.

4. Melhora na eficiência de custos.

Máquinas virtuais podem ser facilmente mobilizadas para consumir capacidade ociosa sempre que houver, gerando assim mais trabalho de menos hardware.

5. Facilidade de automação.

A infraestrutura virtual é facilmente fornecida e orquestrada por processos orientados ao software, especialmente quando o hardware subjacente é padronizado.

Riscos e questões de segurança com a virtualização

Como acontece com qualquer tecnologia, existem riscos associados à virtualização. Esses riscos podem ser classificados em três grupos:

Grupo 1 – Ataques à infraestrutura de virtualização

Há dois tipos principais de ataques à infraestrutura de virtualização: hyperjacking e salto de máquina virtual (VM) (ou guest-hopping). Hyperjacking é um método de injetar um hipervisor invasor (também chamado de monitor de máquina virtual [VMM]) sob a infraestrutura legítima (VMM ou SO), com controle sobre todas as interações entre o sistema de destino e o hardware.

Alguns exemplos de ameaças no estilo hyperjacking incluem Blue Pill, SubVirt e Vitriol. Essas provas de conceito e sua documentação associada ilustram várias maneiras de atacar um sistema para injetar hipervisores invasores em sistemas operacionais ou sistemas de virtualização existentes.

Medidas de segurança regulares são ineficazes contra essas ameaças, pois o SO, executado acima do hipervisor invasor, não sabe que a máquina foi comprometida.

Até hoje, o hyperjacking ainda é apenas um cenário de ataque teórico, mas tem atraído atenção considerável da imprensa devido ao dano potencial que pode causar.

O salto de VM ou guest-hopping é uma possibilidade mais realista4 e representa uma séria ameaça. Normalmente, esse método de ataque explora as vulnerabilidades nos hipervisores que permitem que malwares ou ataques remotos comprometam proteções de separação de VM e obtenham acesso a outras VMs, hosts ou até ao próprio hipervisor.

É comum esses ataques serem consumados depois que o agressor obtém acesso a uma VM de baixo valor, portanto, menos segura, no host, que é então usada como ponto de partida para novos ataques no sistema.

Alguns exemplos usaram duas ou mais VMs comprometidas em conivência para permitir um ataque bem sucedido contra VMs seguras ou ao próprio hipervisor.

Grupo 2 – Ataques a recursos de virtualização

Eembora haja vários recursos de virtualização que podem ser alvos de exploração, os alvos mais comuns incluem funções de migração de VM e rede virtual. Se a migração de VM for feita de forma insegura, pode expor todos os aspectos de uma determinada VM tanto para detecção passiva quanto para ataques de manipulação ativa.

“Empirical Exploitation of Live Virtual Machine Migration” (Exploração empírica de migração de máquina virtual ativa), de Oberheide, Cooke e Jahanian,5 mostra exemplos de detecção de senhas e chaves da memória, bem como métodos de manipulação de configuração do sistema enquanto VMs são migradas pela rede.

Um exemplo também é descrito sobre como injetar malware dinamicamente na memória de uma VM. “Virtualization: Enough Holes to Work Vegas” (Buracos suficientes para trabalhar o Vegas), uma apresentação de D.J. Capelis, ilustra problemas de segurança com os recursos de rede e suporte normalmente usados por infraestruturas de virtualização.

Outros exemplos de rede incluem as diferentes formas pelas quais podem ser explorados a atribuição de endereço de controle de acesso de mídia (MAC), o roteamento local e o tráfego de camada 2.

É importante observar que o plano de rede virtualizada local no sistema funciona diferentemente da rede externa do “mundo real”, e muitos dos controles e mecanismos de segurança disponíveis na rede externa não são prontamente aplicáveis ao tráfego local no sistema entre as VMs.

Grupo 3 – Desafios de conformidade e gerenciamento

Auditoria e aplicação de conformidade, bem como gerenciamento do sistema diário, são problemas desafiadores ao lidar com sistemas virtualizados. A dispersão de VM apresenta um desafio à empresa.

Como VMs são muito mais fáceis de fornecer e implantar do que sistemas físicos, o número e os tipos de VMs podem facilmente ficar fora de controle.

Além disso, o fornecimento de VM geralmente é administrado por grupos diferentes em uma organização, dificultando para a função de TI controlar que aplicativos, sistemas operacionais e dados são implantados neles.

A difusão de VMs e mesmo VMs inativas tornará um desafio obter resultados precisos de avaliações de vulnerabilidade, patches/ atualizações e auditoria.

Estratégias de abordagem dos riscos da virtualização

 Atualmente, o melhor método para atenuar a ameaça de hyperjacking é usar a inicialização confiável e segura de raiz de hardware do hipervisor.

Tecnologias no processador e em chipsets, juntamente com a Tecnologia de execução confiável (TXT) e o Módulo de plataforma confiável (TPM), oferecem os ingredientes necessários para executar uma inicialização segura ou medida do sistema do hardware pelo hipervisor (às vezes chamado de MLE, ou ambiente de inicialização medida).

O Grupo de computação confiável (TCG) definiu um conjunto de padrões para executar uma inicialização medida baseada em hardware e para criar a cadeia de confiança de hardware para o MLE.

Fabricantes e fabricantes de equipamentos originais (OEMs), bem como vários fornecedores de software de virtualização, adotaram implementações de inicialização medida e raízes de confiança compatíveis com TCG. Habilitar e usar esses recursos ajudará a gerenciar os riscos associados ao hyperjacking.

Tratar os riscos associados ao salto de VM e a ataques de migração de máquina virtual começa por se lembrar de que o hipervisor e os convidados por ele suportados são softwares e, como tal, precisam ser corrigidos e reforçados.

O uso de isolamento e segmentação também reduzirá em muito os riscos. É eficaz usar separação física, de rede e baseada em virtualização para segmentar VMs e sistemas e para combinar a separação com a política de aproveitamento ou níveis de segurança para agrupar VMs e aplicativos semelhantes juntamente, de modo que um aplicativo de baixo valor (e, portanto, menos examinado) não poderá ter um impacto negativo em VMs e aplicativos de alto valor.

A segmentação de VM pode ser implementada pela infraestrutura de gerenciamento de virtualização ou pode ser obtida manualmente, dependendo das ferramentas e dos produtos usados. A segmentação também é uma ferramenta importante ao lidar com os riscos de rede associados à virtualização. Como observado anteriormente, separar VMs de posturas de segurança divergentes reduz o risco para as VMs de maior valor.

Além disso, o uso de criptografia de transporte é recomendado para uma migração de VM segura. Túneis de rede privada (VPN) podem ser implantados de sistema para sistema ou, em alguns casos, é possível aproveitar recursos disponíveis de fornecedores de virtualização ou soluções de software de segurança que oferecem migração de VM criptografada.

Resolver os desafios de gerenciamento e conformidade requer a implementação de produtos e serviços de gerenciamento conscientes da virtualização, bem como produtos de segurança conscientes da virtualização. Isso permite que a infraestrutura de gerenciamento existente reconheça e monitore VMs assim como faz com sistemas e aplicativos na central de dados.

Há produtos especificamente desenvolvidos para gerenciamento de segurança de virtualização, e complementos ou atualizações de produtos de infraestrutura existentes que oferecem conscientização de virtualização e os recursos de conformidade e gerenciamento necessários.

Problemas de governança e de mudança com a virtualização

Em um nível simplificado, a governança de TI corporativa pode ser definida como o processo que garante que a TI se alinhe com a estratégia de negócios e promova com eficácia os objetivos organizacionais.

Assim como a virtualização de servidor impacta o cenário geral de tecnologia, seu uso crescente também impacta a governança de TI corporativa de várias áreas críticas. Esse impacto pode ser melhor compreendido considerando-se as várias características de virtualização e seus impactos potenciais positivos ou negativos.

Um objetivo comum de esforços para administrar a TI de uma empresa é garantir que a TI possa oferecer, rápida e flexivelmente, soluções tecnológicas que deem suporte à realização de metas comerciais gerais da empresa.

A virtualização de servidor auxilia nessa área, pois a virtualização pode levar a um ritmo de construção e implantação mais rápido por meio do uso de ferramentas e tecnologias que eliminam a necessidade de montagem física de computador quando novos sistemas são provisionados.

O controle de custos também é um foco central da governança de TI, e a virtualização também pode ser fornecida nessa área, reduzindo os custos de hardware, energia e instalação da empresa.

Outra meta comum da governança de TI é garantir a continuidade de negócios através de soluções tecnológicas robustas que podem tratar e se adaptar a cenários de maior carga e desastres.

A virtualização de servidor permite recursos significativos nessas áreas, oferecendo à organização de TI opções anteriormente indisponíveis para dimensionar a carga flexivelmente e mudar e alinhar dinamicamente os recursos para responder à continuidade dos negócios e a eventos de desastre.

No lado negativo, mais virtualização apresenta alguns riscos às metas de governança de TI. Um dos principais riscos está relacionado aos conjuntos de habilidades e experiência organizacional disponíveis para dar suporte ao uso da virtualização de servidor em ambientes de missão crítica.

Embora a virtualização tenha se tornado bastante comum, ela ainda é uma tecnologia relativamente nova e as organizações podem ter dificuldade em garantir os trabalhadores experientes necessários para assegurar que a TI seja capaz de cumprir suas metas.

Um risco relacionado está associado às funções e responsabilidades envolvidas no gerenciamento de uma infraestrutura virtualizada.

Tradicionalmente, a tecnologia tem sido gerenciada por TI em várias áreas funcionais e técnicas, como armazenamento, rede, segurança e computadores/servidores. Com a virtualização, essas linhas ficam significativamente indistintas, assim, empresas que adotam a virtualização precisam amadurecer seus modelos de suporte para obter todos os benefícios que a virtualização pode oferecer.

Mudança organizacional

Como com a governança de TI em geral, a virtualização de servidor gera uma série de questões importantes relacionadas à mudança organizacional de TI.

A primeira mudança, e provavelmente a mais significativa, diz respeito ao gerenciamento de tecnologia e ao modelo de suporte associado da camada de virtualização.

A virtualização apresenta uma nova camada de tecnologia e, com ela, um novo requisito de administração e gerenciamento.

Para integrar a virtualização com êxito e garantir que a mudança organizacional associada seja implementada, as empresas devem considerar onde ficará a responsabilidade pela arquitetura e gerenciamento de virtualização.

Outra área chave da mudança organizacional de TI é o ciclo de vida do gerenciamento de sistema, desde a aquisição e a implantação até a baixa e a desativação do serviço. Historicamente, o processo de implantação tem dependido dos processos de pedido e aquisição de hardware, que foram predecessores da instalação física de servidor e da liberação para a produção.

De certa forma, isso ajudou a facilitar um ciclo de vida controlado, orientado por listas de verificação e processos de compra, instalação física, compilação e configuração, além de liberação para produção.

Com a virtualização, um servidor (ou grupos de servidores) pode ser implantado na produção com um único clique do mouse, contornando provavelmente os controles associados ao gerenciamento de ciclo de vida do sistema tradicional.

No lado positivo, o ciclo de vida do sistema virtual é leve, flexível e inteiramente contido e visível em uma única infraestrutura de gerenciamento, o que oferece à organização de TI uma visão do início ao fim do ciclo de vida.

Organizações de TI que modificam processos operacionais para aproveitar ao máximo essa agilidade e visibilidade estão melhor equipadas para maximizar seu investimento em virtualização.

Ao fazer a transição para um ambiente virtualizado, é importante que profissionais de TI trabalhem com os profissionais de dentro da TI, tais como segurança, desenvolvedores de sistema e suporte, e com profissionais de fora da TI, como escritório de gerenciamento do projeto e auditoria.

É essencial que todas as partes envolvidas compreendam as mudanças no processo de negócios ocorridas como um resultado da migração para um ambiente virtualizado.

Considerações sobre qualidade da virtualização

O processo de avaliação compara métricas do estado atual aos padrões da empresa. As recomendações de padrões de controle e segurança de virtualização foram criadas por organizações profissionais de segurança e controle independentes (como a ISACA e o Center for Internet Security), fornecedores (fornecedores do hipervisor e fornecedores do setor de venda de produtos e serviços relacionados) e agências do governo (por exemplo, US Defense Information Systems Agency Security Technical Implementation Guide [DISA STIG] para virtualização).

Esses documentos produziram uma variedade de referenciais que podem ser usados para ajudar a garantir que o padrão da empresa abordou riscos específicos corretamente e que nenhum risco foi negligenciado.

Avaliando riscos  de  infraestrutura

Uma combinação de técnicas de avaliação de alta e baixa tecnologia pode ajudar bastante o auditor no universo virtualizado.

Essas implantações de virtualização líderes devem ter uma estratégia documentada para garantir que o software e o hardware do hipervisor sejam compatíveis com os requisitos do(s) hipervisor(es) escolhido(s).

O auditor deve revisar a documentação de suporte desses componentes para confirmar a capacidade do componente de cumprir com a agilidade, a continuidade e outros itens da implantação coerentes com a estratégia de negócios da empresa.

A observação dos processos de início do host pode garantir verificações técnicas adequadas e chamada de TPM antes da inicialização do SO.

Além disso, pode determinar se outras etapas e configurações de pré-hipervisor (BIOS, carregador de inicialização etc.) são chamadas de acordo com os padrões da empresa.

A segurança física pode não ser a mais recente entre as técnicas de atenuação de risco, porém a avaliação de virtualização do auditor deve garantir que todo hardware relacionado esteja restrito adequadamente em relação ao acesso físico, reduzindo, assim, a chance de alteração de processos de inicialização da CPU.

Além disso, os auditores devem revisar qualquer metodologia remota que dê acesso à placa mãe do host para inicialização remota, a fim de garantir que a configuração permita apenas o uso autorizado.

A máquina virtual convidada deve se comunicar com o host para receber e usar recursos. Entretanto, cabe ao host a determinação final em relação aos canais de comunicação usados e aos resultados de solicitações.

Os procedimentos de avaliação devem garantir que o hipervisor e as ferramentas de gerenciamento relacionadas sejam mantidos atualizados com patches do fornecedor para que a comunicação e as ações relacionadas ocorram conforme planejado.

O auditor também precisa verificar a configuração do host e as ferramentas de gerenciamento relacionadas, de acordo com o padrão da empresa (que foi comparado com os padrões do setor mencionados anteriormente).

Há várias maneiras de reunir métricas de configuração de hipervisores e de outras ferramentas de gerenciamento do fornecedor.

A reunião de métricas de baixo custo pode incluir os comandos no console do console do host, ferramentas gratuitas desenvolvidas pelo fornecedor que coletam métricas (embora possam estar limitadas ao número de hosts ou ao número de recursos avaliados) e interfaces para programação de aplicativos (APIs) gratuitas e ferramentas de script oferecidas por fornecedores do hipervisor para extrair informações de seus hosts de forma automatizada e programada.

Alternativas de custos à margem para reunião de métricas de host também incluem ferramentas de gerenciamento de fornecedor e ferramentas de gerenciamento ou segurança de terceiros, se já tiverem sido adquiridas pela empresa. Finalmente, há ferramentas comerciais de diversas faixas de preço para descobrir e determinar a área ocupada pelo ambiente virtual.

Avaliando riscos de recursos

Convidados virtuais transferem suas informações pela rede da empresa para produção, otimização, continuidade ou por outros motivos.

Todos os caminhos de rede usados devem ser usados apenas por convidados autorizados; normalmente, o auditor pode revisar a segmentação de redes pelo console de gerenciamento.

O auditor deve verificar se:  (1) os hosts em grupos semelhantes e convidados atendidos pelo mesmo host estão agrupados de forma semelhante e na rede correta, (2) redes de gerenciamento de host estão separadas de redes de produção e (3) as redes virtuais usadas para transferir o fornecimento de recursos do convidado para um host distinto estão ainda em outro segmento da rede.

Além disso, o auditor pode revisar pelo console de gerenciamento a segregação de convidados em diferentes hosts e redes.

O auditor pode revisar a configuração de rede pelo console de gerenciamento ou reunindo os dados de configuração de host com as ferramentas mencionadas anteriormente.

O auditor deve revisar switches virtuais e outros componentes de rede virtuais, observando especificamente se a configuração e o endereço MAC, a atribuição, o roteamento, protocolos e criptografia da rede de área local virtual (VLAN) e outras informações de rede se alinham com o padrão da empresa.

Avaliando riscos de gerenciamento

Uma suposição implícita nas etapas de avaliação descritas anteriormente é de que a empresa mantém um inventário preciso de componentes autorizados conhecidos que compreendem seu ambiente.

Para avaliar a difusão de convidados, primeiramente o auditor deverá determinar a existência e a exatidão do inventário de ativos de TI da empresa, incluindo itens virtuais.

Depois que o inventário conhecido for validado, o auditor poderá revisar o processo de gerenciamento para detectar convidados não-autorizados.

O auditor pode usar ferramentas de gerenciamento ou de avaliação comercial para controlar o ambiente e comparar o que é encontrado com o inventário autorizado. Como a maioria dos fornecedores de hipervisor fornecem APIs e ferramentas de script, o auditor pode ser capaz de desenvolver suas próprias ferramentas de descoberta por um custo mínimo ou sem custo nenhum (além do tempo).

Além disso, vários produtos de segurança comercial que abrangem a virtualização têm um módulo de descoberta, uma vez que não podem proteger o que não conhecem.

Se a empresa do auditor já tiver comprado esses tipos de ferramentas, o auditor deverá consultar se os resultados da descoberta podem ser revisados para comparação com o inventário de ativos documentados autorizado.

Surgiram ferramentas para detectar convidados inativos, ativá-los e corrigir deficiências encontradas antes que o convidado inativo seja reativado.

O auditor deve consultar sobre o uso dessas ferramentas, a frequência com que elas são executadas e seu êxito em localizar e corrigir convidados inativos.

Avaliando riscos de governança

O auditor deve revisar políticas, procedimentos e práticas de gerenciamento relacionados ao seguinte:

•             Revisão da diretoria ou do conselho administrativo e aprovação da estratégia de virtualização

•             Comparações de economia de custos pós-implementação efetivamente alcançadas com os valores esperados

•             Coleta de evidências de que componentes chave do processo de gerenciamento de mudança permanecem em vigor: autorização, teste (incluindo certificado de segurança no padrão da empresa), planos de recuo e notificação às partes afetadas, e de que apenas a linha do tempo (não a funcionalidade) de cada etapa foi reduzida pela virtualização.

•             Treinamento da equipe com novas responsabilidades de virtualização e treinamento contínuo da equipe de virtualização existente quando as alterações de arquitetura forem feitas ou quando ocorrer atualizações importantes de fornecedor

•             Transferência de conhecimento de terceiros que auxiliam na implantação

•             Revisão de descrições de função para a equipe cujo limite técnico anterior era menos claro devido à virtualização

•             Revisão de responsabilidade pela comunicação entre equipes anteriormente mais independentes antes da virtualização (host, rede, armazenamento)

•             Procedimentos de inventário que produzem resultados documentados precisos, que facilitam a conformidade de licenciamento, os pagamentos de tarifas de manutenção corretas, o seguro e outras funções de suporte administrativo

Conclusão

A virtualização afetou a maneira como a empresa executa suas operações de TI. Embora a virtualização só recentemente tenha deixado o status de “tecnologia emergente” e se tornado uma prática mais comum, as empresas já observaram os benefícios de mudar para ambientes virtualizados.

Esses benefícios incluem menor TCO, maior eficiência, impactos positivos em planos de TI sustentáveis e maior agilidade.

Entretanto, as empresas também devem considerar os riscos potenciais de segurança e as implicações de alterações que acompanham a mudança para um ambiente virtualizado. Atenuar muitas dessas ameaças e ter processos de negócios bem documentados e recursos de auditoria robustos ajudará a garantir que as empresas obtenham o maior valor possível de seus ambientes de TI.

Recursos adicionais relacionados à virtualização estão disponíveis em www.isaca.org/virtualization.

Fonte: ISACA

Impactos da virtualização

Por definição, a virtualização está apresentando algo de forma virtual (em vez de física). Em tecnologia de informação (TI) corporativa, a virtualização altera a arquitetura técnica, pois permite que recursos diferentes sejam executados em um ambiente único (ou de várias camadas).

Em geral, ela transforma um hardware no host para vários outros hardwares e, consequentemente, ao longo do tempo, tem o potencial de reduzir despesas de capital, custos de administração e outros custos financeiros da empresa.

A virtualização, como termo e conceito, tem ampla utilidade e pode ser aplicada a diversas áreas:  servidores virtualizados, armazenamento virtualizado, processadores virtualizados, memória virtual, áreas de trabalho virtuais, redes virtualizadas etc.

Devido à sua extensa aplicação e à redução de custos, a virtualização está sendo avaliada pelos CIOs (Diretores de informática) em todo o mundo, à medida que planejam uma estratégia sobre como proporcionar agilidade e potência em computação para atender às necessidades de suas empresas.

Além disso, como as organizações atualmente requerem uma maneira rápida e confiável de fornecer recursos técnicos que possibilitem tempo mais rápido de colocação no mercado, a virtualização está na pauta da diretoria e já está aprimorando a eficácia de muitas empresas em todo o mundo.

Originalmente, a virtualização foi usada na maioria das vezes para facilitar a consolidação de servidor, porém agora muitas outras abordagens se apresentam.

A virtualização tem início durante a fase de projeto do ambiente técnico, quando a equipe de projeto considera como oferecer suporte aos processos de negócios e identifica ativos necessários para converter o plano em realidade.

É durante essa fase que as empresas geralmente percebem que o ciclo de vida de fornecimento do hardware correto e de outros equipamentos pode durar mais do que o esperado e que existe uma maneira mais rápida de implantá-los: desenvolvendo alguma abstração do universo físico e hospedando recursos virtuais distintos dentro dos limites de um recurso físico exclusivo.

“Virtual” é o oposto de “físico”, não de “real”. A virtualização é muito real; ela está aqui para ficar e algumas tecnologias novas, como computação em nuvem e em grade, dependem dela para cumprir com seu potencial.

Benefícios comerciais da virtualização

Há vários benefícios na implementação da virtualização na TI da empresa. Entre eles:

             Redução de custo – consolidando várias instâncias de servidores (virtualizados) em um servidor físico, as empresas reduzem seus gastos com hardware. Além de reduzir gastos de capital, os ambientes virtualizados permitem que as empresas economizem em manutenção e energia, geralmente resultando na redução do custo total de propriedade (TCO).

             Automação – a tecnologia permite que alguns ambientes virtualizados sejam fornecidos conforme a necessidade e dinamicamente, facilitando, assim, a automação de processos de negócios e eliminando a necessidade de continuamente prover recursos e gerenciar partes do ambiente técnico que oferecem suporte a necessidades comerciais esporádicas. Algumas tecnologias de virtualização facilitam a alocação automática de um processo para seu desempenho ideal em um conjunto de ambientes virtualizados.

             Rapidez de resposta – como o ambiente virtual tem a capacidade de provisionar a si mesmo para obter o melhor dos recursos disponíveis, os tempos de resposta são mais rápidos e os tempos de inatividade podem ser reduzidos a quase zero, melhorando a agilidade e o desempenho.

             Dissociação – processos que antes precisavam estar em uma mesma máquina física agora podem ser facilmente separados, embora ainda preservando a solidez e a segurança necessárias. Os diferentes universos virtualizados (rede, sistema operacional [SO], banco de dados, aplicativo etc) podem ser dissociados (até distribuídos em localizações geográficas distintas) sem ameaçar a integridade do processo.

             Flexibilidade – a criação ou a preparação relativamente fácil do ambiente adequado para o aplicativo correto permite que as empresas ofereçam flexibilidade à infraestrutura, não apenas nas fases de teste ou pré-produção, mas também na área de produção. Quando surge um novo procedimento ou requisito técnico/comercial, a capacidade da virtualização de permitir uma criação rápida do ambiente possibilita às empresas testar o ambiente sem ter que esperar que o processo de fornecimento regular seja executado e fornecido.

             Agilidade – a agilidade facilita a adaptação rápida às necessidades do negócio, por exemplo, quando ocorre um pico de pedidos e se faz necessário potência em computação. Uma empresa pode até mesmo optar por comprometer em excesso os recursos de uma máquina física, uma vez que a virtualização facilita a movimentação rápida dos diversos recursos “que habitam” em uma máquina física para outras máquinas virtuais. Dessa forma, a virtualização oferece suporte de alinhamento às necessidades do negócio.

             Balanceamento de carga de trabalho – a implantação de vários ambientes virtuais garante as práticas recomendadas de alta disponibilidade, redundância e failover, pois cargas de trabalho podem seguir para onde são mais eficientes. Assim, a virtualização se concentra não apenas na eficácia (fazendo as coisas corretamente), mas também na eficiência (fazendo as coisas de maneira mais rápida, mais barata e mais confiável).

             Simplificação – a TI virtual é ainda TI, portanto, algumas das dificuldades típicas de TI estão presentes mesmo em um ambiente virtual. No entanto, reduzir o número de servidores físicos reduz significativamente a probabilidade de falha e os custos de gerenciamento e resultados em simplificação, uma das promessas da virtualização.

             Utilização de espaço – a consolidação de servidor economiza espaço na central de dados e facilita a escalabilidade, pois há vários servidores em um servidor.

             Sustentabilidade – ambientes virtualizados usam menos recursos ambientais. É comum o desperdício no consume de energia nas centrais de dados em máquinas que não são aproveitadas de maneira consistente. Como a virtualização permite que várias máquinas virtuais sejam executadas em uma máquina física, é necessário menos energia para ligar e resfriar dispositivos.

Resumindo: os benefícios da virtualização para o negócio podem ser expressos como mostrado na figura 1.

Figura 1 – Cinco motivos para virtualizar

Resultado

Como o resultado é alcançado

1. Redução da complexidade de TI.

Aplicativos e seus sistemas operacionais são encapsulados em máquinas virtuais que são definidas no software, tornando-os fáceis de provisionar e gerenciar.

2. Possibilidade de padronização.

Como aplicativos são dissociados do hardware, a central de dados pode convergir em um número menor de dispositivos de hardware.

3. Melhora na agilidade.

Aplicativos e máquinas virtuais podem ser copiados e movidos em tempo real, e na nuvem, em resposta às mudanças nas condições comerciais.

4. Melhora na eficiência de custos.

Máquinas virtuais podem ser facilmente mobilizadas para consumir capacidade ociosa sempre que houver, gerando assim mais trabalho de menos hardware.

5. Facilidade de automação.

A infraestrutura virtual é facilmente fornecida e orquestrada por processos orientados ao software, especialmente quando o hardware subjacente é padronizado.

Riscos e questões de segurança com a virtualização

Como acontece com qualquer tecnologia, existem riscos associados à virtualização. Esses riscos podem ser classificados em três grupos:

Grupo 1 – Ataques à infraestrutura de virtualização

Há dois tipos principais de ataques à infraestrutura de virtualização: hyperjacking e salto de máquina virtual (VM) (ou guest-hopping). Hyperjacking é um método de injetar um hipervisor invasor (também chamado de monitor de máquina virtual [VMM]) sob a infraestrutura legítima (VMM ou SO), com controle sobre todas as interações entre o sistema de destino e o hardware.

Alguns exemplos de ameaças no estilo hyperjacking incluem Blue Pill, SubVirt e Vitriol. Essas provas de conceito e sua documentação associada ilustram várias maneiras de atacar um sistema para injetar hipervisores invasores em sistemas operacionais ou sistemas de virtualização existentes.

Medidas de segurança regulares são ineficazes contra essas ameaças, pois o SO, executado acima do hipervisor invasor, não sabe que a máquina foi comprometida.

Até hoje, o hyperjacking ainda é apenas um cenário de ataque teórico, mas tem atraído atenção considerável da imprensa devido ao dano potencial que pode causar.

O salto de VM ou guest-hopping é uma possibilidade mais realista4 e representa uma séria ameaça. Normalmente, esse método de ataque explora as vulnerabilidades nos hipervisores que permitem que malwares ou ataques remotos comprometam proteções de separação de VM e obtenham acesso a outras VMs, hosts ou até ao próprio hipervisor.

É comum esses ataques serem consumados depois que o agressor obtém acesso a uma VM de baixo valor, portanto, menos segura, no host, que é então usada como ponto de partida para novos ataques no sistema.

Alguns exemplos usaram duas ou mais VMs comprometidas em conivência para permitir um ataque bem sucedido contra VMs seguras ou ao próprio hipervisor.

Grupo 2 – Ataques a recursos de virtualização

Eembora haja vários recursos de virtualização que podem ser alvos de exploração, os alvos mais comuns incluem funções de migração de VM e rede virtual. Se a migração de VM for feita de forma insegura, pode expor todos os aspectos de uma determinada VM tanto para detecção passiva quanto para ataques de manipulação ativa.

“Empirical Exploitation of Live Virtual Machine Migration” (Exploração empírica de migração de máquina virtual ativa), de Oberheide, Cooke e Jahanian,5 mostra exemplos de detecção de senhas e chaves da memória, bem como métodos de manipulação de configuração do sistema enquanto VMs são migradas pela rede.

Um exemplo também é descrito sobre como injetar malware dinamicamente na memória de uma VM. “Virtualization: Enough Holes to Work Vegas” (Buracos suficientes para trabalhar o Vegas), uma apresentação de D.J. Capelis, ilustra problemas de segurança com os recursos de rede e suporte normalmente usados por infraestruturas de virtualização.

Outros exemplos de rede incluem as diferentes formas pelas quais podem ser explorados a atribuição de endereço de controle de acesso de mídia (MAC), o roteamento local e o tráfego de camada 2.

É importante observar que o plano de rede virtualizada local no sistema funciona diferentemente da rede externa do “mundo real”, e muitos dos controles e mecanismos de segurança disponíveis na rede externa não são prontamente aplicáveis ao tráfego local no sistema entre as VMs.

Grupo 3 – Desafios de conformidade e gerenciamento

Auditoria e aplicação de conformidade, bem como gerenciamento do sistema diário, são problemas desafiadores ao lidar com sistemas virtualizados. A dispersão de VM apresenta um desafio à empresa.

Como VMs são muito mais fáceis de fornecer e implantar do que sistemas físicos, o número e os tipos de VMs podem facilmente ficar fora de controle.

Além disso, o fornecimento de VM geralmente é administrado por grupos diferentes em uma organização, dificultando para a função de TI controlar que aplicativos, sistemas operacionais e dados são implantados neles.

A difusão de VMs e mesmo VMs inativas tornará um desafio obter resultados precisos de avaliações de vulnerabilidade, patches/ atualizações e auditoria.

Estratégias de abordagem dos riscos da virtualização

Atualmente, o melhor método para atenuar a ameaça de hyperjacking é usar a inicialização confiável e segura de raiz de hardware do hipervisor.

Tecnologias no processador e em chipsets, juntamente com a Tecnologia de execução confiável (TXT) e o Módulo de plataforma confiável (TPM), oferecem os ingredientes necessários para executar uma inicialização segura ou medida do sistema do hardware pelo hipervisor (às vezes chamado de MLE, ou ambiente de inicialização medida).

O Grupo de computação confiável (TCG) definiu um conjunto de padrões para executar uma inicialização medida baseada em hardware e para criar a cadeia de confiança de hardware para o MLE.

Fabricantes e fabricantes de equipamentos originais (OEMs), bem como vários fornecedores de software de virtualização, adotaram implementações de inicialização medida e raízes de confiança compatíveis com TCG. Habilitar e usar esses recursos ajudará a gerenciar os riscos associados ao hyperjacking.

Tratar os riscos associados ao salto de VM e a ataques de migração de máquina virtual começa por se lembrar de que o hipervisor e os convidados por ele suportados são softwares e, como tal, precisam ser corrigidos e reforçados.

O uso de isolamento e segmentação também reduzirá em muito os riscos. É eficaz usar separação física, de rede e baseada em virtualização para segmentar VMs e sistemas e para combinar a separação com a política de aproveitamento ou níveis de segurança para agrupar VMs e aplicativos semelhantes juntamente, de modo que um aplicativo de baixo valor (e, portanto, menos examinado) não poderá ter um impacto negativo em VMs e aplicativos de alto valor.

A segmentação de VM pode ser implementada pela infraestrutura de gerenciamento de virtualização ou pode ser obtida manualmente, dependendo das ferramentas e dos produtos usados. A segmentação também é uma ferramenta importante ao lidar com os riscos de rede associados à virtualização. Como observado anteriormente, separar VMs de posturas de segurança divergentes reduz o risco para as VMs de maior valor.

Além disso, o uso de criptografia de transporte é recomendado para uma migração de VM segura. Túneis de rede privada (VPN) podem ser implantados de sistema para sistema ou, em alguns casos, é possível aproveitar recursos disponíveis de fornecedores de virtualização ou soluções de software de segurança que oferecem migração de VM criptografada.

Resolver os desafios de gerenciamento e conformidade requer a implementação de produtos e serviços de gerenciamento conscientes da virtualização, bem como produtos de segurança conscientes da virtualização. Isso permite que a infraestrutura de gerenciamento existente reconheça e monitore VMs assim como faz com sistemas e aplicativos na central de dados.

Há produtos especificamente desenvolvidos para gerenciamento de segurança de virtualização, e complementos ou atualizações de produtos de infraestrutura existentes que oferecem conscientização de virtualização e os recursos de conformidade e gerenciamento necessários.

Problemas de governança e de mudança com a virtualização

Em um nível simplificado, a governança de TI corporativa pode ser definida como o processo que garante que a TI se alinhe com a estratégia de negócios e promova com eficácia os objetivos organizacionais.

Assim como a virtualização de servidor impacta o cenário geral de tecnologia, seu uso crescente também impacta a governança de TI corporativa de várias áreas críticas. Esse impacto pode ser melhor compreendido considerando-se as várias características de virtualização e seus impactos potenciais positivos ou negativos.

Um objetivo comum de esforços para administrar a TI de uma empresa é garantir que a TI possa oferecer, rápida e flexivelmente, soluções tecnológicas que deem suporte à realização de metas comerciais gerais da empresa.

A virtualização de servidor auxilia nessa área, pois a virtualização pode levar a um ritmo de construção e implantação mais rápido por meio do uso de ferramentas e tecnologias que eliminam a necessidade de montagem física de computador quando novos sistemas são provisionados.

O controle de custos também é um foco central da governança de TI, e a virtualização também pode ser fornecida nessa área, reduzindo os custos de hardware, energia e instalação da empresa.

Outra meta comum da governança de TI é garantir a continuidade de negócios através de soluções tecnológicas robustas que podem tratar e se adaptar a cenários de maior carga e desastres.

A virtualização de servidor permite recursos significativos nessas áreas, oferecendo à organização de TI opções anteriormente indisponíveis para dimensionar a carga flexivelmente e mudar e alinhar dinamicamente os recursos para responder à continuidade dos negócios e a eventos de desastre.

No lado negativo, mais virtualização apresenta alguns riscos às metas de governança de TI. Um dos principais riscos está relacionado aos conjuntos de habilidades e experiência organizacional disponíveis para dar suporte ao uso da virtualização de servidor em ambientes de missão crítica.

Embora a virtualização tenha se tornado bastante comum, ela ainda é uma tecnologia relativamente nova e as organizações podem ter dificuldade em garantir os trabalhadores experientes necessários para assegurar que a TI seja capaz de cumprir suas metas.

Um risco relacionado está associado às funções e responsabilidades envolvidas no gerenciamento de uma infraestrutura virtualizada.

Tradicionalmente, a tecnologia tem sido gerenciada por TI em várias áreas funcionais e técnicas, como armazenamento, rede, segurança e computadores/servidores. Com a virtualização, essas linhas ficam significativamente indistintas, assim, empresas que adotam a virtualização precisam amadurecer seus modelos de suporte para obter todos os benefícios que a virtualização pode oferecer.

Mudança organizacional

Como com a governança de TI em geral, a virtualização de servidor gera uma série de questões importantes relacionadas à mudança organizacional de TI.

A primeira mudança, e provavelmente a mais significativa, diz respeito ao gerenciamento de tecnologia e ao modelo de suporte associado da camada de virtualização.

A virtualização apresenta uma nova camada de tecnologia e, com ela, um novo requisito de administração e gerenciamento.

Para integrar a virtualização com êxito e garantir que a mudança organizacional associada seja implementada, as empresas devem considerar onde ficará a responsabilidade pela arquitetura e gerenciamento de virtualização.

Outra área chave da mudança organizacional de TI é o ciclo de vida do gerenciamento de sistema, desde a aquisição e a implantação até a baixa e a desativação do serviço. Historicamente, o processo de implantação tem dependido dos processos de pedido e aquisição de hardware, que foram predecessores da instalação física de servidor e da liberação para a produção.

De certa forma, isso ajudou a facilitar um ciclo de vida controlado, orientado por listas de verificação e processos de compra, instalação física, compilação e configuração, além de liberação para produção.

Com a virtualização, um servidor (ou grupos de servidores) pode ser implantado na produção com um único clique do mouse, contornando provavelmente os controles associados ao gerenciamento de ciclo de vida do sistema tradicional.

No lado positivo, o ciclo de vida do sistema virtual é leve, flexível e inteiramente contido e visível em uma única infraestrutura de gerenciamento, o que oferece à organização de TI uma visão do início ao fim do ciclo de vida.

Organizações de TI que modificam processos operacionais para aproveitar ao máximo essa agilidade e visibilidade estão melhor equipadas para maximizar seu investimento em virtualização.

Ao fazer a transição para um ambiente virtualizado, é importante que profissionais de TI trabalhem com os profissionais de dentro da TI, tais como segurança, desenvolvedores de sistema e suporte, e com profissionais de fora da TI, como escritório de gerenciamento do projeto e auditoria.

É essencial que todas as partes envolvidas compreendam as mudanças no processo de negócios ocorridas como um resultado da migração para um ambiente virtualizado.

Considerações sobre qualidade da virtualização

O processo de avaliação compara métricas do estado atual aos padrões da empresa. As recomendações de padrões de controle e segurança de virtualização foram criadas por organizações profissionais de segurança e controle independentes (como a ISACA e o Center for Internet Security), fornecedores (fornecedores do hipervisor e fornecedores do setor de venda de produtos e serviços relacionados) e agências do governo (por exemplo, US Defense Information Systems Agency Security Technical Implementation Guide [DISA STIG] para virtualização).

Esses documentos produziram uma variedade de referenciais que podem ser usados para ajudar a garantir que o padrão da empresa abordou riscos específicos corretamente e que nenhum risco foi negligenciado.

Avaliando riscos  de  infraestrutura

Uma combinação de técnicas de avaliação de alta e baixa tecnologia pode ajudar bastante o auditor no universo virtualizado.

Essas implantações de virtualização líderes devem ter uma estratégia documentada para garantir que o software e o hardware do hipervisor sejam compatíveis com os requisitos do(s) hipervisor(es) escolhido(s).

O auditor deve revisar a documentação de suporte desses componentes para confirmar a capacidade do componente de cumprir com a agilidade, a continuidade e outros itens da implantação coerentes com a estratégia de negócios da empresa.

A observação dos processos de início do host pode garantir verificações técnicas adequadas e chamada de TPM antes da inicialização do SO.

Além disso, pode determinar se outras etapas e configurações de pré-hipervisor (BIOS, carregador de inicialização etc.) são chamadas de acordo com os padrões da empresa.

A segurança física pode não ser a mais recente entre as técnicas de atenuação de risco, porém a avaliação de virtualização do auditor deve garantir que todo hardware relacionado esteja restrito adequadamente em relação ao acesso físico, reduzindo, assim, a chance de alteração de processos de inicialização da CPU.

Além disso, os auditores devem revisar qualquer metodologia remota que dê acesso à placa mãe do host para inicialização remota, a fim de garantir que a configuração permita apenas o uso autorizado.

A máquina virtual convidada deve se comunicar com o host para receber e usar recursos. Entretanto, cabe ao host a determinação final em relação aos canais de comunicação usados e aos resultados de solicitações.

Os procedimentos de avaliação devem garantir que o hipervisor e as ferramentas de gerenciamento relacionadas sejam mantidos atualizados com patches do fornecedor para que a comunicação e as ações relacionadas ocorram conforme planejado.

O auditor também precisa verificar a configuração do host e as ferramentas de gerenciamento relacionadas, de acordo com o padrão da empresa (que foi comparado com os padrões do setor mencionados anteriormente).

Há várias maneiras de reunir métricas de configuração de hipervisores e de outras ferramentas de gerenciamento do fornecedor.

A reunião de métricas de baixo custo pode incluir os comandos no console do console do host, ferramentas gratuitas desenvolvidas pelo fornecedor que coletam métricas (embora possam estar limitadas ao número de hosts ou ao número de recursos avaliados) e interfaces para programação de aplicativos (APIs) gratuitas e ferramentas de script oferecidas por fornecedores do hipervisor para extrair informações de seus hosts de forma automatizada e programada.

Alternativas de custos à margem para reunião de métricas de host também incluem ferramentas de gerenciamento de fornecedor e ferramentas de gerenciamento ou segurança de terceiros, se já tiverem sido adquiridas pela empresa. Finalmente, há ferramentas comerciais de diversas faixas de preço para descobrir e determinar a área ocupada pelo ambiente virtual.

Avaliando riscos de recursos

Convidados virtuais transferem suas informações pela rede da empresa para produção, otimização, continuidade ou por outros motivos.

Todos os caminhos de rede usados devem ser usados apenas por convidados autorizados; normalmente, o auditor pode revisar a segmentação de redes pelo console de gerenciamento. 

O auditor deve verificar se:  (1) os hosts em grupos semelhantes e convidados atendidos pelo mesmo host estão agrupados de forma semelhante e na rede correta, (2) redes de gerenciamento de host estão separadas de redes de produção e (3) as redes virtuais usadas para transferir o fornecimento de recursos do convidado para um host distinto estão ainda em outro segmento da rede.

Além disso, o auditor pode revisar pelo console de gerenciamento a segregação de convidados em diferentes hosts e redes.

O auditor pode revisar a configuração de rede pelo console de gerenciamento ou reunindo os dados de configuração de host com as ferramentas mencionadas anteriormente.

O auditor deve revisar switches virtuais e outros componentes de rede virtuais, observando especificamente se a configuração e o endereço MAC, a atribuição, o roteamento, protocolos e criptografia da rede de área local virtual (VLAN) e outras informações de rede se alinham com o padrão da empresa.

Avaliando riscos de gerenciamento

Uma suposição implícita nas etapas de avaliação descritas anteriormente é de que a empresa mantém um inventário preciso de componentes autorizados conhecidos que compreendem seu ambiente.

Para avaliar a difusão de convidados, primeiramente o auditor deverá determinar a existência e a exatidão do inventário de ativos de TI da empresa, incluindo itens virtuais.

Depois que o inventário conhecido for validado, o auditor poderá revisar o processo de gerenciamento para detectar convidados não-autorizados.

O auditor pode usar ferramentas de gerenciamento ou de avaliação comercial para controlar o ambiente e comparar o que é encontrado com o inventário autorizado. Como a maioria dos fornecedores de hipervisor fornecem APIs e ferramentas de script, o auditor pode ser capaz de desenvolver suas próprias ferramentas de descoberta por um custo mínimo ou sem custo nenhum (além do tempo).

Além disso, vários produtos de segurança comercial que abrangem a virtualização têm um módulo de descoberta, uma vez que não podem proteger o que não conhecem.

Se a empresa do auditor já tiver comprado esses tipos de ferramentas, o auditor deverá consultar se os resultados da descoberta podem ser revisados para comparação com o inventário de ativos documentados autorizado.

Surgiram ferramentas para detectar convidados inativos, ativá-los e corrigir deficiências encontradas antes que o convidado inativo seja reativado.

O auditor deve consultar sobre o uso dessas ferramentas, a frequência com que elas são executadas e seu êxito em localizar e corrigir convidados inativos.

Avaliando riscos de governança

O auditor deve revisar políticas, procedimentos e práticas de gerenciamento relacionados ao seguinte:

             Revisão da diretoria ou do conselho administrativo e aprovação da estratégia de virtualização

             Comparações de economia de custos pós-implementação efetivamente alcançadas com os valores esperados

             Coleta de evidências de que componentes chave do processo de gerenciamento de mudança permanecem em vigor: autorização, teste (incluindo certificado de segurança no padrão da empresa), planos de recuo e notificação às partes afetadas, e de que apenas a linha do tempo (não a funcionalidade) de cada etapa foi reduzida pela virtualização.

             Treinamento da equipe com novas responsabilidades de virtualização e treinamento contínuo da equipe de virtualização existente quando as alterações de arquitetura forem feitas ou quando ocorrer atualizações importantes de fornecedor

             Transferência de conhecimento de terceiros que auxiliam na implantação

             Revisão de descrições de função para a equipe cujo limite técnico anterior era menos claro devido à virtualização

             Revisão de responsabilidade pela comunicação entre equipes anteriormente mais independentes antes da virtualização (host, rede, armazenamento)

             Procedimentos de inventário que produzem resultados documentados precisos, que facilitam a conformidade de licenciamento, os pagamentos de tarifas de manutenção corretas, o seguro e outras funções de suporte administrativo

Conclusão

A virtualização afetou a maneira como a empresa executa suas operações de TI. Embora a virtualização só recentemente tenha deixado o status de “tecnologia emergente” e se tornado uma prática mais comum, as empresas já observaram os benefícios de mudar para ambientes virtualizados.

Esses benefícios incluem menor TCO, maior eficiência, impactos positivos em planos de TI sustentáveis e maior agilidade.

Entretanto, as empresas também devem considerar os riscos potenciais de segurança e as implicações de alterações que acompanham a mudança para um ambiente virtualizado. Atenuar muitas dessas ameaças e ter processos de negócios bem documentados e recursos de auditoria robustos ajudará a garantir que as empresas obtenham o maior valor possível de seus ambientes de TI.

Recursos adicionais relacionados à virtualização estão disponíveis em www.isaca.org/virtualization.

Fonte: ISACA

Texto adaptado por Adriano Martins Antonio

Compartilhar no facebook
Facebook
Compartilhar no google
Google+
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Artigos Relacionados

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

×

Você voltou! 😊 Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
Aproveite agora o desconto de 10%! Essa é a sua última chance! Resgatar Agora!

×

Olá Visitante! 😊 Você têm: Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
para aproveitar o desconto de 15% (apenas nos cursos) Resgatar Agora!

@

Não ativo recentemente
X
X
X