O wirtualizacji
Czym jest wirtualizacja?
Szereg organizacji korzysta dziś z serwerów wirtualnych (VS) i maszyn wirtualnych (VM). Wielu pracowników loguje się na wirtualnych pulpitach, co pozwala im na korzystanie z dowolnego urządzenia z dowolnej lokalizacji w celu uzyskania dostępu do systemów służbowych.
Wirtualizacja to technologia, która pozwala nam stworzyć programową lub „wirtualną” wersję komputera. Polega ona na wykorzystaniu sprzętu komputera lub serwera oraz specjalistycznego oprogramowania i stworzeniu w nim wielu „wirtualnych” maszyn. Maszyny wirtualne wykorzystują sprzęt pojedynczej, fizycznej maszyny. Dla każdej maszyny wirtualnej przydzielana jest jakaś część zasobów CPU (procesora), RAM (pamięci) i przestrzeni dyskowej ze sprzętu fizycznej maszyny. Całkowita ilość CPU, RAM i pamięci na maszynach wirtualnych nie może przekroczyć tego, co jest dostępne na sprzęcie.
Początkowo wirtualizacja została opracowana w celu efektywniejszego wykorzystania zasobów sprzętowych. Organizacje często uruchamiały fizyczne serwery na miejscu, co prowadziło do zajmowania znacznej przestrzeni, generowania hałasu oraz nadmiernego wydzielania ciepła. Wymagały one także specjalnych warunków utrzymania. Serwery te zazwyczaj były przeznaczone do jednej konkretnej funkcji, takiej jak hosting stron internetowych, obsługa poczty elektronicznej czy zarządzanie fragmentem sieci. Paradoksalnie, mimo dostępnych zasobów (procesora, pamięci RAM i pamięci masowej), wykorzystywano tylko około 30% ich możliwości.
Rozwiązaniem tego problemu jest wirtualizacja. Moc z jednego serwera można podzielić i wykorzystać w różnych funkcjach. Każda podzielona część serwera może otrzymać własny system operacyjny i aplikacje. Dzięki temu podzielone części serwera zamieniają się w maszyny wirtualne (VM), a serwer jako całość w serwer wirtualny (VS). Wykorzystuje to około 80% możliwości serwera, a więc jest znacznie bardziej wydajne.
Wirtualizacja jest możliwa dzięki rodzajowi oprogramowania zwanego hipernadzorcą.
Oprogramowanie określane jako hipernadzorca (hypervisor) jest instalowane na sprzęcie serwera w celu uruchomienia i zarządzania maszynami wirtualnymi na tym serwerze, co pozwala na optymalne wykorzystanie zasobów i mocy serwera. Hipernadzorca zarządza procesami wirtualizacji, maszynami wirtualnymi (VM) oraz serwerem wirtualnym (VS). Hipernadzorcy są często określani jako „warstwa wirtualizacji”. Maszyny wirtualne działają tylko wtedy, gdy istnieje hipernadzorca do wirtualizacji i dystrybucji zasobów sprzętowych.
Wirtualizacja umożliwia organizacjom zlecanie na zewnątrz wymagań technologicznych w sposób, który zapewnia im elastyczność i skalowalność. Daje im również możliwość płacenia w formie abonamentu tylko za to, co jest im potrzebne, nie ponosząc nakładów na serwery fizyczne. Wirtualizacja oszczędza energię i pomaga zmniejszyć emisję dwutlenku węgla, zapewniając, że energochłonne serwery fizyczne są wykorzystywane w maksymalnym zakresie.
Kolejną zaletą wirtualizacji jest to, że dane tworzące maszynę wirtualną mogą być zapisane w postaci pliku i składowane w kilku lokalizacjach zapasowych do celów odzyskiwania danych. Ułatwia to przenoszenie plików maszyn wirtualnych pomiędzy różnymi centrami danych. Maszyny wirtualne mogą być używane do badania i jako środowisko testowe, ponieważ działają jak „piaskownica” (sandbox, samowystarczalna, zamknięta jednostka) odizolowana od innych aplikacji i systemów.
Istnieją dwa główne typy hipernadzorców.
Hipernadzorca typu pierwszego
Większość hipernadzorców instaluje się bezpośrednio na serwerze bez żadnego innego oprogramowania. Przykładami tego typu hipernadzorcy są: VMWare vSphere/ESXi (Microsoft Hyper-V, Citrix XenServer).
Po zainstalowaniu hipernadzorcy na serwerze, osoba odpowiedzialna za konfigurację maszyn wirtualnych używa narzędzia do zarządzania, aby przydzielić CPU, RAM i pamięć masową dla różnych maszyn wirtualnych (VM) i pobrać system operacyjny lub wirtualny pulpit oraz aplikacje dla każdej VM. Będą również zarządzać kontrolą dostępu użytkowników i uprawnieniami administracyjnymi do tych maszyn. Użytkownicy łączą się następnie z maszynami wirtualnymi za pulpitu zdalnego.
Hipernadzorca typu drugiego
Inny rodzaj hipernadzorcy jest częściej używany na komputerze niż na serwerze. Może być zainstalowany na komputerze ponad systemem operacyjnym, który jest już na tym komputerze. System operacyjny maszyn wirtualnych może być inny niż system hosta serwera i jest nazywany „systemem operacyjnym gościa”. Oznacza to, że maszyny wirtualne mogą być skonfigurowane i uruchomione na komputerze przy użyciu różnych systemów operacyjnych, co umożliwia badanie i testowanie różnych systemów operacyjnych i aplikacji w bezpiecznym środowisku wirtualnym (często nazywanym środowiskiem piaskownicy – sandbox).
Przykładami tego typu hipernadzorcy są: VMWare Workstation/Fusion, Oracle VirtualBox Parallels (Mac).
Każdy zwykły komputer stacjonarny może połączyć się przez Internet z wirtualnym środowiskiem.
Cienki klient
Cienki klient jest rodzajem bardzo prostego komputera posiadającego jedynie podstawowy system operacyjny. Tego typu komputery są często używane do łączenia się z maszynami wirtualnymi, ponieważ są tańsze, mniejsze i łatwiejsze w utrzymaniu niż zwykłe laptopy czy komputery.
Maszyny wirtualne i infrastruktura wirtualnych pulpitów
Maszyny wirtualne mogą być wykorzystywane do wielu zastosowań, jednym z nich jest uruchamianie wirtualnego pulpitu w środowisku Virtual Desktop Infrastructure (VDI).
Kiedy ktoś jest podłączony do wirtualnego pulpitu, wszystkie zasoby obliczeniowe, które zwykle miałby na swoim zwykłym komputerze, takie jak system operacyjny, aplikacje i pliki, pojawią się na ekranie jako wirtualny pulpit. W rzeczywistości system operacyjny, aplikacje i pliki istnieją na serwerach w innych lokalizacjach. Wirtualny pulpit to tylko obraz systemów operacyjnych i aplikacji dostępnych na maszynach wirtualnych.
Użytkownicy mogą uzyskać zdalny dostęp do swoich wirtualnych pulpitów przez Internet z dowolnego miejsca i z dowolnego urządzenia końcowego (laptop, smartfon lub tablet). Wirtualny pulpit wygląda i zachowuje się jak fizyczna stacja robocza. Z punktu widzenia użytkownika system może zachowywać się lepiej niż fizyczny, ponieważ ma do dyspozycji potężne zasoby serwera, takie jak jego pamięć masowa i bazy danych. W zależności od technologii wirtualizacji użytkownicy mogą mieć możliwości personalizacji i zapisywania danych lokalnie.
Użytkownicy mogą uzyskać dostęp do wszystkich swoich plików i aplikacji oraz pracować na swoim pulpicie dokładnie w ten sam sposób za każdym razem, gdy się do niego zalogują, niezależnie od tego, z jakiego urządzenia pracują.
W środowisku VDI dane znajdują się na serwerze, a nie na urządzeniu końcowym. Chroni to dane, jeśli urządzenie końcowe zostanie kiedykolwiek skradzione lub jego bezpieczeństwo zostanie naruszone. Scentralizowany format VDI ułatwia centralne zarządzanie, łatanie, aktualizację i konfigurację wszystkich wirtualnych desktopów w systemie.
Wirtualizacja może być wykorzystywana przez organizacje do poprawy cyberbezpieczeństwa i zapewnienia standardowego środowiska pracy, jednocześnie pozwalając pracownikom na korzystanie z urządzeń osobistych i pracę poza siecią firmową. Aplikacje i pliki na maszynie wirtualnej są dostępne z urządzenia końcowego, ale nigdy nie są faktycznie na nim fizycznie zlokalizowane. Oznacza to, że środowiska maszyn wirtualnych pozostają odizolowane od systemu operacyjnego hosta oraz wszelkich osobistych aplikacji i plików, z których korzysta pracownik. Złośliwe oprogramowanie dostające się do urządzenia końcowego nie będzie miało wpływu na sprzęt zasilający maszynę wirtualną i przechowujący dane firmowe.
Zagrożoną maszynę wirtualną można łatwo przywrócić do starszej wersji poprzez ponowną instalację z kopii zapasowej danych i ustawień sprzed zagrożenia. Można ją również szybko usunąć i odtworzyć, aby przyspieszyć odzyskiwanie danych po awarii.
Wirtualizacja – co może pójść nie tak?
Maszyny wirtualne i ich sieci mogą być podatne na cyberzagrożenia w dokładnie taki sam sposób, jak każda fizyczna infrastruktura IT. Nie należy zakładać, że są one domyślnie bezpieczne. Włamania do maszyn wirtualnych są zazwyczaj wynikiem źle skonfigurowanych serwerów, słabej kontroli dostępu użytkowników lub źle skonfigurowanych kont wirtualnych desktopów. Maszyny wirtualne wymagają starannej konfiguracji oraz stałego monitorowania i konserwacji, aby były bezpieczne. Maszyna wirtualna jest tylko tak bezpieczna, jak jej konfiguracja.
Bezpieczeństwo – za co jesteś odpowiedzialny?
Jeśli Twoja organizacja korzysta z usług w chmurze, które są oparte na technologii wirtualizacji, nie musisz stosować wytycznych Firmy Bezpiecznej Cyfrowo do sprzętu serwerów i hipernadzorców w centrum danych chmury. Potrzebne są jednak dowody, że dostawca usług w chmurze utrzymuje swoją infrastrukturę w stanie bezpiecznym i zaktualizowanym. (patrz O usługach w chmurze).
Jeśli korzystasz z usługi „Infrastructure as a Service” od dostawcy usług w chmurze, będziesz odpowiedzialny za zastosowanie wytycznych FBC do środowiska wirtualnego, które konfigurujesz i używasz. Obejmuje to wirtualne desktopy, wirtualne sieci lokalne (VLANy), w tym wirtualne zapory, wirtualne przełączniki itp.
Jeśli jesteś właścicielem lub dzierżawcą serwerów, które znajdują się na miejscu lub w centrum danych, i konfigurujesz oprogramowanie do tworzenia maszyn wirtualnych, będziesz musiał zastosować wytyczne FBC do serwerów i hipernadzorców. Oznacza to, że sprzęt i oprogramowanie muszą być licencjonowane, aktualizowane i łatane.
Powszechnie zakłada się, że usługi w chmurze i zdalne środowiska wirtualne są domyślnie bezpieczne. Jest to po prostu nieprawda.
Ważne jest, aby w pełni zrozumieć technologię, z której korzystasz. Rozważ szkolenie w celu podnoszenia kwalifikacji Twojej lub zespołu IT, aby uzyskać kompetencje zapewniające prawidłową konfigurację tych narzędzi.
Podsumowując, wirtualizacja umożliwia organizacjom dodanie warstw bezpieczeństwa i separowanie danych organizacji, które są coraz częściej dostępne z różnych urządzeń i miejsc. Jest ona w stanie zapewnić wielu pracownikom elastyczne, niedrogie i bezpieczne zasoby, które zaspokajają ich potrzeby obliczeniowe bez konieczności zakupu zasobów sprzętowych. Zrozumienie i skonfigurowanie ustawień bezpieczeństwa w technologii wirtualizacyjnej, z której korzysta Twoja organizacja, jest niezbędne.