Προστασία δεδομένων στα εικονικά περιβάλλοντα

Η εικονικοποίηση των υποδομών IT, εκτός από μία επιλογή που οδηγεί σε μείωση του κόστους λειτουργίας, μπορεί να αποτελέσει και πυλώνα για την προστασία δεδομένων από ενδεχόμενους κινδύνους.
Η τεχνολογική εξέλιξη ¬σε επίπεδο υλικού υπολογιστικών συστημάτων οδήγησε μοιραία και στην άνθηση της ανάπτυξης περιπλοκότερων και αρτιότερων λογισμικών εφαρμογών, που πολλές φορές αντικαθιστούν σε λειτουργικότητα τα παραδοσιακά μηχανήματα. Στις μέρες μας, οποιοδήποτε εταιρικό ΙΤ τμήμα επενδύει σημαντικά σε λογισμικό, με στόχο την ενδυνάμωση των υπηρεσιών που παρέχει και ταυτόχρονα τη μείωση του υλικού που απαιτείται για την υλοποίηση των προαναφερομένων.

Μία από τις πιο δημοφιλείς τεχνολογίες αυτής της κατηγορίας είναι το virtualization ή αλλιώς τα «εικονικά περιβάλλοντα», τόσο σε επίπεδο servers όσο και σε επίπεδο αποθήκευσης (storage), που στόχο έχουν την απλοποίηση της αρχιτεκτονικής δομής των εταιρικών συστημάτων, τη μείωση του κόστους και την εύκολη ανάκαμψη από ενδεχόμενα ατυχήματα – αλλά και τέλος, την υποβολή σε δοκιμή των εκάστοτε εταιρικών συστημάτων.

Ενισχυμένη προστασία με λιγότερο υλικό
Παρόλο που η ιδέα του virtualization υφίσταται εδώ και δεκαετίες, η γοργή υιοθέτησή του από ΙΤ τμήματα όλου του εύρους και διαφορετικής τοπολογίας, είναι που έκανε την αίσθηση. Και ενώ αρχικά η τεχνολογία χρησιμοποιήθηκε κυρίως για να θέτει υπό δοκιμή τα εταιρικά συστήματα, τώρα αποτελεί έναν κρίσιμο παράγοντα σε κάθε περιβάλλον παραγωγής.
Η ιδέα του εικονικού περιβάλλοντος είναι απλή στη σύλληψή της, αλλά παρέχει ένα πλήθος πλεονεκτημάτων που δεν μπορούν να αγνοηθούν. Ουσιαστικά, σε ένα υπολογιστικό σύστημα εκτελείται ένα πρόγραμμα όπως όλα τα υπόλοιπα, το οποίο ονομάζεται «εικονική μηχανή» – virtual machine. Σε κάθε διαφορετική εικονική μηχανή που φιλοξενείται στον ίδιο υπολογιστή, εγκαθίσταται στο επόμενο επίπεδο ένα διαφορετικό λειτουργικό σύστημα και στην κορυφή της δομής εκτελούνται διάφορες εφαρμογές, όπως ακριβώς θα συνέβαινε αν το λειτουργικό σύστημα ήταν το κυρίαρχο στο σύστημα. Κάθε τέτοιο πρόγραμμα λειτουργεί ανεξάρτητα από το λειτουργικό σύστημα και τις εφαρμογές που τελούνται στο κυρίως περιβάλλον του υπολογιστή που το φιλοξενεί. Έτσι, σε ένα και μόνο σύστημα υλικού μπορούν να βρίσκονται πολλά διαφορετικά εικονικά συστήματα λογισμικού, που δρουν ανεξάρτητα το ένα από το άλλο.
Η μόνη «εξαρτημένη σχέση» που υφίσταται στο σύστημα είναι μεταξύ του επιπέδου του λογισμικού που εκτελείται ακριβώς πάνω από το επίπεδο του υλικού και του εικονικού συστήματος – και αυτό το λογισμικό ονομάζεται hypervisor. Είθισται ο hypervisor να εκτελείται ξεχωριστά από τις λειτουργίες του κεντρικού λειτουργικού συστήματος του υπολογιστή, είτε πολύ κοντά στο υλικό είτε πολλές φορές μέσα σε αυτό. Αυτή είναι η επιθυμητή λειτουργία του, όταν πρόκειται να δημιουργηθούν εικονικές μηχανές με δομή server και άρα εικονικά περιβάλλοντα με παροχή προστασίας δεδομένων.
Πέραν από τη δημιουργία εικονικών συστημάτων server σε ένα υπολογιστικό σύστημα, η ιδέα του virtualization έχει προχωρήσει και στις μεθόδους αποθήκευσης. Και ενώ στην περίπτωση των servers οι πόροι ενός μηχανήματος διαμοιράζονται σε διαφορετικά εικονικά συστήματα, στην περίπτωση των αποθηκευτικών μέσων χρησιμοποιούνται διαφορετικά φυσικά μέσα αποθήκευσης, τα οποία διαχειρίζονται κεντρικά και παρουσιάζονται στο χρήστη ως μία οντότητα (τεχνολογίες RAID, SAN, NAS).
Μέχρι τώρα η κοινή πρακτική ανάκτησης των λειτουργιών μιας εταιρείας έπειτα από ατύχημα ή καταστροφή ήταν η χρήση των RAID τεχνολογιών. Στις μέρες μας, με το storage virtualization για την προστασία των δεδομένων και το server virtualization που αποτελεί μια αξιόπιστη και προσιτή δομή η οποία μπορεί να ανακτηθεί πλήρως, η κλασική μέθοδος ανάκαμψης μέσω λήψης αντιγράφων ασφαλείας και αποκατάστασής τους, έχει ξεπεραστεί. Η τεχνολογία virtualization παρέχει από τα υψηλότερα επίπεδα προστασίας δεδομένων και η ανάκαμψη της δομής μιας εταιρείας μπορεί να επιτευχθεί έως και 100% έπειτα από καταστροφή.

Περιορισμός κόστους
Η υιοθέτηση των τεχνολογιών virtualization από τα εταιρικά δίκτυα έγινε κυρίως για το υψηλό επίπεδο προστασίας που παρέχεται σε περίπτωση καταστροφής, μιας και εξασφαλίζουν ανάκτηση των δεδομένων σχεδόν σε πραγματικό χρόνο και επαναλειτουργία της παραγωγής με το ελάχιστο δυνατό κόστος. Στο κομμάτι του server virtualization έχει αποδειχθεί ότι η μεγιστοποίηση της απόδοσης επιτρέπεται, μιας και απαιτούνται λιγότεροι εικονικοί servers για να εκτελεστούν οι ίδιες λειτουργίες μιας εταιρείας, σε σχέση με τους φυσικούς servers που απαιτούν οι ίδιες λειτουργίες και άρα απαιτούνται λιγότερα μηχανήματα στην τελική δομή. Από την άλλη μεριά, όταν αναφερόμαστε σε γεγονότα ανάκτησης λειτουργίας – εφόσον η συσχέτιση της παραγωγής έχει απεμπλακεί σε μεγάλο βαθμό από τις φυσικές δομές και ουσιαστικά το μοντέλο που υποστηρίζει την εταιρεία μπορεί να αποθηκευθεί ως αρχείο – γίνεται πιο εύκολη η μετάβαση από το παλιό στο νέο σύστημα. Και αυτό γιατί δεν απαιτείται η νέα φυσική δομή να είναι πανομοιότυπη ή παρόμοια με την παλιά. Οι λειτουργίες και οι σχέσεις μεταξύ των συστημάτων είναι πλέον αποθηκευμένες σε λογικό επίπεδο και μπορούν να εγκατασταθούν εκ νέου σε οποιοδήποτε φυσικό σύστημα είναι δυνατό να αποκτηθεί εκείνη την στιγμή. Έτσι η ανάκαμψη της παραγωγής είναι γρηγορότερη και το virtualization αποδεικνύεται ως αποτελεσματικότερη λύση.
Παρόλα αυτά, τα φυσικά συστήματα που φιλοξενούν τους εικονικούς servers μιας εταιρείας, δεν μπορεί παρά να είναι ισχυρά, με μεγάλη επεξεργαστική ισχύ και ικανοποιητική μνήμη. Στο εμπόριο οι ελάχιστες απαιτήσεις που προτείνονται για την εγκατάσταση εικονικών servers είναι συνήθως μέτριες, αλλά πρέπει να γίνει κατανοητό ότι η ιδανική απόδοση δεν επιτυγχάνεται με αδύναμα μηχανήματα. Σε κάθε περίπτωση, η αναβάθμιση της κεντρικής μονάδας επεξεργασίας και η αύξηση των επιπέδων RAM ενός μηχανήματος, δεν είναι ακριβότερη λύση από την αγορά ενός νέου πλήρους μηχανήματος.
Σαφώς, αν το κόστος δεν αποτελούσε θέμα, κάθε ΙΤ τμήμα θα μπορούσε να επενδύσει υπέρογκα ποσά σε λύσεις υλικού και λογισμικού, που θα παρείχαν εύρωστους μηχανισμούς προστασίας των δεδομένων. Υπάρχουν περιπτώσεις – όπως όταν πρόκειται για στρατιωτικά απόρρητα όπου η προστασία των δεδομένων είναι ζωτικής σημασίας – που δαπανώνται αρκετά χρήματα για τη διασφάλισή τους. Σε εταιρικό επίπεδο όμως, αυτή η δυνατότητα δεν υπάρχει και έτσι τα εικονικά περιβάλλοντα είναι αυτά που παρέχουν τον πιο ικανοποιητικό λόγο κόστους προς απόδοση και γι’ αυτό προτιμούνται από τους ΙΤ διαχειριστές.
Τέλος, εφόσον τα εικονικά περιβάλλοντα είναι κεντροποιημένα, χρειάζονται λιγότερα φυσικά μηχανήματα και επιτρέπουν την απομακρυσμένη διαχείρισή τους, είναι λογικό ότι απαιτούν και λιγότερο προσωπικό, που σε άλλες περιπτώσεις αναλαμβάνει τη συντήρηση των μηχανημάτων και τον ιδιαίτερο χειρισμό του καθενός εξ αυτών. Η μείωση λοιπόν του προϋπολογισμού για τα ΙΤ τμήματα και η δυνατότητα μείωσης και του απαιτούμενου προσωπικού, αποτελούν κίνητρο για την υιοθέτηση του virtualization σε μια επιχείρηση.

Virtualization για την τέλεση δοκιμών
Όπως προαναφέρθηκε, η αρχική χρήση των εικονικών συστημάτων ήταν για την τέλεση δοκιμών στα συστήματα μιας δομής, ώστε να διαπιστωθεί η ευρωστία της, τα σημεία που παρουσιάζει αδυναμίες, αλλά και οι δυνατότητες ανάκαμψης μετά από σφάλματα. Ακόμα και σήμερα εταιρείες που δεν έχουν εισάγει το virtualization στην παραγωγή τους το χρησιμοποιούν για δοκιμές, μιας και η τεχνολογία επιτρέπει συχνότερους πειραματισμούς απ’ ότι στους φυσικούς servers. Και αυτό γιατί δεν απαιτείται να γίνει εγκατάσταση και ξεχωριστή διαμόρφωση σε κάθε μηχάνημα που θα εξεταστεί, αλλά χρησιμοποιείται μια εικονική μηχανή.
Επιπρόσθετα, ενώ οι δοκιμές στα φυσικά μηχανήματα είναι χρονοβόρες και απαιτούν υπομονή, το virtualization επιτρέπει την εύκολη επανεκκίνηση της εικονικής μηχανής αλλά και αφήνει περιθώρια για αποτυχία του συστήματος, χωρίς να υπάρχει άγχος για τη φυσική πρόσβαση στο σύστημα από άλλες διεργασίες. Βέβαια η λύση δεν παρέχει 100% εγγυημένα αποτελέσματα, μιας και κάλλιστα μπορεί μία εφαρμογή που λειτούργησε στην εικονική μηχανή, να αστοχήσει στο φυσικό μηχάνημα ή να παρουσιάσει διαφορετική συμπεριφορά – και το αντίστροφο. Επίσης υπάρχουν εφαρμογές που από τη φύση της λειτουργίας τους δεν επιτρέπεται να λειτουργούν σε εικονικές μηχανές, οπότε το virtualization δεν είναι χρήσιμο σε αυτές τις περιπτώσεις. Ευτυχώς όλα αυτά συμβαίνουν σπάνια και οι δοκιμές σε εικονικά περιβάλλοντα θεωρούνται αξιόπιστες.

Οι κανόνες προστασίας των δεδομένων
Η τεχνολογία virtualization αν και αποδεικνύεται αποδοτική όσον αφορά στην ανάκαμψη από ατυχήματα, δεν αποτελεί το μόνο μέτρο που πρέπει να ληφθεί από μια εταιρεία για να προστατέψει τα δεδομένα και τη δομή της. Αν δεν τηρηθούν οι βασικοί και πρωταρχικοί κανόνες προστασίας δεδομένων, οποιαδήποτε λύση θα είναι ανεπαρκής. Για παράδειγμα, δεν είναι δυνατό να αναμένεται ανάκαμψη των φυσικών και εικονικών servers, αν πρώτα δεν έχουν εφαρμοστεί οι απαραίτητοι μηχανισμοί για να λαμβάνονται τακτικά αντίγραφα ασφαλείας.
Η προστασία των δεδομένων ξεκινά από το φυσικό επίπεδο. Οι κανόνες για το πώς προστατεύονται τα δεδομένα, φυσικά αποτελούν το πρώτο βήμα για τη θέσπιση μιας ολοκληρωμένης πολιτικής ασφάλειας. Έτσι πρέπει να θεσπιστούν κανόνες ώστε να αποφευχθεί η μη εγκεκριμένη πρόσβαση των δεδομένων, η οποία θα ακύρωνε οποιαδήποτε προσπάθεια προστασίας τους. Ακολούθως απαιτείται η τακτική λήψη (εβδομαδιαίως, ημερησίως ή σε πραγματικό χρόνο) αντιγράφων ασφαλείας και η διατήρησή τους σε ασφαλές μέρος. Επίσης μέριμνα πρέπει να υπάρξει για συμβάντα φυσικών καταστροφών, τα οποία αν και δεν συμβαίνουν καθημερινά, είναι πιθανά και δεν αφήνουν περιθώρια ελλιπούς προετοιμασίας. Κατά συνέπεια, μέτρα πρέπει να ληφθούν για την αντιμετώπιση ενδεχόμενων πλημμύρων, πυρκαγιών, σεισμών κ.ά. και γι’ αυτό απαιτείται τα αντίγραφα ασφαλείας να φυλάσσονται σε τοποθεσία απομακρυσμένη από το εταιρικό περιβάλλον.
Τέλος, όπως και σε κάθε δίκτυο έτσι και στα εικονικά περιβάλλοντα η ελεύθερη διακίνηση των δεδομένων της εταιρείας σε αυτό – είτε πρόκειται για LAN είτε για WAN, χωρίς να λαμβάνονται επαρκείς προφυλάξεις, είναι καταστροφική και ουσιαστικά δεν υπάρχει ικανοποιητική λύση προστασίας των δεδομένων. Κάθε δίκτυο είναι τόσο ασφαλές όσο το πιο αδύναμό του σημείο και αν υπάρχουν ελλείψεις στην πολιτική ασφάλειας που καθορίζει τα δικαιώματα και τους ρόλους του κάθε χρήστη σχετικά με τα δεδομένα, τότε η ακεραιότητα όλου του συστήματος τίθεται υπό αμφισβήτηση.

Αποδοτική και γρήγορη μετακίνηση των δεδομένων
Στην περίπτωση καταστροφής των εταιρικών συστημάτων από ένα πλήθος πιθανών αιτιών, ο χρόνος αντίδρασης είναι περιορισμένος. Όσο και λεπτομερές να είναι το σχέδιο αντίδρασης και ανάκαμψης που έχει συντάξει το ΙΤ τμήμα για κάθε μονάδα παραγωγής, πάλι ο χρόνος είναι που καθορίζει το τελικό αποτέλεσμα.
Το ζητούμενο σ’ αυτήν την περίπτωση είναι η γρήγορη μετακίνηση των δεδομένων σε απομακρυσμένο σημείο στο WAN, χρησιμοποιώντας το εικονικό περιβάλλον και μια σταθερή και γρήγορη σύνδεση που θα επιτρέψει την αποθήκευση της τρέχουσας εταιρικής κατάστασης. Η χρήση λοιπόν του virtualization, μια σταθερή σύνδεση στο WAN και η ύπαρξη μιας απομακρυσμένης δικτυακής τοποθεσίας που θα γίνει η αποθήκευση, αλλάζει τους όρους της ανάκαμψης δραματικά και επιτρέπει τη γρήγορη και οικονομική επαναφορά των λειτουργιών παραγωγής της εκάστοτε εταιρείας.
Η δομή των εικονικών servers συμβάλλει στην ταχύτερη εκκένωση των δεδομένων και στη μετακίνησή τους προς ασφαλές μέρος. Οι εικονικοί servers είναι στην πραγματικότητα αρχεία λογισμικού, τα οποία αντιγράφονται και μετακινούνται εύκολα και περιέχουν όλο το εύρος των λειτουργιών τους (λειτουργικό σύστημα, αρχεία και εφαρμογές). Αν λοιπόν πρέπει να αποθηκευτούν σε μια απομακρυσμένη τοποθεσία όλοι οι εικονικοί servers μιας εταιρείας, αποτελεί σχετικά μια εύκολη και γρήγορη διαδικασία, μιας και είναι λίγα αρχεία (μεγάλα σε μέγεθος) τα οποία παρουσιάζουν λιγότερες επιπλοκές κατά τη μετακίνηση, από αυτές των χιλιάδων αρχείων που πρέπει να μετακινηθούν στα φυσικά συστήματα.
Ακόμα ένα θέμα που αντιμετωπίζεται εύκολα με τους εικονικούς servers είναι η διαχείριση των κλειδωμένων αρχείων, τα οποία είθισται να μην επιτρέπεται η μετακίνησή τους ή η αντιγραφή τους από μη εγκεκριμένο προσωπικό. Όλα τα αρχεία, ανοιχτά ή κλειδωμένα, βρίσκονται εμφωλευμένα στο αρχείο που αποτελεί τον εικονικό server και μετακινούνται μαζί του χωρίς να απαιτούνται ξεχωριστές διαδικασίες. Από την άλλη μεριά, η πρόσβαση σε αυτά και η λήψη των δεδομένων τους, απαιτεί αδειοδότηση η οποία αν έχει συνταχθεί σωστά δεν χάνει την ισχύ της κατά την αντιγραφή του αρχείου. Εν ολίγοις, όπου και να βρεθεί το αρχείο, πρόσβαση σε αυτό μπορούν να έχουν μόνο όσοι έχει επιτρέψει ο διαχειριστής του – και άρα τα εσωτερικά δεδομένα του δεν βρίσκονται εκτεθειμένα.

Πλεονεκτήματα
Με την τεχνολογία του virtualization ένα συγκεκριμένο λειτουργικό περιβάλλον που έχει διαμορφωθεί σύμφωνα με τις ανάγκες της εκάστοτε εταιρείας, εκτελεί συγκεκριμένες εφαρμογές υπό την επίβλεψη καθορισμένου λειτουργικού συστήματος και επεξεργάζεται συγκεκριμένα δεδομένα, μπορεί να δημιουργηθεί ως εικονική μηχανή, να δοκιμαστεί επαρκώς από τους υπεύθυνους και κατόπιν να μεταφερθεί ως ένα απλό αρχείο σε οποιοδήποτε σύστημα και να γίνει μέρος της παραγωγής. Ακόμα λοιπόν κι αν δεν υπήρχαν άλλα πλεονεκτήματα σχετικά με την προστασία των εταιρικών δεδομένων, αυτή η δυνατότητα περιορίζει δραματικά το χρόνο αστοχίας των συστημάτων (από μέρες σε ώρες ή και λιγότερο) και αλλάζει ουσιαστικά το επίπεδο ευρωστίας και παραγωγικής δυνατότητας της κάθε επιχείρησης.
Στο κομμάτι του σχεδιασμού αντιμετώπισης καταστροφών και ανάκαμψης σε μία εταιρεία, αναλύονται δύο μέτρα από τους διαχειριστές και με γνώμονα αυτά τίθεται και ο στόχος επίτευξης. Το πρώτο μέτρο είναι ο χρόνος ανάκαμψης – RTO (Recovery Time Objective) ο οποίος καθορίζει το χρονικό διάστημα μεταξύ της αστοχίας του συστήματος και της πλήρους επαναλειτουργίας του. Το δεύτερο μέτρο είναι το σημείο ανάκαμψης – RPO (Recovery Point Objective), το οποίο καθορίζει πόση απώλεια δεδομένων είναι πιθανή κατά την ανάκαμψη. Δηλαδή, αν ένας εταιρικός δίσκος αστοχήσει και ο μόνος τρόπος για να αποκατασταθεί η λειτουργία της εταιρείας είναι να ανασυρθούν τα δεδομένα από τα αντίγραφα ασφαλείας τα οποία τελευταία φορά ελήφθησαν πριν 10 ώρες, τότε το RPO = 10 ώρες. Όσο πιο στενά είναι τα όρια που επιθυμεί η εταιρεία να τίθενται οι τιμές των RTO και RPO, τόσο μεγαλύτερο το κόστος της επιλεχθείσας τεχνολογίας που θα τις υποστηρίξει.
Τεχνολογικά υπάρχει πληθώρα επιλογών για υψηλή διαθεσιμότητα, αλλά οι εταιρικοί στόχοι πλέον δεν ικανοποιούνται από τις παραδοσιακές μεθόδους, γι’ αυτό και υπάρχει έντονη κινητικότητα προς το virtualization. Εν κατακλείδι, τα εικονικά περιβάλλοντα πλεονεκτούν σημαντικά στα εξής:
. Γρήγορες και αξιόπιστες δοκιμές νέων συστημάτων και εφαρμογών.
. Εύκολη εγκατάσταση των νέων συστημάτων στη γραμμή παραγωγής.
. Γρήγορη μετακίνηση και ανάκτηση των δεδομένων.
. Γρήγορη μετακίνηση και ανάκτηση των δομών της γραμμής παραγωγής και των συστημάτων που την απαρτίζουν.
Όλα τα προαναφερόμενα επιτυγχάνονται με χαμηλό κόστος και περιορισμένες απαιτήσεις σε ανθρώπινο δυναμικό που τα υποστηρίζει και για όλα αυτά το virtualization υπερτερεί σημαντικά στον τομέα της προστασίας των δεδομένων.

Της Παναγιώτας Τσώνη

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure

Προστασία δεδομένων στα εικονικά περιβάλλοντα

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Αποτελεσματική λειτουργία του Φορέα Διαχείρισης της Ασφάλειας Πληροφοριών

Προστασία δεδομένων στα εικονικά περιβάλλοντα

Web 2.0 : Νέοι “δρόμοι” για προγραμματιστές και χρήστες