Aprenda a segregar servidores virtuais

Desvincular os servidores físicos uns dos outros em um data center já não é tarefa das mais fáceis. Tentar isolar os servidores virtuais rodando em um mesmo hardware é ainda mais complicado.

O Mercy Medical Center, em Baltimore, passou pelo problema quando implementou o NAC (controle de acesso de rede) da ConSentry Networks. Como parte desse projeto, a companhia aposentou hardwares de servidores que rodavam múltiplos aplicativos e os substituiu pode servidores virtuais, cada um deles rodando um único aplicativo. Embora isso tenha tornado a implementação do NAC mais baseada em aplicativos do que em servidores, ela trouxe consigo uma série de complicações relacionadas a segurança.

Se você levar em conta os pré-requisitos de um bom firewall servidor-a-servidor – em particular, as necessidades de velocidade e suporte a IPS (sistema de prevenção de intrusos) –, implementar a segurança em um ambiente virtual pode fazer mais sentido.

Alguns fabricantes identificaram aí um nicho. A Reflex Security, por exemplo, oferece um appliance de firewall e IPS virtual empacotado como uma máquina virtual para controlar e garantir a segurança da comunicação entre os servidores virtuais. Como os servidores e o firewall se comunicam dentro do hardware, eles não precisam buscar um switch externo. Isso reduz o desempenho do hit de IPS.

Além disso, como esses recursos são oferecidos em software na máquina virtual, sua implementação é mais barata do que a de um firewall-IPS baseado em hardware. “Você não precisa ficar mudando cabos de lugar toda vez que quiser garantir a segurança de um servidor diferente”, explica Nand Mulchandani, diretor sênior de produtos da VMware. “Tudo pode ser feito no software, a um custo muito menor”, completa.

Outros destaques do COMPUTERWORLD:
> Chegou a hora de descartar o Windows?
> Java é cada vez mais ameaçada por novas linguagens
> Cargos em TI que você nunca imaginou existirem
> Linux para o mercado SMB: lento, sólido ou ambos?
> Prêmio Melhores Empresas para Trabalhar TI&Telecom abre inscrições

Outras empresas, como a Blue Lane Technologies, também desenvolvem aplicativos de segurança baseados em máquinas virtuais (VM), e mesmo a fabricante de firewall Check Point Software diz que não descartou a idéia de desenvolver seu próprio aplicativo de firewall-IPS virtual.

Aplicativos virtuais de segurança são um passo na direção correta, mas alguns usuários dizem que o desempenho ainda não é aceitável. “Temos utilizado o Reflex e outros, mas eles não parecem conseguir transmitir pacotes tão rapidamente quanto o necessário”, disse Rein. Segundo ele, é realmente necessário que a segurança seja processada em algum lugar dentro do próprio hypervisor.

Nesse aspecto, a VMware está abrindo seu hypervisor a alguns parceiros de segurança confiáveis por meio de um programa chamado VMsafe. Os fabricantes de soluções de segurança terão a mesma visibilidade do hypervisor na operação de uma máquina virtual, incluindo a memória, CPU, disco e sistemas I/O, diz  VMware. Desta forma, eles conseguem identificar e eliminar malware, como vírus, Trojans e keyloggers, antes que eles danifiquem a máquina ou roubem seus dados.