Virtualização: 10 principais práticas recomendadas de virtualização
Com o contínuo amadurecimento da virtualização como uma tecnologia, o mesmo ocorre com as práticas recomendadas para sua aplicação. Caso a sua infraestrutura virtual esteja aquém da sua expectativa, dê uma olhada nesta lista de verificação.
Wes Miller
A virtualização passou de uma tecnologia de laboratório de testes para um componente base em data centers e infraestruturas de área de trabalho virtual. Nessa caminhada, a virtualização ocasionalmente recebeu um cartão de “liberdade” e não teve o mesmo grau de práticas de TI eficientes aplicado às implantações virtuais, como se esperaria dos computadores físicos reais. Isso é um erro.
Se você tivesse um orçamento ilimitado, deixaria qualquer pessoa da sua organização solicitar um ou dois novos sistemas e conectá-los à rede? Provavelmente não. Quando a virtualização entrou em cena pela primeira vez, a proliferação ilimitada e não gerenciada foi controlada pelo fato de que, na realidade, havia um custo associado aos aplicativos hipervisores. Isso proporcionou uma linha de defesa contra máquinas virtuais não autorizadas na sua infraestrutura. Isso não acontece mais.
Existem várias tecnologias de hipervisor gratuitas disponíveis, tanto para hipervisores Tipo 1 quanto para Tipo 2. Qualquer pessoa da sua organização que tenha a mídia de instalação do Windows e algum tempo livre pode criar um novo sistema na sua rede. Quando as máquinas virtuais são implantadas sem que os integrantes certos da equipe tomem conhecimento, isso significa que um novo sistema pode se tornar um atrativo indesejado para novas vulnerabilidades de dia zero, prontas para tomar outros sistemas da sua rede que são críticos para os negócios.
Os sistemas virtuais nunca devem ser subestimados ou considerados garantidos. As infraestruturas virtuais precisam da aplicação das mesmas práticas recomendadas dos sistemas físicos reais. Vamos discutir aqui as 10 principais práticas recomendadas que sempre devem estar em mente quando você trabalhar com sistemas virtuais.
1. Entenda as vantagens e as desvantagens da virtualização
Infelizmente, a virtualização se tornou uma solução para tudo que aflige você. Para recriar sistemas com mais rapidez, virtualize-os. Para renovar antigos servidores, virtualize-os. Certamente, existem muitos papéis que a virtualização pode e deve desempenhar. No entanto, antes de migrar todos os seus antigos sistemas físicos para sistemas virtuais, ou implantar uma nova frota de servidores virtuais para uma carga de trabalho específica, você deve ter certeza de que compreende as limitações e as realidades da virtualização, em termos de uso de CPU, memória e disco.
Por exemplo, quantos convidados virtualizados pode haver em um determinado host e quantas CPUs ou núcleos, espaço de RAM e disco cada um está consumindo? Você considerou os requisitos de armazenamento — mantendo o armazenamento do sistema, de dados e de log separados como seria em um servidor SQL físico? Também é preciso considerar backup, recuperação e failover. A realidade é que as tecnologias de failover para sistemas virtuais são, de muitas maneiras, tão potentes e flexíveis quanto o failover para sistemas físicos, talvez ainda mais. Na realidade, isso depende do hardware do host, do armazenamento e — acima de tudo — da tecnologia de hipervisor utilizada.
2. Compreenda os diferentes afunilamentos de desempenho de diferentes funções do sistema
É necessário considerar o papel de cada sistema virtual ao implantá-los, como acontece com os servidores físicos. Ao criar servidores para serem servidores SQL, Exchange ou IIS, você não utilizaria exatamente a mesma configuração para cada um deles. Os requisitos de CPU, disco e armazenamento são extremamente diferentes. Ao tirar do escopo as configurações de sistemas virtuais, é necessário fazer a mesma abordagem de design das implantações de sistemas físicos. Para convidados virtuais, isso significa dar um tempo para entender as opções de servidor e armazenamento e sobrecarregar um host com convidados demais, ou configurar cargas de trabalho conflitantes quando a CPU e o disco podem estar em desacordo.
3. Você não pode priorizar demais o gerenciamento, a aplicação de patches e a segurança dos sistemas virtuais
Dois novos surtos de vírus acabaram de ocorrer na semana passada. A realidade é que muitos sistemas virtuais não recebem os patches, recebem com atraso ou não são gerenciados adequadamente, ou são ignorados da perspectiva de uma diretiva de segurança. Estudos recentes apontam para a significativa responsabilidade das unidades flash USB na propagação de vírus — especialmente ameaças direcionadas. A realidade é que existem sistemas físicos demais que não possuem os patches e são inseguros. Os sistemas virtuais — especialmente os não autorizados — representam uma ameaça ainda maior. A capacidade de desfazer alterações no sistema aumenta o problema, pois torna a remoção de patches e assinaturas de segurança fácil demais — mesmo que não sejam intencionais. Limite a proliferação de máquinas virtuais e inclua todas elas nas suas infraestruturas de patches, gerenciamento e diretiva de segurança.
4. Não trate os sistemas virtuais de forma diferente dos sistemas físicos, a não ser que isso seja absolutamente necessário
O último ponto deve ter dado o que pensar, mas merece ser repetido. Você não deve tratar os sistemas virtuais de forma diferente dos sistemas físicos. De fato, quando se trata de sistemas não autorizados, convém tratá-los como hostis. Eles podem se tornar a ponte usada pelo malware para se infiltrar na sua rede.
5. Faça backup cedo e com frequência
Os sistemas virtuais, assim como os sistemas físicos, devem ser incluídos no seu regime de backup. Você pode fazer backup da máquina virtual inteira ou dos dados que ela contém. A última abordagem pode ser bem mais valiosa e muito mais flexível. Fazer backup da máquina virtual inteira leva um tempo considerável e você tem poucas opções para recuperação rápida. Ao proteger os seus sistemas físicos de missão crítica, verifique se você pode recuperá-los rapidamente e de maneira confiável também. É muito frequente fazer o backup dos sistemas, mas não verificá-lo, o que resulta em nenhum backup.
6. Tenha cuidado ao usar qualquer tecnologia de “desfazer”
As tecnologias virtuais frequentemente incluem a tecnologia de “desfazer”. Use-a com muito cuidado. Esse é outro motivo para certificar-se de que todos os sistemas virtuais estão incluídos no seu trabalho de governança de TI. Com muita facilidade, um disco é revertido para um dia ou uma semana atrás. Isso poderia expor novamente qualquer vulnerabilidade para a qual você aplicou um patch, e poderia se tornar o gateway para infectar o resto da sua rede.
7. Entenda a sua estratégia de failover e de aumento da capacidade
A virtualização frequentemente é considerada o veículo para conseguir failover e aumento da capacidade perfeitos. Isso depende inteiramente do hardware, do hipervisor, da rede e do armazenamento. Você deve trabalhar com todos os seus fornecedores para compreender até que ponto cada função que você virtualizou pode ser bem-dimensionada por convidado do servidor. Também é necessário saber até que ponto o failover é possível; especificamente, quanto tempo os convidados podem ficar indisponíveis durante um failover e qual pode ser a sua capacidade de resposta e a sua disponibilidade durante a troca.
8. Controle a proliferação de máquinas virtuais
Este é um aspecto crítico e, ainda assim, um dos mais difíceis de impor. Existem vários hipervisores que são totalmente gratuitos e, mesmo com um hipervisor comercial, é muito fácil “clonar” um convidado. Isso pode resultar em uma infinidade de problemas:
- Segurança: novos sistemas ou sistemas clonados incorretamente podem resultar em sistemas protegidos inadequadamente ou podem causar conflitos com o sistema do qual foram “clonados”.
- Gerenciamento: conflitos de clonagem podem levar a sistemas que não são gerenciados de acordo com a diretiva, não recebem os patches e resultam em conflitos ou instabilidade.
- Legal: até pouco tempo, o Windows nem sempre podia determinar se estava sendo virtualizado ou, mais importante, se tinha sido silenciosamente duplicado como um novo convidado (uma ou muitas vezes). Com muita frequência, tem havido uma proliferação de convidados devido à facilidade de duplicação, além de uma atitude mais indiferente em relação à pirataria. Essa é uma atitude perigosa e deve ser bloqueada pela sua organização de TI, no mínimo por meio de diretiva.
É muito fácil clonar sistemas. Verifique se a sua organização de TI conhece os riscos da duplicação indevida de convidados. Implante as novas máquinas virtuais somente em conformidade com as mesmas diretivas que você utilizaria para os sistemas físicos.
9. Centralize seu armazenamento
Uma causa importante de proliferação de máquinas virtuais são os hosts fisicamente espalhados em toda a sua organização. Se você visse um funcionário ir até um servidor físico com um disco rígido externo e um CD, iria imaginar o que estaria acontecendo. Com os sistemas virtuais, copiar o convidado inteiro (ou dois deles) é muito fácil. Essa facilidade de duplicação é o motivo principal da proliferação de máquinas virtuais. Isso também pode resultar na perda de dados. Se você não puder proteger fisicamente as máquinas virtuais, elas deverão ter seus discos virtuais ou físicos criptografados para garantir que não haja perda de dados confidenciais. Colocando os hosts e o armazenamento da máquina virtual em locais centralizados e seguros, você pode minimizar tanto a proliferação quanto a potencial perda de dados.
10. Entenda o seu perímetro de segurança
Se você desenvolve softwares ou gerencia sistemas, a segurança deve fazer parte da sua estratégia diária. Ao considerar como gerenciar e aplicar os patches nos sistemas físicos, sempre inclua os sistemas virtuais também. Se você estiver implantando diretivas de senha, elas estão sendo impostas também aos sistemas virtuais? O risco está aí — esteja preparado para responder como os sistemas virtuais serão controlados para que o risco de serem clonados possa ser atenuado. É preciso tratar as máquinas virtuais como hostis, a não ser que elas façam parte do seu plano de governança de TI. Muitos hipervisores agora incluem uma versão gratuita ou uma versão de avaliação de software antivírus, devido às ameaças potenciais à segurança entre o host e os convidados.
Aqui-agora e daqui para o futuro
A virtualização promete tornar-se um componente de TI ainda mais significativo no futuro. A melhor coisa a fazer é encontrar uma maneira de trabalhar com ela e gerenciá-la hoje, em vez de ignorá-la e esperar que ela gerencie a si própria. É necessário impor às VMs as mesmas diretivas que você impõe aos sistemas físicos. Saiba onde a virtualização é usada na sua organização e destaque para a sua equipe os riscos de tratar as máquinas virtuais de forma diferente dos sistemas físicos.
.jpg)
Wes Miller* é diretor de Gerenciamento de Produtos na CoreTrace (CoreTrace.com) em Austin, Texas. Já trabalhou na Winternals Software e como gerente de programa da Microsoft. Miller pode ser contatado em wm@getwired.com.*