CAPA

FOLHA DE ROSTO

Resumo Virtualizao uma palavra-chave de alta tecnologia usada amplamente hoje em dia, mas sua importncia crescente se baseia em mais do que um capricho passageiro das pessoas. Com seu potencial para reduzir despesas de capital e custos de energia, a virtualizao representa uma soluo atrativa para empresas que buscam economizar dinheiro e gerar valor de seus investimentos em TI. A virtualizao pode sem dvida oferecer muitos benefcios para as empresas, mas os benefcios devem ser pesados em relao s possveis ameaas aos ativos de informao e ao negcio em si. Este documento examina alguns dos benefcios para o negcio que resultam em solues virtualizadas, identifica problemas de segurana e sugere possveis solues, investiga alguns fatores sobre mudanas que devem ser considerados antes de migrar para um ambiente virtualizado e oferece orientaes prticas sobre auditoria de sistemas virtualizados.

ABSTRACT

Virtualization is a key word in high technology widely used today, but its growing importance is based on more than a passing fancy of people. With its potential to reduce capital spending and energy costs, virtualization is an attractive solution for companies looking to save money and create value from their investments in IT. Virtualization can certainly offer many benefits for companies, but the benefits must be weighed against the potential threats to information assets and the business itself. This document examines some of the business benefits that result in virtualized solutions, identifies security problems and suggests possible solutions, investigates some factors on changes that must be considered before migrating to a virtualized environment and provides practical guidance on audit of virtualized systems.

SUMRIO

INTRODUO

O que ontem parecia coisa do futuro, hoje j se tornou indispensvel para as empresas e para o meio ambiente: substituir diversos servidores fsicos por virtuais. a era da Virtualizao, forma cada vez mais comum de praticar TI Verde e levar as vantagens da tecnologia no s para a sustentabilidade dos negcios como tambm para o meio ambiente. A Virtualizao pode ser entendida como a criao de um ambiente virtual que simula um ambiente real, propiciando a utilizao de diversos sistemas e aplicativos sem a necessidade de acesso fsico mquina na qual esto hospedados. Ou seja, conseguimos rodar, em uma mesma mquina fsica, uma mquina virtual com o sistema operacional Windows e outra com o Linux, todos ao mesmo tempo. Mas o que isso traz realmente de beneficio para quem adota alguma plataforma de virtualizao? Grande reduo de custos, entre outros, com energia. Imagine um ambiente com vrios equipamentos e cada um com uma ou duas fontes. Por fim, precisam de um ambiente refrigerado e profissionais para administrar. Agora, imaginemos que todos esses equipamentos cabem dentro de uma mquina somente. A reduo, que chega at a 80% dos gastos, inclui ainda equipamentos, sistemas de refrigerao, espao e mo-de-obra, pois enquanto um profissional gerencia, no mximo, 10 servidores fsicos, o mesmo consegue gerenciar 30 virtuais. E o meio ambiente tambm agradece, pois, alm de ajudar a reduzir a emisso de CO2 para a fabricao energia eltrica, a virtualizao ajuda a diminuir o impacto de futuros descartes de equipamentos. O objetivo deste trabalho estudar e argumentar como a utilizao da virtualizao pode trazer benefcios para a empresa e para a sociedade num modo geral.

Impactos da virtualizao

Por definio, a virtualizao est apresentando algo de forma virtual (em vez de fsica). Em tecnologia de informao (TI) corporativa, a virtualizao altera a arquitetura tcnica, pois permite que recursos diferentes sejam executados em um ambiente nico (ou de vrias camadas). Em geral, ela transforma um hardware no host para vrios outros hardwares e, consequentemente, ao longo do tempo, tem o potencial de reduzir despesas de capital, custos de administrao e outros custos financeiros da empresa. A virtualizao, como termo e conceito, tem ampla utilidade e pode ser aplicada a diversas reas: servidores virtualizados, armazenamento virtualizado, processadores virtualizados, memria virtual, reas de trabalho virtuais, redes virtualizadas etc. Devido sua extensa aplicao e reduo de custos, a virtualizao est sendo avaliada pelos CIOs (Diretores de informtica) em todo o mundo, medida que planejam uma estratgia sobre como proporcionar agilidade e potncia em computao para atender s necessidades de suas empresas. Alm disso, como as organizaes atualmente requerem uma maneira rpida e confivel de fornecer recursos tcnicos que possibilitem tempo mais rpido de colocao no mercado, a virtualizao est na pauta da diretoria e j est aprimorando a eficcia de muitas empresas em todo o mundo. Originalmente, a virtualizao foi usada na maioria das vezes para facilitar a consolidao de servidor, porm agora muitas outras abordagens se apresentam. A virtualizao tem incio durante a fase de projeto do ambiente tcnico, quando a equipe de projeto considera como oferecer suporte aos processos de negcios e identifica ativos necessrios para converter o plano em realidade. durante essa fase que as empresas geralmente percebem que o ciclo de vida de fornecimento do hardware correto e de outros equipamentos pode durar mais do que o esperado e que existe uma maneira mais rpida de implant-los: desenvolvendo alguma abstrao do universo fsico e hospedando recursos virtuais distintos dentro dos limites de um recurso fsico exclusivo. Virtual o oposto de fsico, no de real. A virtualizao muito real; ela est aqui para ficar e algumas tecnologias novas, como computao em nuvem e em grade, dependem dela para cumprir com seu potencial.

Benefcios comerciais da virtualizao

H vrios benefcios na implementao da virtualizao na TI da empresa. Entre eles: Reduo de custo - consolidando vrias instncias de servidores (virtualizados) em um servidor fsico, as empresas reduzem seus gastos com hardware. Alm de reduzir gastos de capital, os ambientes virtualizados permitem que as empresas economizem em manuteno e energia, geralmente resultando na reduo do custo total de propriedade (TCO). Automao - a tecnologia permite que alguns ambientes virtualizados sejam fornecidos conforme a necessidade e dinamicamente, facilitando, assim, a automao de processos de negcios e eliminando a necessidade de continuamente prover recursos e gerenciar partes do ambiente tcnico que oferecem suporte a necessidades comerciais espordicas.

Algumas tecnologias de virtualizao facilitam a alocao automtica de um processo para seu desempenho ideal em um conjunto de ambientes virtualizados. Rapidez de resposta - como o ambiente virtual tem a capacidade de provisionar a si mesmo para obter o melhor dos recursos disponveis, os tempos de resposta so mais rpidos e os tempos de inatividade podem ser reduzidos a quase zero, melhorando a agilidade e o desempenho. Dissociao - processos que antes precisavam estar em uma mesma mquina fsica agora podem ser facilmente separados, embora ainda preservando a solidez e a segurana necessrias. Os diferentes universos virtualizados (rede, sistema operacional [SO], banco de dados, aplicativo etc) podem ser dissociados (at distribudos em localizaes geogrficas distintas) sem ameaar a integridade do processo. Flexibilidade - a criao ou a preparao relativamente fcil do ambiente adequado para o aplicativo correto permite que as empresas ofeream flexibilidade infraestrutura, no apenas nas fases de teste ou prproduo, mas tambm na rea de produo. Quando surge um novo procedimento ou requisito tcnico/comercial, a capacidade da virtualizao de permitir uma criao rpida do ambiente possibilita s empresas testar o ambiente sem ter que esperar que o processo de fornecimento regular seja executado e fornecido. Agilidade - a agilidade facilita a adaptao rpida s necessidades do negcio, por exemplo, quando ocorre um pico de pedidos e se faz necessrio potncia em computao. Uma empresa pode at mesmo optar por comprometer em excesso os recursos de uma mquina fsica, uma vez que a virtualizao facilita a movimentao rpida dos diversos recursos que habitam em uma mquina fsica para outras mquinas virtuais. Dessa forma, a virtualizao oferece suporte de alinhamento s necessidades do negcio. Balanceamento de carga de trabalho - a implantao de vrios ambientes virtuais garante as prticas recomendadas de alta disponibilidade, redundncia e failover, pois cargas de trabalho podem seguir para onde so mais eficientes. Assim, a virtualizao se concentra no apenas na eficcia (fazendo as coisas corretamente), mas tambm na eficincia (fazendo as coisas de maneira mais rpida, mais barata e mais confivel). Simplificao - a TI virtual ainda TI, portanto, algumas das dificuldades tpicas de TI esto presentes mesmo em um ambiente virtual. No entanto, reduzir o nmero de servidores fsicos reduz significativamente a probabilidade de falha e os custos de gerenciamento e resultados em simplificao, uma das promessas da virtualizao. Utilizao de espao - a consolidao de servidor economiza espao na central de dados e facilita a escalabilidade, pois h vrios servidores em um servidor. Sustentabilidade - ambientes virtualizados usam menos recursos ambientais. comum o desperdcio no consumo de energia nas centrais de dados em mquinas que no so aproveitadas de maneira consistente. Como a virtualizao permite que vrias mquinas virtuais sejam executadas em uma mquina fsica, necessrio menos energia para ligar e resfriar dispositivos.
Figura 1 - Cinco motivos para virtualizar Cinco motivos para virtualizar

1. Reduo da complexidade de TI. Aplicativos e seus sistemas operacionais so encapsulados em mquinas virtuais que so definidas no software, tornando-os fceis de provisionar e gerenciar. 2. Possibilidade de padronizao. Como aplicativos so dissociados do hardware, a central de dados pode convergir em um nmero menor de dispositivos de hardware. 3. Melhora na agilidade. Aplicativos e mquinas virtuais podem ser copiados e movidos em tempo real, e na nuvem, em resposta s mudanas nas condies comerciais. 4. Melhora na eficincia de custos. Mquinas virtuais podem ser facilmente mobilizadas para consumir capacidade ociosa sempre que houver, gerando assim mais trabalho de menos hardware. 5. Facilidade de automao. A infraestrutura virtual facilmente fornecida e orquestrada por processos orientados ao software, especialmente quando o hardware subjacente padronizado.

Riscos e questes de segurana com a virtualizao

Como acontece com qualquer tecnologia, existem riscos associados virtualizao. Esses riscos podem ser classificados em trs grupos: Ataques infraestrutura de virtualizao - h dois tipos principais de ataques infraestrutura de virtualizao: hyperjacking e salto de mquina virtual (VM) (ou guest-hopping). Hyperjacking um mtodo de injetar um hipervisor invasor (tambm chamado de monitor de mquina virtual [VMM]) sob a infraestrutura legtima (VMM ou SO), com controle sobre todas as interaes entre o sistema de destino e o hardware. Alguns exemplos de ameaas no estilo hyperjacking incluem Blue Pill,1 SubVirt2 e Vitriol.3 Essas provas de conceito e sua documentao associada ilustram vrias maneiras de atacar um sistema para injetar hipervisores invasores em sistemas operacionais ou sistemas de virtualizao existentes. Medidas de segurana regulares so ineficazes contra essas ameaas, pois o SO, executado acima do hipervisor invasor, no sabe que a mquina foi comprometida. At hoje, o hyperjacking ainda apenas um cenrio de ataque terico, mas tem atrado ateno considervel da imprensa devido ao dano potencial que pode causar. O salto de VM ou guest-hopping uma possibilidade mais realista4 e representa uma sria ameaa. Normalmente, esse mtodo de ataque explora as vulnerabilidades nos hipervisores que permitem que malwares ou ataques remotos comprometam protees de separao de VM e obtenham acesso a outras VMs, hosts ou at ao prprio hipervisor. comum esses ataques serem consumados depois que o agressor obtm acesso a uma VM de baixo valor, portanto,menos segura, no host, que ento usada como ponto de partida para novos ataques no sistema. Alguns exemplos usaram duas ou mais VMs comprometidas em conivncia para permitir um ataque bem sucedido contra VMs seguras ou ao prprio hipervisor. Ataques a recursos de virtualizao - embora haja vrios recursos de virtualizao que podem ser alvos de explorao, os alvos mais comuns incluem funes de migrao de VM e rede virtual. Se a migrao de VM for feita de forma insegura, pode expor todos os aspectos de uma determinada VM tanto para deteco passiva quanto para ataques de manipulao ativa. Empirical Exploitation of Live Virtual Machine Migration (Explorao emprica de migrao de mquina virtual ativa), de Oberheide, Cooke e Jahanian,5 mostra exemplos de deteco de senhas e chaves da memria, bem como mtodos de manipulao de configurao do sistema enquanto VMs so migradas pela rede. Um exemplo tambm descrito sobre como injetar malware dinamicamente na memria de uma VM. Virtualization: Enough Holes to Work Vegas (Buracos suficientes para trabalhar o Vegas), uma apresentao de D.J. Capelis,6 ilustra problemas de segurana com os recursos de rede e suporte normalmente usados por infraestruturas de virtualizao. Outros exemplos de rede incluem as diferentes formas pelas quais podem ser explorados a atribuio de endereo de controle de acesso de mdia (MAC), o roteamento local e o trfego de camada 2. importante observar que o plano de

rede virtualizada local no sistema funciona diferentemente da rede externa do mundo real, e muitos dos controles e mecanismos de segurana disponveis na rede externa no so prontamente aplicveis ao trfego local no sistema entre as VMs. Desafios de conformidade e gerenciamento - auditoria e aplicao de conformidade, bem como gerenciamento do sistema dirio, so problemas desafiadores ao lidar com sistemas virtualizados. A disperso de VM apresenta um desafio empresa. Como VMs so muito mais fceis de fornecer e implantar do que sistemas fsicos, o nmero e os tipos de VMs podem facilmente ficar fora de controle. Alm disso, o fornecimento de VM geralmente administrado por grupos diferentes em uma organizao, dificultando para a funo de TI controlar que aplicativos, sistemas operacionais e dados so implantados neles. A difuso de VMs e mesmo VMs inativas tornar um desafio obter resultados precisos de avaliaes de vulnerabilidade, patches/ atualizaes e auditoria.

Estratgias de abordagem dos riscos da virtualizao

Atualmente, o melhor mtodo para atenuar a ameaa de hyperjacking usar a inicializao confivel e segura de raiz de hardware do hipervisor. Tecnologias no processador e em chipsets, juntamente com a Tecnologia de execuo confivel (TXT) e o Mdulo de plataforma confivel (TPM), oferecem os ingredientes necessrios para executar uma inicializao segura ou medida do sistema do hardware pelo hipervisor (s vezes chamado de MLE, ou ambiente de inicializao medida). O Grupo de computao confivel (TCG)7 definiu um conjunto de padres para executar uma inicializao medida baseada em hardware e para criar a cadeia de confiana de hardware para o MLE. Fabricantes e fabricantes de equipamentos originais (OEMs), bem como vrios fornecedores de software de virtualizao, adotaram implementaes de inicializao medida e razes de confiana compatveis com TCG. Habilitar e usar esses recursos ajudar a gerenciar os riscos associados ao hyperjacking. Tratar os riscos associados ao salto de VM e a ataques de migrao de mquina virtual comea por se lembrar de que o hipervisor e os convidados por ele suportados so softwares e, como tal, precisam ser corrigidos e reforados. O uso de isolamento e segmentao tambm reduzir em muito os riscos. eficaz usar separao fsica, de rede e baseada em virtualizao para segmentar VMs e sistemas e para combinar a separao com a poltica de aproveitamento ou nveis de segurana para agrupar VMs e aplicativos semelhantes juntamente, de modo que um aplicativo de baixo valor (e, portanto, menos examinado) no poder ter um impacto negativo em VMs e aplicativos de alto valor. A segmentao de VM pode ser implementada pela infraestrutura de gerenciamento de virtualizao ou pode ser obtida manualmente, dependendo das ferramentas e dos produtos usados. A segmentao tambm uma ferramenta importante ao lidar com os riscos de rede associados virtualizao. Como observado anteriormente, separar VMs de

posturas de segurana divergentes reduz o risco para as VMs de maior valor. Alm disso, o uso de criptografia de transporte recomendado para uma migrao de VM segura. Tneis de rede privada (VPN) podem ser implantados de sistema para sistema ou, em alguns casos, possvel aproveitar recursos disponveis de fornecedores de virtualizao ou solues de software de segurana que oferecem migrao de VM criptografada. Resolver os desafios de gerenciamento e conformidade requer a implementao de produtos e servios de gerenciamento conscientes da virtualizao, bem como produtos de segurana conscientes da virtualizao. Isso permite que a infraestrutura de gerenciamento existente reconhea e monitore VMs assim como faz com sistemas e aplicativos na central de dados. H produtos especificamente desenvolvidos para gerenciamento de segurana de virtualizao, e complementos ou atualizaes de produtos de infraestrutura existentes que oferecem conscientizao de virtualizao e os recursos de conformidade e gerenciamento necessrios.

Problemas de governana e de mudana com a virtualizao

Em um nvel simplificado, a governana de TI corporativa pode ser definida como o processo que garante que a TI se alinhe com a estratgia de negcios e promova com eficcia os objetivos organizacionais. Assim como a virtualizao de servidor impacta o cenrio geral de tecnologia, seu uso crescente tambm impacta a governana de TI corporativa de vrias reas crticas. Esse impacto pode ser melhor compreendido considerando-se as vrias caractersticas de virtualizao e seus impactos potenciais positivos ou negativos. Um objetivo comum de esforos para administrar a TI de uma empresa garantir que a TI possa oferecer, rpida e flexivelmente, solues tecnolgicas que deem suporte realizao de metas comerciais gerais da empresa. A virtualizao de servidor auxilia nessa rea, pois a virtualizao pode levar a um ritmo de construo e implantao mais rpido por meio do uso de ferramentas e tecnologias que eliminam a necessidade de montagem fsica de computador quando novos sistemas so provisionados. O controle de custos tambm um foco central da governana de TI, e a virtualizao tambm pode ser fornecida nessa rea, reduzindo os custos de hardware, energia e instalao da empresa. Outra meta comum da governana de TI garantir a continuidade de negcios atravs de solues tecnolgicas robustas que podem tratar e se adaptar a cenrios de maior carga e desastres. A virtualizao de servidor permite recursos significativos nessas reas, oferecendo organizao de TI opes anteriormente indisponveis para dimensionar a carga flexivelmente e mudar e alinhar dinamicamente os recursos para responder continuidade dos negcios e a eventos de desastre.

No lado negativo, mais virtualizao apresenta alguns riscos s metas de governana de TI. Um dos principais riscos est relacionado aos conjuntos de habilidades e experincia organizacional disponveis para dar suporte ao uso da virtualizao de servidor em ambientes de misso crtica. Embora a virtualizao tenha se tornado bastante comum, ela ainda uma tecnologia relativamente nova e as organizaes podem ter dificuldade em garantir os trabalhadores experientes necessrios para assegurar que a TI seja capaz de cumprir suas metas. Um risco relacionado est associado s funes e responsabilidades envolvidas no gerenciamento de uma infraestrutura virtualizada. Tradicionalmente, a tecnologia tem sido gerenciada por TI em vrias reas funcionais e tcnicas, como armazenamento, rede, segurana e computadores/servidores. Com a virtualizao, essas linhas ficam significativamente indistintas, assim, empresas que adotam a virtualizao precisam amadurecer seus modelos de suporte para obter todos os benefcios que a virtualizao pode oferecer.

Mudana organizacional
Como com a governana de TI em geral, a virtualizao de servidor gera uma srie de questes importantes relacionadas mudana organizacional de TI. A primeira mudana, e provavelmente a mais significativa, diz respeito ao gerenciamento de tecnologia e ao modelo de suporte associado da camada de virtualizao. A virtualizao apresenta uma nova camada de tecnologia e, com ela, um novo requisito de administrao e gerenciamento. Para integrar a virtualizao com xito e garantir que a mudana organizacional associada seja implementada, as empresas devem considerar onde ficar a responsabilidade pela arquitetura e gerenciamento de virtualizao. Outra rea chave da mudana organizacional de TI o ciclo de vida do gerenciamento de sistema, desde a aquisio e a implantao at a baixa e a desativao do servio. Historicamente, o processo de implantao tem dependido dos processos de pedido e aquisio de hardware, que foram predecessores da instalao fsica de servidor e da liberao para a produo. De certa forma, isso ajudou a facilitar um ciclo de vida controlado, orientado por listas de verificao e processos de compra, instalao fsica, compilao e configurao, alm de liberao para produo. Com a virtualizao, um servidor (ou grupos de servidores) pode ser implantado na produo com um nico clique do mouse, contornando provavelmente os controles associados ao gerenciamento de ciclo de vida do sistema tradicional. No lado positivo, o ciclo de vida do sistema virtual leve, flexvel e inteiramente contido e visvel em uma nica infraestrutura de gerenciamento, o que oferece organizao de TI uma viso do incio ao fim do ciclo de vida. Organizaes de TI que modificam processos operacionais para aproveitar ao mximo essa agilidade e visibilidade esto melhor equipadas para maximizar seu investimento em virtualizao. Ao fazer a transio para um ambiente virtualizado, importante que profissionais de TI trabalhem com os profissionais de dentro da TI, tais como segurana,desenvolvedores de sistema e suporte, e com profissionais de fora da TI, como escritrio de gerenciamento do projeto e auditoria. essencial que todas as partes envolvidas compreendam as mudanas no

processo de negcios ocorridas como um resultado da migrao para um ambiente virtualizado.

Consideraes sobre qualidade da virtualizao

O processo de avaliao compara mtricas do estado atual aos padres da empresa. As recomendaes de padres de controle e segurana de virtualizao foram criadas por organizaes profissionais de segurana e controle independentes (como a ISACA e o Center for Internet Security), fornecedores (fornecedores do hipervisor e fornecedores do setor de venda de produtos e servios relacionados) e agncias do governo (por exemplo, US Defense Information Systems Agency Security Technical Implementation Guide [DISA STIG] para virtualizao). Esses documentos produziram uma variedade de referenciais que podem ser usados para ajudar a garantir que o padro da empresa abordou riscos especficos corretamente e que nenhum risco foi negligenciado.

Avaliando riscos de infraestrutura

Uma combinao de tcnicas de avaliao de alta e baixa tecnologia pode ajudar bastante o auditor no universo virtualizado. Essas implantaes de virtualizao lderes devem ter uma estratgia documentada para garantir que o software e o hardware do hipervisor sejam compatveis com os requisitos do(s) hipervisor(es) escolhido(s). O auditor deve revisar a documentao de suporte desses componentes para confirmar a capacidade do componente de cumprir com a agilidade,a continuidade e outros itens da implantao coerentes com a estratgia de negcios da empresa. A observao dos processos de incio do host pode garantir verificaes tcnicas adequadas e chamada de TPM antes da inicializao do SO. Alm disso, pode determinar se outras etapas e configuraes de pr-hipervisor (BIOS, carregador de inicializao etc.) so chamadas de acordo com os padres da empresa. A segurana fsica pode no ser a mais recente entre as tcnicas de atenuao de risco, porm a avaliao de virtualizao do auditor deve garantir que todo hardware relacionado esteja restrito adequadamente em relao ao acesso fsico, reduzindo, assim, a chance de alterao de processos de inicializao da CPU. Alm disso, os auditores devem revisar qualquer metodologia remota que d acesso placa-me do host para inicializao remota, a fim de garantir que a configurao permita apenas o uso autorizado. A mquina virtual convidada deve se comunicar com o host para receber e usar recursos. Entretanto, cabe ao host a determinao final em relao aos canais de comunicao usados e aos resultados de solicitaes. Os procedimentos de avaliao devem garantir que o hipervisor e as ferramentas de gerenciamento relacionadas sejam mantidos atualizados com patches do fornecedor para que a comunicao e as aes relacionadas ocorram conforme planejado. O auditor tambm precisa verificar a configurao do host e as ferramentas de gerenciamento relacionadas, de acordo com o padro da empresa (que foi comparado com os padres do setor mencionados anteriormente). H

vrias maneiras de reunir mtricas de configurao de hipervisores e de outras ferramentas de gerenciamento do fornecedor. A reunio de mtricas de baixo custo pode incluir os comandos no console do console do host, ferramentas gratuitas desenvolvidas pelo fornecedor que coletam mtricas (embora possam estar limitadas ao nmero de hosts ou ao nmero de recursos avaliados) e interfaces para programao de aplicativos (APIs) gratuitas e ferramentas de script oferecidas por fornecedores do hipervisor para extrair informaes de seus hosts de forma automatizada e programada. Alternativas de custos margem para reunio de mtricas de host tambm incluem ferramentas de gerenciamento de fornecedor e ferramentas de gerenciamento ou segurana de terceiros, se j tiverem sido adquiridas pela empresa. Finalmente, h ferramentas comerciais de diversas faixas de preo para descobrir e determinar a rea ocupada pelo ambiente virtual.

Avaliando riscos de recursos

Convidados virtuais transferem suas informaes pela rede da empresa para produo, otimizao, continuidade ou por outros motivos. Todos os caminhos de rede usados devem ser usados apenas por convidados autorizados; normalmente, o auditor pode revisar a segmentao de redes pelo console de gerenciamento. O auditor deve verificar se: os hosts em grupos semelhantes e convidados atendidos pelo mesmo host esto agrupados de forma semelhante e na rede correta, redes de gerenciamento de host esto separadas de redes de produo e as redes virtuais usadas para transferir o fornecimento de recursos do convidado para um host distinto esto ainda em outro segmento da rede. Alm disso, o auditor pode revisar pelo console de gerenciamento a segregao de convidados em diferentes hosts e redes. O auditor pode revisar a configurao de rede pelo console de gerenciamento ou reunindo os dados de configurao de host com as ferramentas mencionadas anteriormente. O auditor deve revisar switches virtuais e outros componentes de rede virtuais, observando especificamente se a configurao e o endereo MAC, a atribuio, o roteamento, protocolos e criptografia da rede de rea local virtual (VLAN) e outras informaes de rede se alinham com o padro da empresa.

Avaliando riscos de gerenciamento

Uma suposio implcita nas etapas de avaliao descritas anteriormente de que a empresa mantm um inventrio preciso de componentes autorizados conhecidos que compreendem seu ambiente. Para avaliar a difuso de convidados, primeiramente o auditor dever determinar a existncia e a exatido do inventrio de ativos de TI da empresa, incluindo itens virtuais. Depois que o inventrio conhecido for validado, o auditor poder revisar o processo de gerenciamento para detectar convidados no-autorizados. O auditor pode usar ferramentas de gerenciamento ou de avaliao comercial para controlar o ambiente e comparar o que encontrado com o inventrio autorizado. Como a maioria dos fornecedores de hipervisor fornecem APIs e ferramentas de script, o auditor pode ser capaz de desenvolver suas prprias ferramentas de descoberta

por um custo mnimo ou sem custo nenhum (alm do tempo). Alm disso, vrios produtos de segurana comercial que abrangem a virtualizao tm um mdulo de descoberta, uma vez que no podem proteger o que no conhecem. Se a empresa do auditor j tiver comprado esses tipos de ferramentas, o auditor dever consultar se os resultados da descoberta podem ser revisados para comparao com o inventrio de ativos documentados autorizado. Surgiram ferramentas para detectar convidados inativos, ativ-los e corrigir deficincias encontradas antes que o convidado inativo seja reativado. O auditor deve consultar sobre o uso dessas ferramentas, a frequncia com que elas so executadas e seu xito em localizar e corrigir convidados inativos.

Avaliando riscos de governana

O auditor deve revisar polticas, procedimentos e prticas de gerenciamento relacionados ao seguinte: Reviso da diretoria ou do conselho administrativo e aprovao da estratgia de virtualizao Comparaes de economia de custos ps-implementao efetivamente alcanadas com os valores esperados Coleta de evidncias de que componentes chave do processo de gerenciamento de mudana permanecem em vigor: autorizao, teste (incluindo certificado de segurana no padro da empresa), planos de recuo e notificao s partes afetadas, e de que apenas a linha do tempo (no a funcionalidade) de cada etapa foi reduzida pela virtualizao. Treinamento da equipe com novas responsabilidades de virtualizao e treinamento contnuo da equipe de virtualizao existente quando as alteraes de arquitetura forem feitas ou quando ocorrer atualizaes importantes de fornecedor Transferncia de conhecimento de terceiros que auxiliam na implantao Reviso de descries de funo para a equipe cujo limite tcnico anterior era menos claro devido virtualizao Reviso de responsabilidade pela comunicao entre equipes anteriormente mais independentes antes da virtualizao (host, rede, armazenamento) Procedimentos de inventrio que produzem resultados documentados precisos, que facilitam a conformidade de licenciamento, os pagamentos de tarifas de manuteno corretas, o seguro e outras funes de suporte administrativo

Concluso

A virtualizao afetou a maneira como a empresa executa suas operaes de TI. Embora a virtualizao s recentemente tenha deixado o status de tecnologia emergente e se tornado uma prtica mais comum, as empresas j observaram os benefcios de mudar para ambientes virtualizados. Esses benefcios incluem menor TCO, maior eficincia, impactos positivos em planos de TI sustentveis e maior agilidade. Entretanto, as empresas tambm devem considerar os riscos potenciais de segurana e as implicaes de alteraes que acompanham a mudana para um ambiente virtualizado. Atenuar muitas dessas ameaas e ter processos de negcios bem documentados e recursos de auditoria robustos ajudar a garantir que as empresas obtenham o maior valor possvel de seus ambientes de TI.

Com a crescente expanso da TI Verde, as empresas de pequeno e mdio porte passaram a adotar tais medidas na busca pela sustentabilidade com ganhos econmicos e ambientais, antes seguidas somente por grandes empresas e corporaes. Segundo pesquisas realizadas pela IBM,66% das empresas de mdio porte do pas j acompanham os seus consumos de energia e 70% delas planejam ou j realizam atividades para reduzir o impacto ambiental. O conceito de TI Verde cresce tambm na sociedade mesmo que de forma inconsciente, j que a preocupao ambiental assunto recorrente no dia-a-dia de todos. O que falta, de fato, a conscientizao do usurio domstico de que a TI Verde tambm pode ser praticada em sua casa com pequenas mudanas de comportamento e aes voltadas reduo da emisso de CO2. Para tal, necessrio fazer uso da reutilizao e reciclagem de equipamentos, investimentos (quando necessrios) em suprimentos com selo verde e evitar a subutilizao de sistemas, otimizando o uso de quaisquer produtos sejam eles eletrnicos ou no.

REFERNCIAS