Na redakční otázky k hlavnímu tématu odpovídá Sharon Malaver (Altberg) , Director of Product Marketing  Cyber-Ark Software, l.t.d.

1. V čem jsou specifika bezpečnosti ve virtualizovaném prostředí a v čem se odlišuje od prostředí „klasického“?

Ve virtualizovaném prostředí může přístup k ESX strojům umožnit  mnohem širší přístup k systému, než u běžného serveru a to díky více hostitelským systémům. Provádí-li správci všechny typy operací na ESX strojích pomocí anonymních, sdílených privilegovaných účtů, vytváří se tím prostor pro potenciálně závažné narušení bezpečnosti, ať už náhodnému nebo úmyslnému. Zabezpečením přístupu administrátorů k vCenter, ESX a image-ím se zmírní mnoho rizik a zajistí se odpovědnost toho, kdo k přístupu používá privilegované účty. Díky řešení pro správu identit, pak mohou podniky spravovat celý životní cyklus privilegovaného účtu. To začíná automatickou identifikací privilegovaných účtů, pravidelnou obměnou hesel, definováním, jak silná tato hesla mají být apod.. Privilegované identity je třeba zajistit tak, aby k nim nikdo nemohl mít snadný přístup, natož  znát hesla k nim. Korektní správa tedy probíhá na bázi definované bezpečnostní politiky, jako je obměna hesel v pravidelných intervalech, zavádění pracovních postupů, které vyžadují souhlas další osoby před jejich užitím apod..Z bezpečnostního hlediska je nejen správa přístupů důležitým preventivním krokem, ale také schopnost kontrolovat a monitorovat jejich využití je zásadní.

2. Jsou dnešní monitorovací systémy vhodné i pro prostředí virtualizace, nebo zde narážíme na nějaké výraznější výzvy a problémy?

Na trhu existuje jen velmi málo řešení, která umožní skutečnou kontrolu virtuálního prostředí. Ty, které existují, jsou obvykle na bázi agentů a výsledkem je, že značně zatěžují vlastní virtuální prostředí. Při hledání řešení pro monitoring virtualizovaného prostředí bychom se měřit na ta řešení, která zachytí činnost v reálném čase a jsou schopna přehrávání relací, které byly provedeny ve virtuálním prostředí na individuální úrovni a ze kterých lze zjistit, co se stalo během takovéto relace. Kromě toho by takové řešení pro monitorování mělo mít možnost snadno vyhledat privilegované příkazy, které již byly identifikovány a které lze přehrávat od požadovaného okamžiku pro rychlejší forenzní analýzy a zkrátit tak dobu sanace.Řešení pro monitorování by měla mít možnost reakce na podezřelé aktivity, jako např. zákaz uživatele (ať už ručně nebo automaticky), změnu hesla okamžitě nebo po ukončení relace v reálném čase.

6. Co můžete na poli „virtualizace a bezpečnosti“ nabídnout?

Privileged Identity Management SuiteCyber-Ark Priviledged Identity Management (PIM) Suite spravuje, řídí a zaznamenává všechny aktivity privilegovaných účtů a jejich užití pro správou datových center.Tato sada obsahuje tři produkty: Enterprise Password Vault® pro správu životního cyklu privilegovaných účtů, Aplication Identity Manager ™ pro nahrazení a správu přihlašovacích údajů, skriptů nebo konfiguračních souborů a šifrovacích klíčů uložených v aplikacích, a On Demand Manager ™ pro granulární řízení přístupu v prostředí Unix / Linux.Sada pro řízení životního cyklu privilegovaných účtů virtuálních datových center nabízí:

• nalezeni všech ESX hypervisorů a automatickou správu ESX kořenových účtů, stejně jako správu privilegovaných pověření pomocí centrálního interface pro vyšší efektivitu prostředí Windows a Unix

• vysoce zabezpečený, neproniknutelný „digitální tresor“ pro správu výsadních pověření

• řízení přístupu k ESX / ESXi, stejně jako k jimi hostovaným strojům, umožňující úplné oddělení povinností (segregation of duties)

• personifikovat audit a odpovědnost za privilegované a sdílené účty ESX / ESXi a vCenter

• monitorovat užívání privilegovaných účtů prostřednictvím manažerské nástěnky a automaticky generovaných auditních zpráv, které účty jsou spravovány, kdo používá privilegovaný účet, kdy, z jakého důvodu atd.

• vynucovat zásady zabezpečení, jako je pravidelná výměna všech výsadních
pověření hypervisoru a image-í

• prosazovat postupy change managementu v rámci nouzových přístupů a pracovních postupů údržby systému

Výše uvedené možnosti minimalizují narušení bezpečnosti a interní ohrožení vytvořením jmenovité odpovědnosti a jednotného místa pro správu oprávnění. Toto řešení zvyšuje provozní efektivitu automatizací vyhledávání a řízení výsadních pověření a splnění auditních.

Priviledged Session Management Suite

Cyber-Ark Priviledged Management Suite (PSM) izoluje, kontroluje a zaznamenává všechny privilegované správcovské relace.Jeho unikátní zodolněná proxy architektura chrání virtuální prostředí před interními a externími hrozbami tím, že všechny přístupy k cílovým virtuálním strojům umožní pouze přes PSM. PSM je řešení nezatěžující IT prostředí a proto nevytváří další režii a nepotřebuje ani agenta na cílových virtuálních strojích.

Privileged Session Manager ®

Pro virtualizaci umožňuje nepřetržité monitorování, ochranu a dodržování politik v citlivých virtuálních prostředích, zajišťuje plný přehled a kontrolu. Nulové nároky řešení umožňují rychlé nasazení bez rizika a rychlejší návratnost investice. Patří sem:

• inovativní řešení pro sledování a kontrolu přístupů na VMware vCenter, ESX / ESXi hostitelským i hostovaným systémům

• privilegovaný Single Sign On napříč virtuálním prostředí• workflow pro přístup k privilegované relaci, např. schvalování zahájení session, řízení změn, sledování délky relace, atd.

• umožňuje silnou autentizace pro přístup a správu Hypervisoru

• kompletní nahrávání administratorských session a jejich přehrávání

• vyhledávání na úrovni SSH a SQL příkazů a přehrávání záznamu od požadovaného "okamžiku"