Recentemente Sophos ha messo in guarda dalla virtualizzazione senza controllo. Le opinioni di Andrea Siviero di Vmware in merito.
Senza voler negare la validità della virtualizzazione come tecnologia abilitante un’It virtuosa, Sophos, con una nota, ha recentemente messo in guardia dalla creazione di ambienti invisibili agli amministratori di rete, che renderebbero più difficile l’implementazione di corrette policy di sicurezza, aprendo la strada a possibili attacchi. Non si è trattato di un grido di allarme, piuttosto di un richiamo a una maggiore attenzione (si veda il link).
In merito, il Product marketing manager Enterprise desktop di Vmware, Andrea Siviero, ha qualcosa da dire.
«L’affermazione di Sophos – sostiene Siviero – riguarda tecnologie di virtualizzazione definite host-based, cioè legate all’uso di sistemi operativi general purpose che eseguono i servizi di virtualizzazione, e spesso gestite dall’utente finale. Sono statisticamente più vulnerabili e aperte a diversi buchi di sicurezza e attacchi che sfruttano bug di servizi del sistema operativo, spesso non direttamente legate alla tecnologia di virtualizzazione. Inoltre l’utente, avendo accesso al sistema operativo che esegue l’engine di virtualizzazione, a volte anche come amministratore, lo rende insicuro e potenzialmente pronto a manomissioni».
Che soluzione propone, allora, Vmware?
«L’hypervisor Esxi di Vmware – dice Siviero – è direttamente eseguito come estensione dell’hardware, non si appoggia a sistemi operativi general purpose e ha una dimensione totale di soli 32 Mb; nessun utente può accedere direttamente all’hypervisor se non tramite la console fisica del server garantendo una sicurezza ineguagliabile. Solo tramite un client Web è possibile configurare e gestire le macchine virtuali, i profili e le applicazioni che verranno associate ad un utente, il quale potrà accedere al proprio desktop da una vasta tipologia di dispositivi. Inoltre, con la tecnologia di virtualizzazione applicativa di Vmware ThinApp, non è necessario installare nessun componente aggiuntivo sul sistema e poter dare nuove applicazioni all’utente senza che esso abbia diritti amministrativi restringendo quindi ulteriormente le manomissioni volontarie o involontarie».
E per il futuro?
«Vmware – spiega Siviero – ha già presentato e renderà disponibile una tecnologia denominata Vmsafe che è in grado di capire quanto avviene sulle macchine virtuali senza la necessità di agenti all’interno dei sistemi operativi. Questo permetterà ai principali produttori di sicurezza di avere livelli di sicurezza impossibili da raggiungere anche sul fisico»
