As infraestruturas de áreas de trabalho virtuais no governo: o equilíbrio entre segurança e desempenho
Vitaly Mzokov, líder de negócios de soluções de segurança de data center e virtualização da Kaspersky Lab
As infraestruturas de áreas de trabalho virtuais, ou VDIs, estão se tornando cada vez mais populares no mundo inteiro. Segundo o Relatório de Riscos de Segurança de TI de 2016 da Kaspersky, mais da metade (63%) das empresas do mundo admite que a VDI faz parte de sua infraestrutura de TI complexa. E as empresas têm bons motivos para optar pelas técnicas de virtualização.
A infraestrutura de áreas de trabalho virtuais utiliza o hardware de servidor para executar sistemas operacionais de área de trabalho e software de aplicativos dentro de uma máquina virtual. Os usuários acessam essas áreas de trabalho virtuais usando seus computadores existentes ou outros dispositivos. Nesses cenários, os departamentos de TI são capazes de consolidar as funções dos endpoints de modo centralizado, em vez de gerenciar cada um deles individualmente. Essa mudança reduz os custos com aplicativos e de fornecimento de serviços, simplifica o backup do sistema e, em um cenário ideal, oferece aos usuários a experiência de trabalho usual, ao mesmo tempo que facilita o suporte de TI e a solução de problemas: quando ocorre algum problema no sistema, não é necessário alterar as configurações em todos os endpoints para corrigi-lo.
A adoção das iniciativas do tipo ‘traga seu próprio dispositivo’ (BYOD) tem contribuído muito para o aumento da demanda da virtualização de áreas de trabalho. O conceito de uso de dispositivos próprios pelos funcionários pressupõe que os administradores de TI precisam supervisionar uma variedade maior de dispositivos, com sistemas operacionais, aplicativos disponíveis e requisitos de segurança diferentes. Para algumas empresas, a VDI é uma solução para esse problema, transformando um conjunto heterogêneo de várias plataformas em um ambiente de trabalho centralizado e de fácil manutenção.
De modo geral, as vantagens da VDI se encaixam em três categorias principais: potencial de economia de custos, melhor desempenho e segurança. No entanto, a maior controvérsia é que, às vezes, esses três fatores entram em conflito.
O caso da VDI: setor público
A infraestrutura de áreas de trabalho virtuais utiliza o hardware de servidor para executar sistemas operacionais de área de trabalho e software de aplicativos dentro de uma máquina virtual. Os usuários acessam essas áreas de trabalho virtuais usando seus computadores existentes ou outros dispositivos. Nesses cenários, os departamentos de TI são capazes de consolidar as funções dos endpoints de modo centralizado, em vez de gerenciar cada um deles individualmente. Essa mudança reduz os custos com aplicativos e de fornecimento de serviços, simplifica o backup do sistema e, em um cenário ideal, oferece aos usuários a experiência de trabalho usual, ao mesmo tempo que facilita o suporte de TI e a solução de problemas: quando ocorre algum problema no sistema, não é necessário alterar as configurações em todos os endpoints para corrigi-lo.
A adoção das iniciativas do tipo ‘traga seu próprio dispositivo’ (BYOD) tem contribuído muito para o aumento da demanda da virtualização de áreas de trabalho. O conceito de uso de dispositivos próprios pelos funcionários pressupõe que os administradores de TI precisam supervisionar uma variedade maior de dispositivos, com sistemas operacionais, aplicativos disponíveis e requisitos de segurança diferentes. Para algumas empresas, a VDI é uma solução para esse problema, transformando um conjunto heterogêneo de várias plataformas em um ambiente de trabalho centralizado e de fácil manutenção.
De modo geral, as vantagens da VDI se encaixam em três categorias principais: potencial de economia de custos, melhor desempenho e segurança. No entanto, a maior controvérsia é que, às vezes, esses três fatores entram em conflito.
O caso da VDI: setor público
As infraestruturas de áreas de trabalho virtuais podem ser valiosas para organizações onde há um desafio adicional em termos de requisitos de segurança, além da necessidade de melhorar o desempenho e a flexibilidade. Assim, os casos de uso mais frequentes da VDI ocorrem nos setores financeiro, de saúde e público; esses segmentos operam sob políticas rígidas de conformidade normativa. É notável o crescente interesse do setor público nas VDIs: 66% das organizações do governo admitem que houve um aumento no número de áreas de trabalho virtuais em suas infraestruturas nos últimos três anos.
O desenvolvimento das VDIs no setor governamental parece ter correlação com a tendência das iniciativas “traga seu próprio dispositivo” (BYOD), que têm surgido até mesmo nas agências do governo mais conservadoras. De acordo com o relatório de Riscos de Segurança de TI da Kaspersky, o número de smartphones usados no trabalho aumentou em 68% das organizações públicas entre 2014 e 2016. Algumas pessoas podem dizer que a VDI não é uma solução para as práticas BYOD, pois não tem flexibilidade e adota um paradigma superado, que enfatiza a função dos aplicativos da área de trabalho. Esse argumento pode ser válido em outros casos, mas a VDI ainda é uma boa opção para as agências do governo. A maioria dos funcionários não acessa aplicativos específicos com frequência, mas usa um conjunto padronizado de aplicativos (por exemplo, o Microsoft Office). Isso torna seu fornecimento via VDI um paradigma de trabalho.
O desenvolvimento dos sistemas de “governo eletrônico” é outro motivo para o favorecimento da virtualização de áreas de trabalho no setor público. Atualmente, espera-se que as agências do governo estaduais e locais disponibilizem seus serviços 24 horas por dia, sete dias por semana, mesmo com déficits no orçamento. A situação exige maneiras de otimizar a produtividade contando com recursos limitados de TI. Além de reduzir custos e aumentar a produtividade, as áreas de trabalho virtualizadas também possibilitam que os profissionais móveis do setor público, como agentes da previdência social e de polícia, tenham acesso aos dados de que precisam, quando precisam.
Com a evolução dos sistemas de governo eletrônico, as VDIs também continuarão tendo um papel importante no setor público por algum tempo. A demanda crescente de serviços, a redução nos orçamentos e a necessidade de melhorar o desempenho estabelecerão o interesse nas infraestruturas de áreas de trabalho virtuais escalonáveis e disponíveis. Porém, ainda precisamos considerar a segurança.
O dilema da relação segurança/desempenho
O desenvolvimento das VDIs no setor governamental parece ter correlação com a tendência das iniciativas “traga seu próprio dispositivo” (BYOD), que têm surgido até mesmo nas agências do governo mais conservadoras. De acordo com o relatório de Riscos de Segurança de TI da Kaspersky, o número de smartphones usados no trabalho aumentou em 68% das organizações públicas entre 2014 e 2016. Algumas pessoas podem dizer que a VDI não é uma solução para as práticas BYOD, pois não tem flexibilidade e adota um paradigma superado, que enfatiza a função dos aplicativos da área de trabalho. Esse argumento pode ser válido em outros casos, mas a VDI ainda é uma boa opção para as agências do governo. A maioria dos funcionários não acessa aplicativos específicos com frequência, mas usa um conjunto padronizado de aplicativos (por exemplo, o Microsoft Office). Isso torna seu fornecimento via VDI um paradigma de trabalho.
O desenvolvimento dos sistemas de “governo eletrônico” é outro motivo para o favorecimento da virtualização de áreas de trabalho no setor público. Atualmente, espera-se que as agências do governo estaduais e locais disponibilizem seus serviços 24 horas por dia, sete dias por semana, mesmo com déficits no orçamento. A situação exige maneiras de otimizar a produtividade contando com recursos limitados de TI. Além de reduzir custos e aumentar a produtividade, as áreas de trabalho virtualizadas também possibilitam que os profissionais móveis do setor público, como agentes da previdência social e de polícia, tenham acesso aos dados de que precisam, quando precisam.
Com a evolução dos sistemas de governo eletrônico, as VDIs também continuarão tendo um papel importante no setor público por algum tempo. A demanda crescente de serviços, a redução nos orçamentos e a necessidade de melhorar o desempenho estabelecerão o interesse nas infraestruturas de áreas de trabalho virtuais escalonáveis e disponíveis. Porém, ainda precisamos considerar a segurança.
O dilema da relação segurança/desempenho
As agências do governo coletam e armazenam enormes quantidades de informações sigilosas. Dados pessoais, ordens de trabalho, contratos, informações de pagamento e documentos confidenciais internos são transferidos diariamente pela rede. Isso gera um dilema complexo para alcançar o equilíbrio certo entre produtividade e segurança. Simplificando, os funcionários devem ter acesso total aos dados em seus laptops e smartphones, mas os dados não podem ser comprometidos.
Sozinha, a infraestrutura de áreas de trabalho virtuais facilita muito a proteção dos dados. Os laptops e outros dispositivos não guardam dados críticos; eles são armazenados em data centers extremamente protegidos, e os usuários têm acesso para trabalhar com eles apenas em suas áreas de trabalho virtuais. Por isso, as soluções de segurança dedicadas devem focar não apenas a proteção de dados, mas também precisam oferecer segurança em vários níveis contra diversas ameaças potenciais, como o ransomware, capazes de atingir áreas de trabalho virtuais da mesma forma que as estações de trabalho comuns.
Existem muitos mitos sobre a segurança das VDIs, mas a maioria dos problemas é causada por dois conceitos errôneos gerais que confundem as pessoas. O primeiro é de que a virtualização de áreas de trabalho significa que elas não podem mais ser atingidas por infecções. Isso não é verdade, pois apenas alguns tipos de malware não podem ser ativados em máquinas virtuais. Além disso, em caso de infecção, não é possível simplesmente acabar com a VM infectada: em uma rede virtualizada de alta velocidade, o malware poderia se disseminar rapidamente antes que aquele segmento inteiro da rede fosse desligado.
O segundo conceito errôneo é de que as áreas de trabalho virtuais precisam do mesmo tipo de proteção que as áreas de trabalho comuns (já que sua funcionalidade é semelhante). Nesse cenário, é possível instalar uma solução com agentes completos e distribuí-la em todas as VMs. Essas soluções, projetadas para a proteção de estações de trabalho físicas que têm recursos suficientes para executá-las, minam o principal objetivo da virtualização de áreas de trabalho, a otimização de recursos. O mesmo software é executado em todas as VMs, e o hipervisor distribui a capacidade de processamento e a memória entre elas, sobrecarregando o sistema. O trabalho está feito, podemos todos ir para casa agora.
Não é necessário explicar por que o primeiro conceito errôneo pode ter resultados drásticos, especialmente em agências do governo em que há rígidas políticas de segurança de dados em vigor. A implementação de um software de segurança pesado eliminaria todos os benefícios da VDI, como o aumento do desempenho e a redução de custos de compra e manutenção de hardware adicional. Considerando as tendências específicas que afetam a TI no setor público — déficits de orçamento e demanda cada vez maior de disponibilidade dos serviços, a segurança não pode prejudicar o desempenho. Há uma forma de garantir que isso não acontecerá.
Cuidando das necessidades de segurança
Sozinha, a infraestrutura de áreas de trabalho virtuais facilita muito a proteção dos dados. Os laptops e outros dispositivos não guardam dados críticos; eles são armazenados em data centers extremamente protegidos, e os usuários têm acesso para trabalhar com eles apenas em suas áreas de trabalho virtuais. Por isso, as soluções de segurança dedicadas devem focar não apenas a proteção de dados, mas também precisam oferecer segurança em vários níveis contra diversas ameaças potenciais, como o ransomware, capazes de atingir áreas de trabalho virtuais da mesma forma que as estações de trabalho comuns.
Existem muitos mitos sobre a segurança das VDIs, mas a maioria dos problemas é causada por dois conceitos errôneos gerais que confundem as pessoas. O primeiro é de que a virtualização de áreas de trabalho significa que elas não podem mais ser atingidas por infecções. Isso não é verdade, pois apenas alguns tipos de malware não podem ser ativados em máquinas virtuais. Além disso, em caso de infecção, não é possível simplesmente acabar com a VM infectada: em uma rede virtualizada de alta velocidade, o malware poderia se disseminar rapidamente antes que aquele segmento inteiro da rede fosse desligado.
O segundo conceito errôneo é de que as áreas de trabalho virtuais precisam do mesmo tipo de proteção que as áreas de trabalho comuns (já que sua funcionalidade é semelhante). Nesse cenário, é possível instalar uma solução com agentes completos e distribuí-la em todas as VMs. Essas soluções, projetadas para a proteção de estações de trabalho físicas que têm recursos suficientes para executá-las, minam o principal objetivo da virtualização de áreas de trabalho, a otimização de recursos. O mesmo software é executado em todas as VMs, e o hipervisor distribui a capacidade de processamento e a memória entre elas, sobrecarregando o sistema. O trabalho está feito, podemos todos ir para casa agora.
Não é necessário explicar por que o primeiro conceito errôneo pode ter resultados drásticos, especialmente em agências do governo em que há rígidas políticas de segurança de dados em vigor. A implementação de um software de segurança pesado eliminaria todos os benefícios da VDI, como o aumento do desempenho e a redução de custos de compra e manutenção de hardware adicional. Considerando as tendências específicas que afetam a TI no setor público — déficits de orçamento e demanda cada vez maior de disponibilidade dos serviços, a segurança não pode prejudicar o desempenho. Há uma forma de garantir que isso não acontecerá.
Cuidando das necessidades de segurança
Recentemente, fornecedores de soluções de segurança virtual e a Kaspersky Lab desenvolveram uma alternativa para garantir a proteção completa da infraestrutura de áreas de trabalho virtuais sem comprometer o desempenho. As soluções dedicadas de segurança para virtualização permitem associar as abordagens sem agentes e com agentes leves. O segundo tipo de implementação é especialmente conveniente nas VDIs, pois fornece a funcionalidade completa de segurança virtual em todas as VMs e contribui para a economia de recursos críticos de computação na infraestrutura virtualizada.
Mas os agentes de proteção de endpoints conhecidos têm algumas desvantagens quando implementados em VMs. Os surtos de verificações antimalware, a duplicação de componentes de segurança ‘pesados’ e as atualizações simultâneas podem gerar uma sobrecarga substancial sobre a RAM e os processadores. Os agentes leves ajudam a evitar esses problemas.
Diferente da abordagem sem agentes pura, os agentes leves são capazes de proteger efetivamente as máquinas virtuais porque têm acesso direto aos processos do sistema central e da memória das VMs. Eles possibilitam o uso de tecnologias de segurança avançada, como controle da Web, proteção contra os crescentes ataques de ransomware, controle de aplicativos e dispositivos, além de permitir impedir a verificação de portas, um truque predominante entre os hackers para tentar coletar informações sobre o computador visado.
Nas agências do governo em que os endpoints ficam especialmente expostos e é necessário cuidar melhor da segurança, a abordagem de agentes leves pode ser um facilitador para o que há de melhor na virtualização de áreas de trabalho: maior desempenho, otimização de recursos e segurança suficiente, tudo funcionando em sintonia para o fornecimento eficiente de serviços.
Mas os agentes de proteção de endpoints conhecidos têm algumas desvantagens quando implementados em VMs. Os surtos de verificações antimalware, a duplicação de componentes de segurança ‘pesados’ e as atualizações simultâneas podem gerar uma sobrecarga substancial sobre a RAM e os processadores. Os agentes leves ajudam a evitar esses problemas.
Diferente da abordagem sem agentes pura, os agentes leves são capazes de proteger efetivamente as máquinas virtuais porque têm acesso direto aos processos do sistema central e da memória das VMs. Eles possibilitam o uso de tecnologias de segurança avançada, como controle da Web, proteção contra os crescentes ataques de ransomware, controle de aplicativos e dispositivos, além de permitir impedir a verificação de portas, um truque predominante entre os hackers para tentar coletar informações sobre o computador visado.
Nas agências do governo em que os endpoints ficam especialmente expostos e é necessário cuidar melhor da segurança, a abordagem de agentes leves pode ser um facilitador para o que há de melhor na virtualização de áreas de trabalho: maior desempenho, otimização de recursos e segurança suficiente, tudo funcionando em sintonia para o fornecimento eficiente de serviços.
Nenhum comentário