Oggi molte aziende ricorrono alla virtualizzazione delle proprie infrastrutture tecnologiche, soprattutto per risparmiare ma anche per abilitare il proprio business e porre le basi per un futuro "in the cloud". Se la virtualizzazione, però, è mediamente adottata e rappresenta un passaggio obbligato per approcciare il cloud computing, sono ancora molti i rischi legati a un'inadeguata gestione della sicurezza.
Lo rivela l'indagine "Security-An Essential Prerequisite for Success in Virtualisation", commissionata da CA Technologies a KuppingerCole, società europea di ricerca e analisi, condotta su un campione di 335 responsabili IT e aziendali di 15 Paesi (Usa e Europa, inclusa l'Italia).
Lo studio evidenzia che alcuni aspetti cruciali quali i privilegi da ‘Hypervisor' e un'espansione incontrollata dei dati (il noto fenomeno del ‘data sprawl') sarebbero trascurati o non trattati in modo adeguato dalle tecnologie e procedure adottate attualmente per rendere sicuri gli ambienti virtualizzati.
"La sicurezza è un requisito fondamentale soprattutto in ambiente virtualizzato, commenta Elio Molteni, Senior Technology Specialist di CA Technologies. Quando si decide di virtualizzare un ambiente è necessario tenere in considerazione sin dall'inizio il tema della sicurezza. Questo non vuol dire che laddove si ha già un ambiente virtualizzato e non ci si è  preoccupati prima di metterlo in sicurezza non lo si possa fare in una fase successiva. Il consiglio per i nuovi progetti, però, è quello di considerare la sicurezza degli ambienti un elemento da inserire dall'inizio, come parte integrante della strategia di virtualizzazione".
Come emerge dalla ricerca il ‘data sprawl' è il rischio maggiore a cui vanno incontro gli ambienti virtualizzati, considerato ‘molto importante' o ‘importante' dall'81% del campione. Per mitigare  tale rischio vengono in aiuto le strategie di Data Loss Prevention (Dlp), messe però in atto solo dal 38% delle organizzazioni intervistate.
Il 73% delle organizzazioni teme inoltre che i privilegi di accesso concessi agli Hypervisor inducano errori o abusi da parte degli utenti privilegiati. L'account amministrativo di Hypervisor ha infatti notevoli privilegi d'accesso con pochissime restrizioni o controlli sulla sicurezza. E l'Hypervisor introduce un ulteriore livello negli ambienti virtualizzati, creando nuove ‘superfici d'attacco' e favorendo eventuali abusi per mano di utenti privilegiati. Pur di fronte a tali criticità, lo studio evidenzia che quasi la metà delle aziende (il 49%) non ha implementato né una funzione di Privileged User Management (Pum), né una soluzione per la gestione dei log di security.
"Un utente privilegiato - per esempio il Root in ambiente Linux, piuttosto che l'Admin in ambiente Windows - dichiara Molteni - ha dei poteri enormi, molto spesso non controllati, sottolinea Molteni. Per supplire a tale problema CA Technologies offre una soluzione basata sulla tecnologia di 'Access Control' per gestire al meglio gli amministratori. E' di fondamentale importanza, infatti, poter ricondurre un utente privilegiato a un utente reale, fisico. La tecnologia in questione fa sì che venga  tracciato il fatto che un amministratore è identificato e utilizzato in maniera univoca."
Negli ambienti virtualizzati inoltre il requisito di 'separation of duties', il pilastro della sicurezza per il contenimento dei rischi, è ancora più sentito. Dietro questo concetto si pone tutta la sicurezza legata all'Identity & Access Management, tematiche ampiamente coperte da CA Technologies con la propria strategia denominata Content Aware Identity and Access Management.
In riferimento a ciò, dall'indagine emerge che solo il 65% degli intervistati conferma di attuare una separazione dei poteri per le mansioni amministrative su piattaforme virtuali. Anche in questo caso le misure adottate sono attualmente molto inadeguate. Oltre il 40% dei responsabili interpellati non utilizza i software necessari per automatizzarne l'applicazione della cosiddetta separation of duties, quali i tool di Access Certification, Privileged User Management o Log Management e solo il 42% degli intervistati esegue regolarmente la certificazione degli accessi degli utenti privilegiati o è in grado di monitorarli e tenerne adeguatamente traccia. Tutto ciò sta a significare che le tecnologie d'automazione disponibili per attenuare i rischi posti dagli accessi privilegiati negli ambienti virtualizzati sono scarsamente diffuse; ancora troppe attività di sicurezza infatti sono ancora dipendenti da processi manuali che compromettono la sicurezza dell'organizzazione. "Se si pensa di trattare e gestire un ambiente virtualizzato come se fosse un ambiente fisico probabilmente si è intrapreso la strada sbagliata, commenta Molteni. Se l'obiettivo della virtualizzazione degli ambienti è quello di avere dei ritorni reali, infatti, un ambiente virtualizzato deve essere corredato da un'elevata automazione altrimenti non avrebbe senso passare da un ambiente fisico a uno virtuale".
E  la maggioranza delle aziende non è consapevole di quanto sia importante integrare la gestione della sicurezza con la gestione dell'infrastruttura e dei servizi per realizzare i necessari livelli d'automazione negli ambienti virtualizzati. Infatti, nonostante il 39% del campione ritenga che per proteggere gli ambienti virtuali sia necessaria un'automazione maggiore rispetto a quelli fisici, l'integrazione fra il Security Management e l'Infrastructure & Service Management è considerata meno importante per la sicurezza della virtualizzazione. E ancora peggiore sembrerebbe essere lo stato dell'integrazione fra Virtualisation Management, Security Management e Service Management.
E non bisogna dimenticare il rispetto della compliance. Ancora una volta, l'ambiente virtualizzato non è esente dall'essere sottoposto a regole di compliance: "Per questo, afferma Molteni, deve esserci un adeguato sistema di Log Mangement, di tracciamento delle attività. Senza dimenticare la certificazione degli accessi." In un ambiente virtualizzato significa passare dalla concessione delle autorizzazioni di accesso in modo discrezionale rispetto a un modo mandatorio. Vuol dire che discrezionalmente si attribuscono a certi soggetti le autorizzazioni di accesso, ma si potrebbero anche favorire questi soggetti. Per evitare tutto ciò ci vuole un Access Certification."
In sostanza, enfatizza Molteni: "Fare sicurezza in un ambiente virtualizzato significa fare altrettanto se non di più rispetto agli ambienti fisici, poiché questi ultimi hanno a livello intrinseco un livello di sicurezza ‘superiore' all'ambiente virtualizzato in quanto c'è di mezzo anche la fisicità. Mancando dall'ambiente virtualizzato questa fisicità, ecco che allora che questa separazione fisica degli ambienti viene a mancare".  CA Technologies ha lavorato molto per trasformare il concetto della separazione fisica in una "separation of duties" di tipo logico."
"Nell'ambito del ‘physical virtual', spiega Molteni, ciò che è importante è l'approccio unificato, offerto da fornitori indipendenti come CA Technologies: sia che si tratti di macchine fisiche sia che siano ambienti virtuali l'approccio alla sicurezza deve essere univoco. L'uniformità di approccio consente di ottimizzare gli ambienti in termini di gestione e garantire un livello maggiore di sicurezza." 

[tit:Virtualizzazione e sicurezza: una combinazione necessaria]
Ma qual è lo stato dell'arte della virtualizzazione? E quali i principali freni all'adozione?
Il percorso verso un'adozione diffusa è ancora lungo. Solo il 34% delle aziende  del campione utilizza la virtualizzazione dei server per più della metà dei propri sistemi. La virtualizzazione di storage, applicazioni e desktop è ancora più indietro: è utilizzata per più della metà dei sistemi solo, rispettivamente, dal 16%, 10% e 8% delle realtà interpellate.
Si riccorre alla virtualizzazione soprattutto per migliorare l'efficienza operativa dell'IT (citata dal 91% degli intervistati), mentre la sicurezza rappresenta un nodo cruciale quando si tratta di adottare ambienti virtualizzati. Il 39% ritiene che questi ultimi siano più difficili da proteggere di quelli fisici. Il maggior freno inibitore all'implementazione di funzioni di virtualisation security è rappresentato dalla mancanza di skill (19%) anche se i fattori più citati sono stati ‘budget e costo iniziale dell'implementazione' dal 55% degli intervistati e ‘la complessità di gestire la sicurezza su piattaforme e ambienti virtuali di fornitori diversi' dal 53%. Budget e costi iniziali costituiscono delle vere e proprie barriere all'adozione. 
La maggioranza delle aziende ricorre  almeno a due fornitori di tecnologie di virtualizzazione: VMware è impiegato dall'83% degli intervistati, Citrix dal 52% e Microsoft (in particolare Hyper-V) dal 41%. L'84% dei responsabili interpellati ha inoltre dichiarato di preferire soluzioni integrate per proteggere indifferentemente ambienti sia virtualizzati che fisici; eppure solo il 56% ha implementato o sta per implementare medesime soluzioni di security per ambienti fisici e virtuali.
Di fronte a un quadro così delineato emerge quanto sia importante adottare strategie e strumenti in grado di supportare in modo flessibile piattaforme eterogenee, consentendo la gestione unificata dei sistemi virtuali e di quelli fisici.
CA Technologies si muove proprio in questa direzione, proponendo una strategia, denominata Content Aware Identity and Access Management, che va a coprire tutte le tematiche citate e che affianca il controllo dell'informazione e della compliance alla gestione delle identità e degli accessi.