Subir Archivo

trabalho pim ii

21
CAPA

Upload: c1r1lo

Post on 04-Jul-2015

1.480 views

Category:

Documents


10 download

Report

TRANSCRIPT

Page 1: Trabalho PIM II

CAPA

Page 2: Trabalho PIM II

FOLHA DE ROSTO

Page 3: Trabalho PIM II

ResumoVirtualização é uma palavra-chave de alta tecnologia usada amplamente hoje em dia, mas sua importância crescente se baseia em mais do que um capricho passageiro das pessoas. Com seu potencial para reduzir despesas de capital e custos de energia, a virtualização representa uma solução atrativa para empresas que buscam economizar dinheiro e gerar valor de seus investimentos emTI. A virtualização pode sem dúvida oferecer muitos benefícios para as empresas, mas os benefícios devem ser pesados em relação às possíveis ameaças aos ativos de informação e ao negócio em si. Este documento examina alguns dos benefícios para o negócio que resultam em soluções virtualizadas, identifica problemas de segurança e sugere possíveis soluções, investiga alguns fatores sobremudanças que devem ser considerados antes de migrar para um ambiente virtualizado e oferece orientações práticas sobre auditoria de sistemas virtualizados.

Page 4: Trabalho PIM II

ABSTRACT

Virtualization is a key word in high technology widely used today, but its growing importance is based on more than a passing fancy of people. With its potential to reduce capital spending and energy costs, virtualization is an attractive solution for companies looking to save money and create value from their investments in IT. Virtualization can certainly offer many benefits for companies, but the benefits must be weighed against the potential threats to information assets and the business itself. This document examines some of the business benefits that result in virtualized solutions, identifies security problems and suggests possible solutions, investigates some factors on changes that must be considered before migrating to a virtualized environment and provides practical guidance on audit of virtualized systems.

Page 5: Trabalho PIM II

SUMÁRIO

Page 6: Trabalho PIM II

INTRODUÇÃO

O que ontem parecia coisa do futuro, hoje já se tornou indispensável para as empresas e para o meio ambiente: substituir diversos servidores físicos por virtuais. É a era da Virtualização, forma cada vez mais comum de praticar TI Verde e levar as vantagens da tecnologia não só para a sustentabilidade dos negócios como também para o  meio ambiente.

A Virtualização pode ser entendida como a criação de um ambiente virtual que simula um ambiente real, propiciando a utilização de diversos sistemas e aplicativos sem a necessidade de acesso físico à máquina na qual estão hospedados. Ou seja, conseguimos rodar, em uma mesma máquina física, uma máquina virtual  com o sistema operacional Windows e outra com o Linux, todos ao mesmo tempo.

Mas o que isso traz realmente de beneficio para quem adota alguma plataforma de virtualização? “Grande redução de custos, entre outros, com energia. Imagine um ambiente com vários equipamentos e cada um com uma ou duas fontes. Por fim, precisam de um ambiente refrigerado e profissionais para administrar. Agora, imaginemos que todos esses equipamentos cabem dentro de uma máquina somente.

A redução, que chega até a 80% dos gastos, inclui ainda equipamentos, sistemas de refrigeração, espaço e mão-de-obra, pois enquanto um profissional gerencia, no máximo, 10 servidores físicos, o mesmo consegue gerenciar 30 virtuais. E o meio ambiente também agradece, pois, além de ajudar a reduzir a emissão de CO2 para a fabricação energia elétrica, a virtualização ajuda a diminuir o impacto de futuros descartes de equipamentos.

O objetivo deste trabalho é estudar e argumentar como a utilização da virtualização pode trazer benefícios para a empresa e para a sociedade num modo geral.

Page 7: Trabalho PIM II

Impactos da virtualizaçãoPor definição, a virtualização está apresentando algo de forma virtual (em vez de física). Em tecnologia de informação (TI) corporativa, a virtualização altera a arquitetura técnica, pois permite que recursos diferentes sejam executados emum ambiente único (ou de várias camadas). Em geral, ela transforma um hardware no host para vários outros hardwares e, consequentemente, ao longo do tempo, tem o potencial de reduzir despesas de capital, custos de administração e outroscustos financeiros da empresa.A virtualização, como termo e conceito, tem ampla utilidade e pode ser aplicada a diversas áreas: servidores virtualizados, armazenamento virtualizado, processadores virtualizados, memória virtual, áreas de trabalho virtuais, redes virtualizadas etc. Devido à sua extensa aplicação e à redução de custos, a virtualização está sendo avaliada pelos CIOs (Diretores de informática) em todo o mundo, à medida que planejam uma estratégia sobre como proporcionar agilidade e potência em computação para atender às necessidades de suas empresas. Além disso, como as organizações atualmente requerem uma maneira rápida e confiável de fornecer recursos técnicos que possibilitem tempo mais rápido de colocação no mercado, a virtualização está na pauta da diretoria e já está aprimorando a eficácia de muitas empresas em todo o mundo.Originalmente, a virtualização foi usada na maioria das vezes para facilitar a consolidação de servidor, porém agora muitas outras abordagens se apresentam. A virtualização tem início durante a fase de projeto do ambiente técnico, quando a equipe de projeto considera como oferecer suporte aos processos de negócios e identifica ativos necessários para converter o plano em realidade. É durante essa fase que as empresas geralmente percebem que o ciclo de vida de fornecimento do hardware correto e de outros equipamentos pode durar mais do que o esperado e que existe uma maneira mais rápida de implantá-los: desenvolvendo alguma abstração do universo físico e hospedando recursos virtuais distintos dentro dos limites de um recurso físico exclusivo. “Virtual” é o oposto de “físico”, não de “real”. A virtualização é muito real; ela está aqui para ficar e algumas tecnologias novas, como computação em nuvem e em grade, dependem dela para cumprir com seu potencial.

Benefícios comerciais da virtualizaçãoHá vários benefícios na implementação da virtualização na TI da empresa. Entre eles:• Redução de custo - consolidando várias instâncias de servidores (virtualizados) em um servidor físico, as empresas reduzem seus gastos com hardware. Além de reduzir gastos de capital, os ambientes virtualizados permitem que as empresas economizem em manutenção e energia, geralmente resultando na redução do custo total de propriedade (TCO).• Automação - a tecnologia permite que alguns ambientes virtualizados sejam fornecidos conforme a necessidade e dinamicamente, facilitando, assim, a automação de processos de negócios e eliminando a necessidade de continuamente prover recursos e gerenciar partes do ambiente técnico que oferecem suporte a necessidades comerciais esporádicas.

Page 8: Trabalho PIM II

Algumas tecnologias de virtualização facilitam a alocação automática de um processo para seu desempenho ideal em um conjunto de ambientes virtualizados.• Rapidez de resposta - como o ambiente virtual tem a capacidade de provisionar a si mesmo para obter o melhor dos recursos disponíveis, os tempos de resposta são mais rápidos e os tempos de inatividade podem ser reduzidos a quase zero, melhorando a agilidade e o desempenho.• Dissociação - processos que antes precisavam estar em uma mesma máquina física agora podem ser facilmente separados, embora ainda preservando a solidez e a segurança necessárias. Os diferentes universos virtualizados (rede, sistema operacional [SO], banco de dados, aplicativo etc) podem ser dissociados (até distribuídos em localizações geográficas distintas) sem ameaçar a integridade do processo.• Flexibilidade - a criação ou a preparação relativamente fácil do ambiente adequado para o aplicativo correto permite que as empresas ofereçam flexibilidade à infraestrutura, não apenas nas fases de teste ou pré-produção, mas também naárea de produção. Quando surge um novo procedimento ou requisito técnico/comercial, a capacidade da virtualização de permitir uma criação rápida do ambiente possibilita às empresas testar o ambiente sem ter que esperar que o processo de fornecimento regular seja executado e fornecido.• Agilidade - a agilidade facilita a adaptação rápida às necessidades do negócio, por exemplo, quando ocorre um pico de pedidos e se faz necessário potência em computação. Uma empresa pode até mesmo optar por comprometer em excessoos recursos de uma máquina física, uma vez que a virtualização facilita a movimentação rápida dos diversos recursos “que habitam” em uma máquina física para outras máquinas virtuais. Dessa forma, a virtualização oferece suporte dealinhamento às necessidades do negócio.• Balanceamento de carga de trabalho - a implantação de vários ambientes virtuais garante as práticas recomendadas de alta disponibilidade, redundância e failover, pois cargas de trabalho podem seguir para onde são mais eficientes.Assim, a virtualização se concentra não apenas na eficácia (fazendo as coisas corretamente), mas também na eficiência (fazendo as coisas de maneira mais rápida, mais barata e mais confiável).• Simplificação - a TI virtual é ainda TI, portanto, algumas das dificuldades típicas de TI estão presentes mesmo em um ambiente virtual. No entanto, reduzir o número de servidores físicos reduz significativamente a probabilidade de falha e os custos de gerenciamento e resultados em simplificação, uma das promessas da virtualização.• Utilização de espaço - a consolidação de servidor economiza espaço na central de dados e facilita a escalabilidade, pois há vários servidores em um servidor.• Sustentabilidade - ambientes virtualizados usam menos recursos ambientais. É comum o desperdício no consumo de energia nas centrais de dados em máquinas que não são aproveitadas de maneira consistente. Como a virtualização permite que várias máquinas virtuais sejam executadas em uma máquina física, é necessário menos energia para ligar e resfriar dispositivos.Figura 1 - Cinco motivos para virtualizarCinco motivos para virtualizar

Page 9: Trabalho PIM II

1. Redução da complexidade de TI. Aplicativos e seus sistemas operacionais são encapsulados em máquinas virtuais que são definidas nosoftware, tornando-os fáceis de provisionar e gerenciar.2. Possibilidade de padronização. Como aplicativos são dissociados do hardware, a central de dados pode convergir em um númeromenor de dispositivos de hardware.3. Melhora na agilidade. Aplicativos e máquinas virtuais podem ser copiados e movidos em tempo real, e na nuvem, emresposta às mudanças nas condições comerciais.4. Melhora na eficiência de custos. Máquinas virtuais podem ser facilmente mobilizadas para consumir capacidade ociosa sempre quehouver, gerando assim mais trabalho de menos hardware.5. Facilidade de automação. A infraestrutura virtual é facilmente fornecida e orquestrada por processos orientados ao software,especialmente quando o hardware subjacente é padronizado.

Page 10: Trabalho PIM II

Riscos e questões de segurança com a virtualizaçãoComo acontece com qualquer tecnologia, existem riscos associados à virtualização. Esses riscos podem ser classificados em três grupos:• Ataques à infraestrutura de virtualização - há dois tipos principais de ataques à infraestrutura de virtualização:hyperjacking e salto de máquina virtual (VM) (ou guest-hopping). Hyperjacking é um método de injetar um hipervisor invasor (também chamado de monitor de máquina virtual [VMM]) sob a infraestrutura legítima (VMM ou SO), com controle sobre todas as interações entre o sistema de destino e o hardware. Alguns exemplos de ameaças no estilo hyperjacking incluem Blue Pill,1 SubVirt2 e Vitriol.3 Essas provas de conceito e sua documentação associada ilustram várias maneiras de atacar um sistema para injetar hipervisores invasores em sistemas operacionais ou sistemas de virtualização existentes. Medidas de segurança regulares são ineficazes contra essas ameaças, pois o SO, executado acima do hipervisor invasor, não sabe que a máquina foi comprometida. Até hoje, o hyperjacking ainda é apenas um cenário de ataque teórico, mas tem atraído atenção considerável da imprensa devido ao dano potencial que pode causar.O salto de VM ou guest-hopping é uma possibilidade mais realista4 e representa uma séria ameaça. Normalmente, esse método de ataque explora as vulnerabilidades nos hipervisores que permitem que malwares ou ataques remotos comprometam proteções de separação de VM e obtenham acesso a outras VMs, hosts ou até ao próprio hipervisor. É comum esses ataques serem consumados depois que o agressor obtém acesso a uma VM de baixo valor, portanto,menos segura, no host, que é então usada como ponto de partida para novos ataques no sistema. Alguns exemplos usaram duas ou mais VMs comprometidas em conivência para permitir um ataque bem sucedido contra VMs seguras ou ao próprio hipervisor.• Ataques a recursos de virtualização - embora haja vários recursos de virtualização que podem ser alvos de exploração, os alvos mais comuns incluem funções de migração de VM e rede virtual. Se a migração de VM for feita de forma insegura, pode expor todos os aspectos de uma determinada VM tanto para detecção passiva quanto para ataques de manipulação ativa. “Empirical Exploitation of Live Virtual Machine Migration” (Exploração empírica de migração de máquina virtual ativa), de Oberheide, Cooke e Jahanian,5 mostra exemplos de detecção de senhas e chaves da memória, bem como métodos de manipulação de configuração do sistema enquanto VMs são migradas pela rede.Um exemplo também é descrito sobre como injetar malware dinamicamente na memória de uma VM. “Virtualization: Enough Holes to Work Vegas” (Buracos suficientes para trabalhar o Vegas), uma apresentação de D.J. Capelis,6 ilustraproblemas de segurança com os recursos de rede e suporte normalmente usados por infraestruturas de virtualização.Outros exemplos de rede incluem as diferentes formas pelas quais podem ser explorados a atribuição de endereço de controle de acesso de mídia (MAC), o roteamento local e o tráfego de camada 2. É importante observar que o plano de

Page 11: Trabalho PIM II

rede virtualizada local no sistema funciona diferentemente da rede externa do “mundo real”, e muitos dos controles e mecanismos de segurança disponíveis na rede externa não são prontamente aplicáveis ao tráfego local no sistema entre as VMs.• Desafios de conformidade e gerenciamento - auditoria e aplicação de conformidade, bem como gerenciamento do sistema diário, são problemas desafiadores ao lidar com sistemas virtualizados. A dispersão de VM apresenta umdesafio à empresa. Como VMs são muito mais fáceis de fornecer e implantar do que sistemas físicos, o número e os tipos de VMs podem facilmente ficar fora de controle. Além disso, o fornecimento de VM geralmente é administrado por grupos diferentes em uma organização, dificultando para a função de TI controlar que aplicativos, sistemas operacionais e dados são implantados neles. A difusão de VMse mesmo VMs inativas tornará um desafio obter resultados precisos de avaliações de vulnerabilidade, patches/ atualizações e auditoria.

Estratégias de abordagem dos riscos da virtualizaçãoAtualmente, o melhor método para atenuar a ameaça de hyperjacking é usar ainicialização confiável e segura de raiz de hardware do hipervisor. Tecnologiasno processador e em chipsets, juntamente com a Tecnologia de execuçãoconfiável (TXT) e o Módulo de plataforma confiável (TPM), oferecem osingredientes necessários para executar uma inicialização segura ou medida dosistema do hardware pelo hipervisor (às vezes chamado de MLE, ou ambientede inicialização medida). O Grupo de computação confiável (TCG)7 definiuum conjunto de padrões para executar uma inicialização medida baseadaem hardware e para criar a cadeia de confiança de hardware para o MLE. Fabricantes e fabricantes de equipamentos originais (OEMs), bem como vários fornecedores de software de virtualização, adotaram implementações de inicialização medida e raízes de confiança compatíveis com TCG.

Habilitar e usar esses recursos ajudará a gerenciar os riscos associados ao hyperjacking.Tratar os riscos associados ao salto de VM e a ataques de migração de máquina virtual começa por se lembrar de que o hipervisor e os convidados por ele suportados são softwares e, como tal, precisam ser corrigidos e reforçados.O uso de isolamento e segmentação também reduzirá em muito os riscos. É eficaz usar separação física, de rede e baseada em virtualização para segmentar VMs e sistemas e para combinar a separação com a política de aproveitamento ou níveis de segurança para agrupar VMs e aplicativos semelhantes juntamente, de modo que umaplicativo de baixo valor (e, portanto, menos examinado) não poderá ter um impacto negativo em VMs e aplicativos de alto valor. A segmentação de VM pode ser implementada pela infraestrutura de gerenciamento de virtualização ou podeser obtida manualmente, dependendo das ferramentas e dos produtos usados. A segmentação também é uma ferramenta importante ao lidar com os riscos de rede associados à virtualização. Como observado anteriormente, separar VMs de

Page 12: Trabalho PIM II

posturas de segurança divergentes reduz o risco para as VMs de maior valor.Além disso, o uso de criptografia de transporte é recomendado para uma migração de VM segura. Túneis de rede privada (VPN) podem ser implantados de sistema para sistema ou, em alguns casos, é possível aproveitar recursos disponíveis defornecedores de virtualização ou soluções de software de segurança que oferecem migração de VM criptografada.Resolver os desafios de gerenciamento e conformidade requer a implementação de produtos e serviços de gerenciamento conscientes da virtualização, bem como produtos de segurança conscientes da virtualização. Isso permite que a infraestrutura de gerenciamento existente reconheça e monitore VMs assim como faz com sistemas e aplicativos na central de dados. Há produtos especificamente desenvolvidos para gerenciamento de segurança de virtualização, e complementos ou atualizações de produtos de infraestrutura existentes que oferecem conscientização de virtualizaçãoe os recursos de conformidade e gerenciamento necessários.

Problemas de governança e de mudança com a virtualizaçãoEm um nível simplificado, a governança de TI corporativa pode ser definidacomo o processo que garante que a TI se alinhe com a estratégia de negócios epromova com eficácia os objetivos organizacionais. Assim como a virtualizaçãode servidor impacta o cenário geral de tecnologia, seu uso crescente tambémimpacta a governança de TI corporativa de várias áreas críticas. Esse impactopode ser melhor compreendido considerando-se as várias características devirtualização e seus impactos potenciais positivos ou negativos.Um objetivo comum de esforços para administrar a TI de uma empresa é garantir que a TI possa oferecer, rápida e flexivelmente, soluções tecnológicas que deem suporte à realização de metas comerciais gerais da empresa. A virtualizaçãode servidor auxilia nessa área, pois a virtualização pode levar a um ritmo de construção e implantação mais rápido por meio do uso de ferramentas e tecnologias que eliminam a necessidade de montagem física de computador quando novos sistemas são provisionados. O controle de custos também é um foco central da governança de TI, e a virtualização também pode ser fornecida nessa área, reduzindo os custos de hardware, energia e instalação da empresa.Outra meta comum da governança de TI é garantir a continuidade de negócios através de soluções tecnológicas robustas que podem tratar e se adaptar a cenários de maior carga e desastres. A virtualização de servidor permite recursos significativosnessas áreas, oferecendo à organização de TI opções anteriormente indisponíveis para dimensionar a carga flexivelmente e mudar e alinhar dinamicamente os recursos para responder à continuidade dos negócios e a eventos de desastre.

Page 13: Trabalho PIM II

No lado negativo, mais virtualização apresenta alguns riscos às metas de governança de TI. Um dos principais riscos está relacionado aos conjuntos de habilidades e experiência organizacional disponíveis para dar suporte ao uso da virtualização de servidor em ambientes de missão crítica. Embora a virtualização tenha se tornado bastante comum, ela ainda é uma tecnologia relativamente nova e as organizações podem ter dificuldade em garantir os trabalhadores experientes necessários para assegurar que a TI seja capaz de cumprir suas metas. Um risco relacionado está associado às funções e responsabilidades envolvidas no gerenciamento de uma infraestrutura virtualizada. Tradicionalmente, a tecnologia tem sido gerenciada por TI em várias áreas funcionais e técnicas, como armazenamento, rede, segurança ecomputadores/servidores. Com a virtualização, essas linhas ficam significativamente indistintas, assim, empresas que adotam a virtualização precisam amadurecer seus modelos de suporte para obter todos os benefícios que a virtualização pode oferecer.

Mudança organizacionalComo com a governança de TI em geral, a virtualização de servidor gera uma série de questões importantes relacionadas à mudança organizacional de TI. A primeira mudança, e provavelmente a mais significativa, diz respeito ao gerenciamentode tecnologia e ao modelo de suporte associado da camada de virtualização. A virtualização apresenta uma nova camada de tecnologia e, com ela, um novo requisito de administração e gerenciamento. Para integrar a virtualização com êxito e garantirque a mudança organizacional associada seja implementada, as empresas devem considerar onde ficará a responsabilidade pela arquitetura e gerenciamento de virtualização.Outra área chave da mudança organizacional de TI é o ciclo de vida do gerenciamento de sistema, desde a aquisição e a implantação até a baixa e a desativação do serviço. Historicamente, o processo de implantação tem dependido dos processos de pedido e aquisição de hardware, que foram predecessores da instalação física de servidor e da liberação para a produção. De certa forma, isso ajudou a facilitar um ciclo de vida controlado, orientado por listas de verificação e processos de compra, instalação física, compilação e configuração, além de liberação para produção. Com avirtualização, um servidor (ou grupos de servidores) pode ser implantado na produção com um único clique do mouse, contornando provavelmente os controles associados ao gerenciamento de ciclo de vida do sistema tradicional. No lado positivo, o ciclo de vida do sistema virtual é leve, flexível e inteiramente contido e visível em uma única infraestrutura de gerenciamento, o que oferece à organização de TI uma visão do início ao fim do ciclo de vida. Organizações de TI que modificam processos operacionais para aproveitar ao máximo essa agilidade e visibilidade estão melhor equipadas para maximizar seu investimento em virtualização.Ao fazer a transição para um ambiente virtualizado, é importante que profissionaisde TI trabalhem com os profissionais de dentro da TI, tais como segurança,desenvolvedores de sistema e suporte, e com profissionais de fora da TI, como escritório de gerenciamento do projeto e auditoria. É essencial que todas as partes envolvidas compreendam as mudanças no

Page 14: Trabalho PIM II

processo de negócios ocorridas como um resultado da migração para um ambiente virtualizado.

Considerações sobre qualidade da virtualizaçãoO processo de avaliação compara métricas do estado atual aos padrões da empresa. As recomendações de padrões de controle e segurança de virtualização foram criadas por organizações profissionais de segurança e controle independentes (como a ISACAe o Center for Internet Security), fornecedores (fornecedores do hipervisor e fornecedores do setor de venda de produtos e serviços relacionados) e agências do governo (por exemplo, US Defense Information Systems Agency Security TechnicalImplementation Guide [DISA STIG] para virtualização). Esses documentos produziram uma variedade de referenciais que podem ser usados para ajudar a garantir que o padrão da empresa abordou riscos específicos corretamente e que nenhum riscofoi negligenciado.

Avaliando riscos de infraestruturaUma combinação de técnicas de avaliação de alta e baixa tecnologia pode ajudar bastante o auditor no universo virtualizado.Essas implantações de virtualização líderes devem ter uma estratégia documentada para garantir que o software e o hardware do hipervisor sejam compatíveis com os requisitos do(s) hipervisor(es) escolhido(s). O auditor deve revisar a documentação de suporte desses componentes para confirmar a capacidade do componente de cumprir com a agilidade,a continuidade e outros itens da implantação coerentes com a estratégia de negócios da empresa.A observação dos processos de início do host pode garantir verificações técnicas adequadas e chamada de TPM antes da inicialização do SO. Além disso, pode determinar se outras etapas e configurações de pré-hipervisor (BIOS, carregadorde inicialização etc.) são chamadas de acordo com os padrões da empresa. A segurança física pode não ser a mais recente entre as técnicas de atenuação de risco, porém a avaliação de virtualização do auditor deve garantir que todo hardwarerelacionado esteja restrito adequadamente em relação ao acesso físico, reduzindo, assim, a chance de alteração de processos de inicialização da CPU. Além disso, os auditores devem revisar qualquer metodologia remota que dê acesso à placa-mãe do host para inicialização remota, a fim de garantir que a configuração permita apenas o uso autorizado.A máquina virtual convidada deve se comunicar com o host para receber e usar recursos. Entretanto, cabe ao host a determinação final em relação aos canais de comunicação usados e aos resultados de solicitações. Os procedimentos deavaliação devem garantir que o hipervisor e as ferramentas de gerenciamento relacionadas sejam mantidos atualizados com patches do fornecedor para que a comunicação e as ações relacionadas ocorram conforme planejado.O auditor também precisa verificar a configuração do host e as ferramentas de gerenciamento relacionadas, de acordo com o padrão da empresa (que foi comparado com os padrões do setor mencionados anteriormente). Há

Page 15: Trabalho PIM II

várias maneiras de reunir métricas de configuração de hipervisores e de outras ferramentas de gerenciamento do fornecedor.A reunião de métricas de baixo custo pode incluir os comandos no console do console do host, ferramentas gratuitas desenvolvidas pelo fornecedor que coletam métricas (embora possam estar limitadas ao número de hosts ou ao número de recursos avaliados) e interfaces para programação de aplicativos (APIs) gratuitas e ferramentas de script oferecidas por fornecedores do hipervisor para extrair informações de seus hosts de forma automatizada e programada. Alternativas de custos à margem para reunião de métricas de host também incluem ferramentas de gerenciamento de fornecedor e ferramentas de gerenciamento ou segurança de terceiros, se já tiverem sido adquiridas pela empresa. Finalmente, há ferramentas comerciais de diversas faixas de preço para descobrir e determinar a área ocupada pelo ambiente virtual.

Avaliando riscos de recursosConvidados virtuais transferem suas informações pela rede da empresa para produção, otimização, continuidade ou por outros motivos. Todos os caminhos de rede usados devem ser usados apenas por convidados autorizados; normalmente,o auditor pode revisar a segmentação de redes pelo console de gerenciamento. O auditor deve verificar se: os hosts em grupos semelhantes e convidados atendidos pelo mesmo host estão agrupados de forma semelhante e na rede correta, redes de gerenciamento de host estão separadas de redes de produção e as redes virtuais usadas para transferir o fornecimento de recursos do convidado para um host distinto estão ainda em outro segmento da rede. Além disso, oauditor pode revisar pelo console de gerenciamento a segregação de convidados em diferentes hosts e redes.O auditor pode revisar a configuração de rede pelo console de gerenciamento ou reunindo os dados de configuração de host com as ferramentas mencionadas anteriormente. O auditor deve revisar switches virtuais e outros componentes derede virtuais, observando especificamente se a configuração e o endereço MAC, a atribuição, o roteamento, protocolos e criptografia da rede de área local virtual (VLAN) e outras informações de rede se alinham com o padrão da empresa.

Avaliando riscos de gerenciamentoUma suposição implícita nas etapas de avaliação descritas anteriormenteé de que a empresa mantém um inventário preciso de componentesautorizados conhecidos que compreendem seu ambiente. Para avaliara difusão de convidados, primeiramente o auditor deverá determinar aexistência e a exatidão do inventário de ativos de TI da empresa, incluindoitens virtuais.Depois que o inventário conhecido for validado, o auditor poderá revisar o processo de gerenciamento para detectar convidados não-autorizados. O auditor pode usar ferramentas de gerenciamento ou de avaliação comercial para controlaro ambiente e comparar o que é encontrado com o inventário autorizado. Como a maioria dos fornecedores de hipervisor fornecem APIs e ferramentas de script, o auditor pode ser capaz de desenvolver suas próprias ferramentas de descoberta

Page 16: Trabalho PIM II

por um custo mínimo ou sem custo nenhum (além do tempo). Além disso, vários produtos de segurança comercial que abrangem a virtualização têm um módulo de descoberta, uma vez que não podem proteger o que não conhecem.Se a empresa do auditor já tiver comprado esses tipos de ferramentas, o auditor deverá consultar se os resultados da descoberta podem ser revisados para comparação com o inventário de ativos documentados autorizado. Surgiramferramentas para detectar convidados inativos, ativá-los e corrigir deficiências encontradas antes que o convidado inativo seja reativado. O auditor deve consultar sobre o uso dessas ferramentas, a frequência com que elas são executadas e seuêxito em localizar e corrigir convidados inativos.

Avaliando riscos de governançaO auditor deve revisar políticas, procedimentos e práticas de gerenciamento relacionados ao seguinte:• Revisão da diretoria ou do conselho administrativo e aprovação da estratégia de virtualização• Comparações de economia de custos pós-implementação efetivamente alcançadas com os valores esperados• Coleta de evidências de que componentes chave do processo de gerenciamento de mudança permanecem em vigor:autorização, teste (incluindo certificado de segurança no padrão da empresa), planos de recuo e notificação às partes afetadas, e de que apenas a linha do tempo (não a funcionalidade) de cada etapa foi reduzida pela virtualização.• Treinamento da equipe com novas responsabilidades de virtualização e treinamento contínuo da equipe de virtualização existente quando as alterações de arquitetura forem feitas ou quando ocorrer atualizações importantes de fornecedor• Transferência de conhecimento de terceiros que auxiliam na implantação• Revisão de descrições de função para a equipe cujo limite técnico anterior era menos claro devido à virtualização• Revisão de responsabilidade pela comunicação entre equipes anteriormente mais independentes antes da virtualização (host, rede, armazenamento)• Procedimentos de inventário que produzem resultados documentados precisos, que facilitam a conformidade de licenciamento, os pagamentos de tarifas de manutenção corretas, o seguro e outras funções de suporte administrativo

Page 17: Trabalho PIM II

ConclusãoA virtualização afetou a maneira como a empresa executa suas operações de TI.Embora a virtualização só recentemente tenha deixado o status de “tecnologiaemergente” e se tornado uma prática mais comum, as empresas já observaramos benefícios de mudar para ambientes virtualizados. Esses benefícios incluemmenor TCO, maior eficiência, impactos positivos em planos de TI sustentáveise maior agilidade. Entretanto, as empresas também devem considerar os riscospotenciais de segurança e as implicações de alterações que acompanham amudança para um ambiente virtualizado. Atenuar muitas dessas ameaças e terprocessos de negócios bem documentados e recursos de auditoria robustosajudará a garantir que as empresas obtenham o maior valor possível de seusambientes de TI.

Com a crescente expansão da TI Verde, as empresas de pequeno e médio porte passaram a adotar tais medidas na busca pela sustentabilidade com ganhos econômicos e ambientais, antesseguidas somente por grandes empresas e corporações. Segundo pesquisas realizadas pela IBM,66% das empresas de médio porte do país já acompanham os seus consumos de energia e 70% delasplanejam ou já realizam atividades para reduzir o impacto ambiental. O conceito de TI Verde cresce também na sociedade mesmo que de forma inconsciente, já que a preocupação ambiental é assunto recorrente no dia-a-dia de todos. O que falta, de fato, é a conscientização do usuário doméstico de que a TI Verde também pode ser praticada em sua casacom pequenas mudanças de comportamento e ações voltadas à redução da emissão de CO2. Para tal, é necessário fazer uso da reutilização e reciclagem de equipamentos, investimentos (quando necessários) em suprimentos com “selo verde” e evitar a subutilização de sistemas, otimizando o uso de quaisquer produtos sejam eles eletrônicos ou não.

Page 18: Trabalho PIM II

REFERÊNCIAS


Pim i e II Raquel Brito Empresa Dj Automação Comercial

Cyber Net Pim i e II (1)

PIM-II - DP - Jomar de Souza Siqueira- RA 1220017

PIM Trabalho

PIM II Sistema Computacional Didatico_Final

90522795 PIM II Itau Unibanco

Trabalho Pim Software Developer 3

PIM II Clube Jaó

PIM II - Projeto de Implementação de uma Rede Estruturada - 2013

PIM I E II

 · cunha rh - faca lateral da caÇamba cunha lh - faca lateral da caÇamba arruela plana - faca lateral da ca amba marca pim pim pim fey pim pim pim pim pim pim fey pim pim pim qtde

PIM I E II MONTREAL

Projeto PIM II Atual

PIM II - Estética - Finalizado (1)

Manual PIM II

PIM II - “as Ciências Biológicas e Os Recursos Manuais Influenciando Na Estética

Trabalho Pim II.pdf

PIM II Itau Unibanco

PIM II - Itaú Unibanco

Trabalho Pim Completo

PIM ii UNIP

PIM I E II TECNOLOGIA DA INFORMAÇÃO

Texto: Diagramação: Paula Moura PIM I apresenta quiches ...faculdadepromove.br/bh/arquivos_up/documentos/informativos1/2a6dbe... · PIM II - Sustentabilidade empreendedores Futuros

Pim i e II Empresa Rr Jefferson Patrick Da Silva Costa

Progeto pim ii

PIM I E II Tecnomais

45195122 Trabalho Pim III Unip Sp

Exemplo Pim II

PIM II - Manoela 2014.doc

Pim II - Tecnologia da Informação

TRABALHO PIM- empresa de correios e telégrafos.doc

Trabalho Pim III Unip Sp

PIM II VIRTUALIZAÇÃO DE SERVIDORES E DESKTOPS

Pim i e II Big Ben

Trabalho Pim vi