Bedrijven denken vaak dat de beveiliging van virtuele servers wel geregeld zal zijn, maar het tegendeel is waar. Door virtualisatie ontstaan juist nieuwe beveiligingsrisico’s. Dat zegt Martin Vliem, ict-architect op het gebied van infrastructuur bij Microsoft.
Bedrijven onderschatten de beveiliging van gevirtualiseerde omgevingen. Dat zegt Martin Vliem, ict-architect op het gebied van infrastructuur bij Microsoft. Vliem: "Bedrijven denken te weinig na over de beveiliging van gevirtualiseerde omgevingen. Ze hebben vaak het idee dat dat vanzelf wel geregeld zal zijn, maar het tegendeel is waar."
Door virtualisatie ontstaan bovendien een paar nieuwe beveiligingsrisico's. Eén daarvan wordt veroorzaakt doordat je met servervirtualisatie van een hele server één bestand maakt. "Dat betekent dat je niet meer kunt vertrouwen op enkel fysieke beveiliging van de hardware", vertelt Vliem. "Dat was al zo, maar het wordt nu nog belangrijker om je data te beschermen. Dat kan bijvoorbeeld via toegangscontrole, encryptie of sterke authenticatie. Een andere maatregel die je kunt nemen, is dat je de toegang tot een virtuele server koppelt aan bepaalde hardware, dus bijvoorbeeld enkel specifieke clients toegang verleent."
Daarnaast wordt de netwerktoegang van virtuele machines geregeld door virtuele switches. Vaak onttrekken die zich aan het zicht van netwerkbeheerders. Vliem: "Een oplossing voor dat probleem is het gebruik van transportencryptie met IPSec."
Beheerprocessen moeten aangepast
Bovendien ontstaan nieuwe risico's doordat je met virtualisatie veel sneller servers kunt opzetten. Beheerprocessen zijn daar meestal nog niet op ingericht, zo weet de ict-architect te vertellen. "Vergeleken met het beheer van fysieke servers, zijn er veel overeenkomsten. Nog steeds moet het patchbeheer op orde zijn, nog steeds moet je nadenken over het beveiligen van nieuwe servers en netwerkverbindingen", licht Vliem toe.
"Maar er is één belangrijke complicerende factor: alles gaat veel sneller. Waar je vroeger enkele weken bezig was met het inrichten van een nieuwe server en productierijp krijgen van een omgeving, heb je het geheel nu in twee dagen of minder in de lucht. Je moet je echter wel afvragen of de beveiliging van die virtuele server dan al volledig op orde is."
Security café
Martin Vliem spreekt dinsdagavond 16 maart over dit onderwerp in het "Security café". Op dit evenement, georganiseerd door het platform voor informatiebeveiliging (PvIB), spreken beveiligingsdeskundigen over de laatste trends op het gebied van beveiliging.
Voor de liefhebbers van “Vendor independant security materiaal” met de keifeiten uit het real-life (en niet de sales showroom) 🙂 kan ik iedereen van harte de “BlackHat 2008 slides” aanbevelen.
Christofer Hoff laat in zijn slides “The four horseman of the Virtualisation Security Apocalipse” zien wat er zoal nog meer fout kan gaan. Deze feiten vertellen ze je meestal niet bij de verkoop van een virtualisatie produkt/traject 😉
Hier kun je alle slides van alle presentaties van Blackhat 2008 downloaden:
http://michaelboman.org/blog/2008/08/07/blackhat-2008-slides-available-get-your-copy-here/
Warning a whoppy 190mb!zipfile! Kijk in het zipfile naar:
– Folder: Hoff_Virtualization_Security_Apocalypse
– Filename: “BH_US_08_Hoff_Virtualization_Security_Apocalypse.pdf”
voor de slides van Christoffer Hoff
Zeer leerzaam real-life materiaal voor alle Virtualisation experts! De rest van de slides is ook de moeite waard om eens door te nemen. Dit soort kennis doe je nl. niet op tijdens reguliere commerciele opleidingen of in staats-school-banken.
The Hacker Ethic:
“All information should be free”
“Security is worth hacking”
“Always yield to the Hands-On Imperative”
http://www.stevenlevy.com/index.php/other-books/hackers
Achtergrond links over Christoffers presentatie:
http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html
Jammer dat je niet bij de PvIB-sessie was gisteren (dat maak ik in elk geval op uit je commentaar); het verhaal wat daar werd gegegeven was gericht op uitdagingen, gedachtenconcepten en functioneel gestelde concrete oplossingsrichtingen. Presentatie komt waarschijnlijk beschikbaar op http://www.pvib.nl…
@Toehoorder: Klopt ik was er niet bij.
Ik ga zeker even kijken naar de presentatie