Van elke tien gevirtualiseerde servers zijn er zes minder goed beveiligd dan de fysieke servers die ze vervangen. Dat komt vooral doordat organisaties hun ict-beveiligingsexperts onvoldoende raadplegen bij het plannen en opzetten van een gevirtualiseerde omgeving. Dat menen analisten van Gartner. Het is volgens hen niet zo dat virtualisatie per definitie onveiliger is.
'De meeste gevirtualiseerde workloads worden onveilig in gebruik genomen', zegt Gartner-onderzoeker Neil MacDonald. Hij wijt dat aan de onvolwassenheid van de gebruikte toepassingen en processen en de gebrekkige opleiding van eigen personeel, resellers en consultants.
In 40 procent van de virtualisatieprojecten werden ict-beveilingingsteams niet vanaf het begin betrokken, blijkt uit het werk van de onderzoekers. Operationele werkgroepen vinden vaak dat er na virtualisatie feitelijk niets is veranderd en dat ze voldoende kennis en processen hebben om workloads, besturingssystemen en de onderliggende hardware te beveiligen. Volgens de analisten wordt er daarbij geen rekening gehouden met de nieuwe softwarelaag voor virtualisatie. Die bestaat uit de hypervisor en het beheerprogramma daarvoor.
Risico’s
De onderzoekers stelden een lijst van de zes bij virtualisatie vaakst voorkomende beveiligingsrisico's:
1: Informatiebeveiliging wordt niet vanaf het begin betrokken bij het virtualisatieproject
2: Een beveiligingslek in de virtualisatielaag (hypervisor) betekent een lek in alle onderliggende werkprocessen
3: Onderlinge koppelingen tussen gevirtualiseerde machines bemoeilijken de controle en omzeilen de bestaande beveiligingsmechanismen
4: Processen met verschillende beveiligingsrechten draaien op dezelfde fysieke server zonder voldoende afscherming
5: Administratieve toegang tot de virtualisatielaag (hypervisor) en de beheertoepassingen is onvoldoende beveiligd
6: Bij virtualisatie bestaat het risico dat systeembeheerders en gebruikers toegang krijgen tot gegevens die niet binnen hun rechten vallen.
Reden temeer om de virtuele Nexus 1000 in VMware te gaan gebruiken. Eindelijk weer het netwerkbeheer bij de juiste mensen. Verder is het natuurlijk goed nadenken over de virtuele infrastructuur. De schop gaat in de grond en alle wormen komen boven. Virtualisatie raakt alle processen.
Organisaties die bezig zijn met virtualisatie of die de technologie hebben geïmplementeerd doen dit vaak omdat het een betere beschikbaarheid van applicaties belooft. Echter, zonder de juiste aandacht voor design en implementatie worden deze beloofde voordelen niet behaald. Dit geldt met name voor de recovery van virtuele machines. Virtualisatie is geen toverwoord. Het kan een hoger niveau van beschikbaarheid bieden, maar het recovery-proces na een foutmelding vereist een diepgaandere planning en de beschikbaarheid van de juiste tools.