McAfee heeft voor Citrix een open platform ontwikkeld, waarmee de beveiliging van een verzameling virtuele desktops centraal kan worden beheerd. Het platform voorkomt dat aan elke virtuele machine apart een beveiligingsproduct moet worden toegevoegd. Daarnaast werkt Citrix, in samenwerking met McAfee, aan een beveiligingsmodule voor de Xen hypervisor. Dat maakte de virtualisatieleverancier bekend op zijn Synergy-conferentie in San Francisco.
‘Als je traditionele antivirus- en firewalldesktopapplicaties installeert op een virtuele desktop, moest je dat tot nu toe op elke virtuele machine apart doen. Dat levert extra overhead op. Ook zorgt het voor capaciteits- en prestatieproblemen’, legt directeur product operations Brian Barney van McAfee uit.
Het McAfee Management for Optimized Virtual Environments (Move)-platform moet die capaciteitsproblemen voorkomen, en de desktopomgeving beter beheers- en schaalbaar maken: ‘Via Move kunnen beveiligingsleveranciers applicaties laden binnen een eigen virtuele machine.’
Beveiligingsbeheer
Vice president systeembeveiliging- productbeheer Candace Worley vult aan: ‘We wilden een platform ontwikkelen waarop McAfee oplossingen kan bieden die zijn geoptimaliseerd voor gevirtualiseerde omgevingen. Dat platform moest ook open zijn voor derde partijen, zodat zij toevoegingen kunnen bieden die wij misschien niet in huis hebben. We stellen daarom een verzameling API’s beschikbaar die het voor beveiligingsleveranciers mogelijk maken producten te ontwikkelen die draaien bovenop het Move-platform.’ Later dit jaar komt McAfee zelf met een concreet beveiligingsproduct, dat draait bovenop het Move-platform.
McAfee stelt Citrix XenDesktop-klanten bovendien in staat Move-beveiligingsproducten te beheren: ‘Tot nu toe wist onze beveiligingsbeheerconsole, de ePolicy Orchestrator, niet of hij te maken had met fysieke of virtuele machines. Dat zorgde voor serverprestatieproblemen op het moment dat alle virtuele machines tegelijk een on-demand scan aanvroegen of updates wilden. De volgende versie van de ePolicy Orchestrator zal om die reden virtuele machine-bewust zijn. Dat maakt het mogelijk taken als scannen en updaten te randomiseren, waardoor de server kan worden ontlast.’
Beveiligingsmodule voor Xen
Daarnaast werkt Citrix, in samenwerking met McAfee, aan een beveiligingsmodule voor de Xen hypervisor. ‘Endpoints hebben veel meer dan antivirus nodig’, zegt technisch directeur virtualisatiebeheer Simon Crosby. ‘Stel, er zit een lek zit in de Windows-image die naar elke virtuele machine gestreamed wordt. Mochten één of meer virtuele machines vervolgens worden aangevallen, dan wil je dat zo’n aanval wordt opgemerkt. Je wilt afwijkend gedrag kunnen signaleren. Op essentiële momenten tijdens het draaien van een virtuele machine, zal de hypervisor daarom kunnen controleren of de machine zich nog in de gewenste toestand bevindt.’
Crosby verwacht dat de Xen-beveiligingsmodule later dit jaar kan worden vrijgegeven. Implementaties binnen XenServer en XenClient volgen op zijn vroegst in 2011.
Databeveiliging met Safe Zone
Daarnaast komt Citrix met ‘Safe Zone’-technologie, een combinatie van versleutelings- en isolatietechnologie om de toegangsrechten tot bedrijfsdata op mobiele apparaten te kunnen reguleren. ‘Technologie zoals Microsofts BitLocker gaat er vanuit dat machines deel uitmaken van het bedrijfsdomein. Maar dat geldt niet voor de laptops van tijdelijke krachten, of gebruikers die werken vanaf hun eigen laptop’, zegt desktopvirtualisatiemarketing manager Sumit Dhawan van Citrix. ‘Maar ook voor die scenario’s heb je versleuteling en isolatietechnieken nodig.’
‘Wanneer organisaties gebruik maken van tijdelijke werkkrachten die werken van een mobiel apparaat, is het heel belangrijk dat bedrijfsdata worden beschermd. Safe Zone creëert een zone op laptops, waarbinnen bedrijfsdata veilig wordt ingevangen. Wanneer de tijdelijke kracht verdwijnt, kun je hem of haar vervolgens centraal de toegang ontzeggen tot de data.’
Safe Zone is vanaf het derde kwartaal van 2010 beschikbaar.