In december 2009 publiceerde IDC de resultaten van de enquête 'Virtual Appliance Survey: What's Really Going On?'. Hieruit bleek dat meer dan 70 procent van alle bedrijven voornemens is om virtuele appliances op te nemen in hun algemene ict-budget of een speciaal budget voor beveiligings-appliances. Een andere conclusie was dat 60 procent van alle kleinere bedrijven en 40 procent van alle grotere ondernemingen reeds gebruikmaakt van virtuele appliances voor beveiligingstoepassingen.
Vanwege de enorme groei in populariteit van virtuele beveiligings-appliances zetten fabrikanten alles op alles om hun productaanbod op te waarderen. De belangrijkste voordelen van virtuele appliances zijn hun simpele installatie en gebruikseenvoud, hun milieuvriendelijke karakter en de lagere totale eigendomskosten die ze met zich meebrengen.
Met de krachtige nieuwe generatie van server-cpu's zullen cpu-intensieve taken zoals web- en e-mailfiltering zonder meer baat hebben bij virtualisatie. Er is een breed scala aan virtuele appliances op de markt verkrijgbaar die ondersteuning bieden voor alle mogelijke toepassingen. Dit houdt in dat vrijwel ieder aspect van de beveiliging kan worden gevirtualiseerd. Virtualisatie brengt echter nieuwe beveiligingsproblemen met zich mee. Bedrijven die aan het virtualiseren slaan, moeten daarom speciale beveiligingsmaatregelen treffen.
In conventionele omgevingen worden servers van elkaar gescheiden door de infrastructuur, zoals de bekabeling en switches. De onderlinge communicatie tussen servers verloopt meestal via een firewall. Hierdoor kan een webserver die door hackers is gemanipuleerd geen toegang krijgen tot andere servers om ze vervolgens te infecteren. Van deze scheiding is echter geen sprake in omgevingen waar meerdere virtuele machines op een en dezelfde virtuele server draaien. Servers of serverparken/-clusters zijn in dit geval rechtstreeks voor elkaar toegankelijk, zodat er voor een effectieve beveiliging speciale maatregelen zijn vereist.
De oplossing ligt voor de hand: ook de virtuele machines moeten van elkaar worden gescheiden en op dezelfde manier worden beveiligd als fysieke servers. Het is niet voldoende om het virtuele systeem in zijn geheel met een firewall te beschermen. Het rechtstreekse gegevensverkeer tussen de virtuele machines binnen dit systeem moet eveneens met een firewall worden beveiligd. De benodigde scheiding tussen virtuele machines kan worden gerealiseerd met behulp van virtuele switches (vSwitches) en virtuele Llans (vlan's).
Virtuele beveiligings-appliances
In plaats van het gegevensverkeer van de gevirtualiseerde omgeving door te leiden, is het mogelijk om gebruik te maken van een gevirtualiseerde firewall met ondersteuning voor vlan's. Deze firewall draait op hetzelfde virtuele systeem als de virtuele machines, zodat er geen externe firewall-koppelingen nodig zijn. Al het gegevensverkeer tussen de virtuele machines kan op deze manier worden beschermd door de virtuele firewall, zonder dat het verkeer het gevirtualiseerde systeem hoeft te verlaten. Firewalls maken echter slechts een klein deel uit van de beveiligingsinfrastructuur die voor moderne ondernemingen is vereist. Andere belangrijke componenten zijn oplossingen voor indringerpreventie (IDS/IPS), het filteren van e-mail- en internetverkeer, de beveiliging van internettoepassingen en opslag en back-ups met ondersteuning voor omgevingen die zowel klanten, leveranciers als werknemers omspannen.
Steeds meer bedrijven stappen van een private cloud over naar een publieke cloud, zodat ze ict als een service kunnen afnemen van één leverancier. Het staat buiten kijf dat dit voordelen biedt zoals flexibiliteit en kostenbesparingen. De publieke cloud biedt echter onvoldoende bescherming voor servers. De gevirtualiseerde servers bieden namelijk rechtstreekse internettoegang voor beheerdoeleinden. Dit vergroot de complexiteit bij onder meer patchbeheer en compliance-rapportage. De beveiliging van de cloud is gebaseerd op de kleinste gemene deler. De virtuele servers van de verschillende klanten worden naast elkaar gehost, waardoor de gevaren voor het gegevensverkeer tussen virtuele machines exponentieel toenemen. Gebruikers van de cloud hebben geen zicht op de beveiligingsstatus van naburige klantenomgevingen. Worden alle belangrijke patches daar direct geïnstalleerd? Zijn de juiste beveiligingsmaatregelen genomen? Deze vragen blijven onbeantwoord. En het probleem kan evenmin worden opgelost door de aanbieder van de cloud-diensten zelf. Dit zou ten koste gaan van de flexibiliteit, zoals de mogelijkheid om voor virtuele machines op eenvoudige wijze bij een andere leverancier onder te brengen. Gebruikers van een publieke cloud moeten hierdoor meer aandacht besteden aan de beveiliging van elke virtuele machine dan in het geval van een private cloud. Het is daarom van cruciaal belang dat een virtuele beveiligings-appliance kan omgaan met de mobiliteit die met cloud computing gepaard gaat. Bovendien moet de oplossing ervoor zorgen dat de kwaliteit van het centrale beheer van alle fysieke en virtuele componenten blijft gewaarborgd.
Niet meer weg te denken
Maar weinig bedrijven die met servervirtualisatie aan de slag gaan, zullen hun fysieke beveiligings-appliances van de ene op de andere dag inruilen voor virtuele appliances. Bij het kiezen van een leverancier moet je erop letten dat zijn productaanbod ondersteuning biedt voor een breed scala aan alternatieve scenario's: van de hardware en virtuele appliance tot hybride oplossingen, en mogelijk zelfs software-as-a-service – idealiter met centraal beheer van de belangrijkste fysieke en virtuele componenten.
Dit is de enige manier om virtualisatie te implementeren op een manier die zowel economisch als technisch gezien hout snijdt. Een ding moge duidelijk zijn: de trend op het gebied van virtuele infrastructuur beweegt zich langzaam maar zeker in de richting van virtuele appliances.
