Eenvoudig gesteld gaat beveiliging over het herkennen van kwetsbaarheden en vervolgens een manier vinden om het risico te verkleinen en de problemen op te lossen. Dat is eenvoudig genoeg als je weet hoe je met dit soort uitdagingen om moet gaan. Maar in de praktijk begrijpen veel organisaties niet hoe kwetsbaar ze zijn omdat ze niet de juiste security-expertise in huis hebben. Dat soort beveiligingstijdbommen houden CIO’s ’s bezig.
Over de blogger
Erik is actief in de ICT industrie sinds 1997. Hij heeft diverse rollen gehad in sales, uiteenlopend van sales consulting tot account management en sales management. Na binnen British Telecom verantwoordelijk te zijn geweest voor de outsourcing unit is hij in dienst gegaan van CapGemini, waar hij een security & audit practice heeft opgezet binnen Infrastructure Services. Hierna is hij bij Microsoft verantwoordelijk geweest voor de grote klanten binnen het Financial Services & Insurance segment als Solution Sales Professional Core Infrastructure. Daarna heeft hij de verantwoordelijkheid gehad over de markt “commercial customers” binnen Corporate Accounts. Na Microsoft heeft Erik drie jaar binnen Oracle gewerkt als account manager voor Fusion Middleware voor drie global accounts. Sinds 1 januari 2014 is hij als Business Manager verantwoordelijk voor Cloud, Platform & Virtualization binnen Red Hat Benelux.
Tegenwoordig is 50% van de server workloads gevirtualiseerd en dit aantal stijgt met de dag. Beveiliging in gevirtualiseerde omgevingen is daardoor een steeds grotere zorg voor organisaties. De beveiligingsrisico’s in een gevirtualiseerde omgeving zijn niet anders of gevaarlijker dan in een traditionele IT-infrastructuur. Maar de manier waarop je er mee moet omgaan is dat wel.
Virtuele machines
Een van de grote voordelen van virtualisatie is de snelheid en flexibiliteit waarmee virtuele machines in gebruik genomen kunnen worden. Dit voordeel brengt echter wel een beveiligingsrisico met zich mee. Je kunt weliswaar snel nieuwe workloads ondersteunen door nieuwe virtuele machines uit te rollen, maar hierdoor wordt het al snel lastig om al die systemen in de gaten te houden en te beheren. De beveiligingsrisico’s worden nog groter als gevirtualiseerde workloads met verschillende trust-levels gecombineerd worden of als ze mobieler worden.
Veilige omgevingen
Systeembeheer wordt vaak bekritiseerd doordat het vaak de bedrijfsprocessen vertraagt. Door het self-service model dat steeds nadrukkelijker opgang maakt in gevirtualiseerde- of cloud-omgevingen, zijn er tegenwoordig binnen bedrijven steeds meer mensen die IT-services bestellen. Voor de organisatie kan dit bevrijdend overkomen, omdat het tot snelle responsetijden leidt. De focus ligt echter niet altijd op het creëren van veilige omgevingen en men leeft vaak in de onjuiste veronderstelling dat de systeembeheerder alles wel veilig zal houden. Deze grote onzekerheden zijn verontrustend voor IT security-professionals, omdat je niet kunt beheren waar je niet van op de hoogte bent. Dit is niet alleen een probleem in de open source wereld, maar ook in propriëtaire omgevingen. Een van de meest voorkomende werkwijzen is om een virtualisatiemanager aan te nemen die er met beheersoftware voor zorgt dat beveiliging- en compliance-regels gecontroleerd kunnen worden voor alle geprovisioneerde virtualisatieplatformen.
Legacy-systemen
In het ideale geval is beveiliging al vanaf het begin in een IT-architectuur verankerd. Daarnaast moeten nog processen gedefinieerd worden voor compliance. Toch is het in de praktijk niet gangbaar dat de juiste processen aanwezig zijn om kwetsbaarheden bloot te leggen. Beveiliging van de grond af opbouwen is uitdagend, omdat organisaties zelden de luxe hebben om hun IT-omgeving helemaal opnieuw op te bouwen. De meeste zakelijke IT-infrastructuren worden over een langere periode gebouwd en zijn aan veel veranderingen onderhevig.
Minder risico’s
In de beveiligingswereld geldt, of het nu om gevirtualiseerde of fysieke systemen gaat, dat hoe meer je weet, hoe veiliger je bent. Door compleet overzicht te hebben van je IT-infrastructuur en daar goed controle over te hebben, verminder je het risico van achtergebleven systemen waar je geen controle over hebt. Het is mogelijk policies te implementeren en die af te dwingen, zowel in traditionele als in gevirtualiseerde IT-omgevingen met self service mogelijkheden. Dat is beter voor de algehele beveiliging van de organisatie en bovendien slapen de CIO’s er ’s nachts een stuk beter van.
