Bedrijven vergeten beveiliging bij virtualisatie

16-03-2010 12:35 | Door Diederik Toet | Lees meer over het bedrijf: Gartner | Er zijn 2 reacties op dit artikel | Permalink

Van elke tien gevirtualiseerde servers zijn er zes minder goed beveiligd dan de fysieke servers die ze vervangen. Dat komt vooral doordat organisaties hun ict-beveiligingsexperts onvoldoende raadplegen bij het plannen en opzetten van een gevirtualiseerde omgeving. Dat menen analisten van Gartner. Het is volgens hen niet zo dat virtualisatie per definitie onveiliger is.

'De meeste gevirtualiseerde workloads worden onveilig in gebruik genomen', zegt Gartner-onderzoeker Neil MacDonald. Hij wijt dat aan de onvolwassenheid van de gebruikte toepassingen en processen en de gebrekkige opleiding van eigen personeel, resellers en consultants.

In 40 procent van de virtualisatieprojecten werden ict-beveilingingsteams niet vanaf het begin betrokken, blijkt uit het werk van de onderzoekers. Operationele werkgroepen vinden vaak dat er na virtualisatie feitelijk niets is veranderd en dat ze voldoende kennis en processen hebben om workloads, besturingssystemen en de onderliggende hardware te beveiligen. Volgens de analisten wordt er daarbij geen rekening gehouden met de nieuwe softwarelaag voor virtualisatie. Die bestaat uit de hypervisor en het beheerprogramma daarvoor.

Risico's

De onderzoekers stelden een lijst van de zes bij virtualisatie vaakst voorkomende beveiligingsrisico's:

1: Informatiebeveiliging wordt niet vanaf het begin betrokken bij het virtualisatieproject
2: Een beveiligingslek in de virtualisatielaag (hypervisor) betekent een lek in alle onderliggende werkprocessen
3: Onderlinge koppelingen tussen gevirtualiseerde machines bemoeilijken de controle en omzeilen de bestaande beveiligingsmechanismen
4: Processen met verschillende beveiligingsrechten draaien op dezelfde fysieke server zonder voldoende afscherming
5: Administratieve toegang tot de virtualisatielaag (hypervisor) en de beheertoepassingen is onvoldoende beveiligd
6: Bij virtualisatie bestaat het risico dat systeembeheerders en gebruikers toegang krijgen tot gegevens die niet binnen hun rechten vallen.

Piet Kiekebos, 17-03-2010 23:26

Reden temeer om de virtuele Nexus 1000 in VMware te gaan gebruiken. Eindelijk weer het netwerkbeheer bij de juiste mensen. Verder is het natuurlijk goed nadenken over de virtuele infrastructuur. De schop gaat in de grond en alle wormen komen boven. Virtualisatie raakt alle processen.

Peter Doens, 19-03-2010 14:26

Organisaties die bezig zijn met virtualisatie of die de technologie hebben geïmplementeerd doen dit vaak omdat het een betere beschikbaarheid van applicaties belooft. Echter, zonder de juiste aandacht voor design en implementatie worden deze beloofde voordelen niet behaald. Dit geldt met name voor de recovery van virtuele machines. Virtualisatie is geen toverwoord. Het kan een hoger niveau van beschikbaarheid bieden, maar het recovery-proces na een foutmelding vereist een diepgaandere planning en de beschikbaarheid van de juiste tools.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Beheer

Bedrijven vergeten beveiliging bij virtualisatie

13-02 Ordina rondt integratie Oracle EBS bij EL&I af

13-02 Perfectview levert CRM-systeem aan Gelderland

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Complexiteit elimineren met Backup Exec 2012

10-02 Avocent van Emerson beheert datacenter

08-02 Blue Coat MACH5 kan versleutelde Flash Video aan

08-02 'ICT-afdeling is te traag voor ontwikkeling apps'

07-02 Western Digital haalt hard uit naar Stellar Data

07-02 Detron beheert ICT voor RTL

07-02 Detron zoekt naar scherper profiel

07-02 Europese ICT-beslissers voorzichtig met budget

06-02 Erasmus Universiteit reorganiseert ICT

06-02 Banometer: Topstart vacaturemarkt krijgt vervolg

25-01-10 Virtualisatie verhoogt complexiteit IT-infrastructuur

27-01-10 Beveiliging blijft heikel punt bij virtualisatie

14-12-09 'Virtualisatie moet goed worden voorbereid'

19-11-09 Virtualisatie vraagt om goede beheertools

15-05-09 Interne kennis belangrijkst bij virtualisatie

17-03-09 Virtualisatie brengt nieuwe beveiligingsrisico’s

16-01-09 15 tips om met virtualisatie te beginnen

05-01-09 2009: jaar van virtualisatie (tips)

Het herschrijven van de regels van het patch-beheer