Bedrijven vergeten beveiliging bij virtualisatie

16-03-2010 12:35 | Door Diederik Toet | Lees meer over het bedrijf: Gartner | Er zijn 2 reacties op dit artikel | Permalink

Van elke tien gevirtualiseerde servers zijn er zes minder goed beveiligd dan de fysieke servers die ze vervangen. Dat komt vooral doordat organisaties hun ict-beveiligingsexperts onvoldoende raadplegen bij het plannen en opzetten van een gevirtualiseerde omgeving. Dat menen analisten van Gartner. Het is volgens hen niet zo dat virtualisatie per definitie onveiliger is.

'De meeste gevirtualiseerde workloads worden onveilig in gebruik genomen', zegt Gartner-onderzoeker Neil MacDonald. Hij wijt dat aan de onvolwassenheid van de gebruikte toepassingen en processen en de gebrekkige opleiding van eigen personeel, resellers en consultants.

In 40 procent van de virtualisatieprojecten werden ict-beveilingingsteams niet vanaf het begin betrokken, blijkt uit het werk van de onderzoekers. Operationele werkgroepen vinden vaak dat er na virtualisatie feitelijk niets is veranderd en dat ze voldoende kennis en processen hebben om workloads, besturingssystemen en de onderliggende hardware te beveiligen. Volgens de analisten wordt er daarbij geen rekening gehouden met de nieuwe softwarelaag voor virtualisatie. Die bestaat uit de hypervisor en het beheerprogramma daarvoor.

Risico's

De onderzoekers stelden een lijst van de zes bij virtualisatie vaakst voorkomende beveiligingsrisico's:

1: Informatiebeveiliging wordt niet vanaf het begin betrokken bij het virtualisatieproject
2: Een beveiligingslek in de virtualisatielaag (hypervisor) betekent een lek in alle onderliggende werkprocessen
3: Onderlinge koppelingen tussen gevirtualiseerde machines bemoeilijken de controle en omzeilen de bestaande beveiligingsmechanismen
4: Processen met verschillende beveiligingsrechten draaien op dezelfde fysieke server zonder voldoende afscherming
5: Administratieve toegang tot de virtualisatielaag (hypervisor) en de beheertoepassingen is onvoldoende beveiligd
6: Bij virtualisatie bestaat het risico dat systeembeheerders en gebruikers toegang krijgen tot gegevens die niet binnen hun rechten vallen.

Piet Kiekebos, 17-03-2010 23:26

Reden temeer om de virtuele Nexus 1000 in VMware te gaan gebruiken. Eindelijk weer het netwerkbeheer bij de juiste mensen. Verder is het natuurlijk goed nadenken over de virtuele infrastructuur. De schop gaat in de grond en alle wormen komen boven. Virtualisatie raakt alle processen.

Peter Doens, 19-03-2010 14:26

Organisaties die bezig zijn met virtualisatie of die de technologie hebben geïmplementeerd doen dit vaak omdat het een betere beschikbaarheid van applicaties belooft. Echter, zonder de juiste aandacht voor design en implementatie worden deze beloofde voordelen niet behaald. Dit geldt met name voor de recovery van virtuele machines. Virtualisatie is geen toverwoord. Het kan een hoger niveau van beschikbaarheid bieden, maar het recovery-proces na een foutmelding vereist een diepgaandere planning en de beschikbaarheid van de juiste tools.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	155	6.4
2	Reza Sarshar	121	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	48	6.5
8	mauwerd	44	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Storage

Bedrijven vergeten beveiliging bij virtualisatie

13-02 KPN garandeert anonimiteit internetgebruiker

13-02 Ordina rondt integratie Oracle EBS bij EL&I af

13-02 Perfectview levert CRM-systeem aan Gelderland

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Raadsels rond computerstoring Groningen

10-02 Complexiteit elimineren met Backup Exec 2012

09-02 Modder gooien in ICT-land

02-02 CommVault breidt Simpana-software verder uit

02-02 Telindus ISIT levert Avans opslaginfrastructuur

02-02 LaCie 5big Office back-up-oplossingen voor MKB

01-02 Quest Softwarelevert nieuwe migratierapporten

31-01 Citrix haalt goede resultaten in vierde kwartaal...

31-01 Twee versies Postgres Plus Cloud Database...

30-01 BAM bouwt na vertraging datacenter in Delft

25-01-10 Virtualisatie verhoogt complexiteit IT-infrastructuur

27-01-10 Beveiliging blijft heikel punt bij virtualisatie

14-12-09 'Virtualisatie moet goed worden voorbereid'

19-11-09 Virtualisatie vraagt om goede beheertools

15-05-09 Interne kennis belangrijkst bij virtualisatie

17-03-09 Virtualisatie brengt nieuwe beveiligingsrisico’s

16-01-09 15 tips om met virtualisatie te beginnen

05-01-09 2009: jaar van virtualisatie (tips)

Netwerkstorage maximaliseert virtualisatie-voordelen