Bedrijven vergeten beveiliging bij virtualisatie

16-03-2010 12:35 | Door Diederik Toet | Lees meer over het bedrijf: Gartner | Er zijn 2 reacties op dit artikel | Permalink

Van elke tien gevirtualiseerde servers zijn er zes minder goed beveiligd dan de fysieke servers die ze vervangen. Dat komt vooral doordat organisaties hun ict-beveiligingsexperts onvoldoende raadplegen bij het plannen en opzetten van een gevirtualiseerde omgeving. Dat menen analisten van Gartner. Het is volgens hen niet zo dat virtualisatie per definitie onveiliger is.

'De meeste gevirtualiseerde workloads worden onveilig in gebruik genomen', zegt Gartner-onderzoeker Neil MacDonald. Hij wijt dat aan de onvolwassenheid van de gebruikte toepassingen en processen en de gebrekkige opleiding van eigen personeel, resellers en consultants.

In 40 procent van de virtualisatieprojecten werden ict-beveilingingsteams niet vanaf het begin betrokken, blijkt uit het werk van de onderzoekers. Operationele werkgroepen vinden vaak dat er na virtualisatie feitelijk niets is veranderd en dat ze voldoende kennis en processen hebben om workloads, besturingssystemen en de onderliggende hardware te beveiligen. Volgens de analisten wordt er daarbij geen rekening gehouden met de nieuwe softwarelaag voor virtualisatie. Die bestaat uit de hypervisor en het beheerprogramma daarvoor.

Risico's

De onderzoekers stelden een lijst van de zes bij virtualisatie vaakst voorkomende beveiligingsrisico's:

1: Informatiebeveiliging wordt niet vanaf het begin betrokken bij het virtualisatieproject
2: Een beveiligingslek in de virtualisatielaag (hypervisor) betekent een lek in alle onderliggende werkprocessen
3: Onderlinge koppelingen tussen gevirtualiseerde machines bemoeilijken de controle en omzeilen de bestaande beveiligingsmechanismen
4: Processen met verschillende beveiligingsrechten draaien op dezelfde fysieke server zonder voldoende afscherming
5: Administratieve toegang tot de virtualisatielaag (hypervisor) en de beheertoepassingen is onvoldoende beveiligd
6: Bij virtualisatie bestaat het risico dat systeembeheerders en gebruikers toegang krijgen tot gegevens die niet binnen hun rechten vallen.

Piet Kiekebos, 17-03-2010 23:26

Reden temeer om de virtuele Nexus 1000 in VMware te gaan gebruiken. Eindelijk weer het netwerkbeheer bij de juiste mensen. Verder is het natuurlijk goed nadenken over de virtuele infrastructuur. De schop gaat in de grond en alle wormen komen boven. Virtualisatie raakt alle processen.

Peter Doens, 19-03-2010 14:26

Organisaties die bezig zijn met virtualisatie of die de technologie hebben geïmplementeerd doen dit vaak omdat het een betere beschikbaarheid van applicaties belooft. Echter, zonder de juiste aandacht voor design en implementatie worden deze beloofde voordelen niet behaald. Dit geldt met name voor de recovery van virtuele machines. Virtualisatie is geen toverwoord. Het kan een hoger niveau van beschikbaarheid bieden, maar het recovery-proces na een foutmelding vereist een diepgaandere planning en de beschikbaarheid van de juiste tools.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	155	6.4
2	Reza Sarshar	121	6.7
3	Henri Koppen	112	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	48	6.5
8	mauwerd	44	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Virtualisatie

Bedrijven vergeten beveiliging bij virtualisatie

13-02 Unit4 en VDD IQware koppelen zorgsoftware

13-02 KPN maakt balans op na hack

13-02 KPN garandeert anonimiteit internetgebruiker

13-02 Ordina rondt integratie Oracle EBS bij EL&I af

13-02 Perfectview levert CRM-systeem aan Gelderland

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Het einde van het begin van cloud en virtualisatie

10-02 Avocent van Emerson beheert datacenter

31-01 Citrix haalt goede resultaten in vierde kwartaal...

30-01 VMware komt met vCenter Operations Management

30-01 Dataopslagportfolio Iomega wordt zakelijker

27-01 Appsense speelt in op BYOD en Windows 7

27-01 VMware opent virtualisatie- en cloud portal

25-01 VMware ziet omzet en winst in 2011 toenemen

25-01 Scense Live Profiles beheert gebruikersprofielen

20-01 Red Hat introduceert Enterprise Virtualization 3.0

25-01-10 Virtualisatie verhoogt complexiteit IT-infrastructuur

27-01-10 Beveiliging blijft heikel punt bij virtualisatie

14-12-09 'Virtualisatie moet goed worden voorbereid'

19-11-09 Virtualisatie vraagt om goede beheertools

15-05-09 Interne kennis belangrijkst bij virtualisatie

17-03-09 Virtualisatie brengt nieuwe beveiligingsrisico’s

16-01-09 15 tips om met virtualisatie te beginnen

05-01-09 2009: jaar van virtualisatie (tips)

Vijf tips voor effectieve back-up en recovery in virtuele omgevingen