Veel ondernemingen zijn huiverig om virtualisatie in te zetten. Zij hebben twijfels rond de veiligheid van zakelijke data en systemen. Virtuele omgevingen vragen om concrete security-maatregelen. Maar welke maatregelen zijn dat dan? Waar moet je op letten? Waar zitten de valkuilen?
De wereld van ict ontwikkelt zich snel. Er bestaat weinig twijfel over de vraag of de toekomst van het datacenter steeds meer gevirtualiseerd zal zijn. De potentiële voordelen die virtualisatietechnologie biedt, zijn indrukwekkend. Deze variëren van capex en opex besparingen, tot een verbeterde snelheid van endpoint implementatie, betere overall it-snelheid en agility. Als je deze voordelen ziet, is het geen wonder dat organisaties wereldwijd deze technologie snel aan het overnemen zijn, in diverse gradaties. De voordelen die ze zien, wegen ruimschoots op tegen de risico’s.
Risico’s zijn er echter wel. Sommige ondernemingen zijn huiverig om virtualisatie in te zetten vanwege bezwaren rond de veiligheid van zakelijke data en systemen. Omdat steeds meer werknemers gebruik maken van mobiele devices op hun werk, wijzen analisten en experts erop dat security-beleid onafhankelijk moet worden van de netwerkarchitectuur.
Terwijl virtualisatie te maken heeft met het ondemand inzetten van oplossingen op niet fysieke middelen, zijn de security-dreigingen alles behalve virtueel, maar levensecht. Hackers zoeken naar de gaten in de beveiliging in iedere nieuwe technologie. Om ervoor te zorgen dat zakelijke informatie veilig is binnen een virtuele omgeving, moeten organisaties een geïntegreerde hypervisor onafhankelijke aanpak kiezen. De volgende best practices kunnen worden overwogen voor een succesvolle implementatie van virtualisatie binnen een organisatie.
Groepeer applicaties door configuratie: Op fysieke machines kan een enkele server diverse verschillende applicaties hosten, elk met zijn eigen configuratie. Dit is een nachtmerrie als het aankomt op policy management. Het voordeel van een virtuele infrastructuur, is dat je de mogelijkheid hebt om deze applicaties op een dynamische manier te groeperen om zo eenvoudiger securitybeleid te kunnen toepassen.
Maak gebruik van reputation-based security: Traditionele security-oplossingen voeren geregeld file-by-file controles uit. Deze zijn echter vaak resource intensive en ineffectief bij het beschermen tegen nieuwe dreigingen. Reputation-based security maakt echter gebruik van anonieme gegevens van miljoenen gebruikers wereldwijd om verdachte bestanden op te sporen. Mijn werkgever bijvoorbeeld beschikt hierdoor over een database met miljarden bestanden waarvan exact bekend is tot op welk niveau die bestanden te vertrouwen zijn. Hierdoor is het aantal te scannen bestanden teruggebracht tot een minimum. Dit betekent een minimale belasting voor de fysieke en virtuele servers.
Implementeer centraal beheer voor virtuele machines: Het beheren van traditionele endpoints kan tijdrovend zijn en leiden tot security-risico's. Een vertraging bij het beheer van beveiligingspatches of een achterstand in het updaten van de security-omgeving op verschillende machines, kan het verschil maken tussen een veilige infrastructuur en een datalek. Profiteer van de voordelen van gevirtualiseerd endpoint-beheer door het implementeren van security practices en beleid binnen alle systemen, om de beveiliging van zakelijke data te maximaliseren.
Groepeer machines om gebruikerstoegang te beheren: Een host-gebaseerde benadering maakt het voor organisaties mogelijk diverse groepen van virtuele machines te maken om verschillende systeemcomponenten zoals bestandssystemen, applicaties en registersleutels te beschermen. Dit stelt een organisatie in staat toegang tot privileged netwerken eenvoudig te beperken en toegangsniveaus voor alle gebruikers, inclusief beheerders, vast te stellen.
Monitor het netwerk: Een van de grootste voordelen, en soms een grote uitdaging, van virtualisatie is het monitoren van het netwerk. De mogelijkheid van een organisatie om het systeem centraal te beheren, biedt potentieel voor een vereenvoudigde monitoring van het systeem. Organisaties moeten zorgvuldig de beschikbare oplossingen van leveranciers afwegen en diegene selecteren die het beste voldoet aan de behoeften van de cloud-configuratie. De oplossingen moeten de volgende eigenschappen bieden:
- Geautomatiseerde beoordelingsfuncties om compliance te optimaliseren met de wettelijke normen zoals PCI en HIPAA;
- Flexibele controles gebaseerd op beleid om zo veranderingen te monitoren ten opzichte van gevestigde configuraties;
- Consolidatie van log-monitoring en gezamenlijke gebeurtenissen om zo veranderingen in systeembronnen te detecteren;
- Vasthouden aan de VMware-richtlijnen en geautomatiseerde response van het systeem om meervoudige bestanden van meervoudige besturingssystemen tegelijkertijd te monitoren.
Naast de security-richtlijnen die specifiek gelden voor gevirtualiseerde systemen, verbetert het naleven van de gevestigde security-procedures het niveau van de beveiliging van het datacenter.
• Stel two-factor authenticatie vast: traditionele, single-password systemen bieden niet genoeg beveiliging tegen de huidige complexe aanvallen. Two-factor authenticatie is nodig om een adequate beveiliging te bieden.
• Maak gebruik van encryptie: data-encryptie biedt aanvullende gemoedsrust binnen een gevirtualiseerd systeem. Het biedt bescherming tegen dreigingen van buitenaf, maar ook voor risico's van binnenuit, zoals het verlies van een draagbaar device met zakelijke informatie.
• Onderhoud traditionele endpoint security: zelfs in een wereld van gevirtualiseerde diensten moet desktop/endpoint virtualisatie niet over het hoofd worden gezien. Onderhoud het beleid van een veelzijdige endpoint security door gebruik te maken van firewalls, anti-virus en een patching-beleid.
Feitelijk, voorspelt Gartner dat binnen vier jaar meer dan een derde van de security-oplossingen op virtuele systemen zal draaien.
Naast het benutten van het grote potentieel van virtualisatie, is het belangrijk om een uitgebreid security-plan op te stellen. Hoewel dit een lastige taak lijkt, blijft het in principe gelijk aan het beschermen van een traditioneel datacenter, waarbij echt de informatie beschermd is in plaats van de hardware zelf. Zoals organisaties al jaren doen, zal het werken aan de implementatie van een multi-tiered security-oplossing het risico op dataverlies van interne en externe bronnen minimaliseren.
Begin daarom met het implementeren van het centrale beheer van de virtuele systemen. Hierdoor kunnen applicaties en virtuele machines gegroepeerd worden volgens configuraties en privileges. Pas security software toe die de meest efficiënte bescherming biedt en selecteer de juiste leverancier voor virtuele oplossingen. Houd je tenslotte vast aan gevestigde security practices als een aanvullende laag van bescherming. Door security actief mee te nemen vanaf het begin van de implementatie van virtuele omgevingen, kunnen organisaties optimaal profiteren van de voordelen terwijl de risico's tot een minimum worden beperkt.
Reacties
Het probleem wat er is met het niet gelijk meenemen van security in design of het later willen toepassen is dat het altijd ten koste gaat van de mogelijkheden van de eindgebruiker. Dingen die men voor de implementatie van security kon, kunnen opeens niet meer (vanwege de eigen veiligheid, maar zo zal men dat zeker niet zien) en zorgen voor irritatie bij de eindgebruiker. "Het bedrijf heeft weer eens iets bedacht, en nu kunnen wij niets meer". Leg je echter dit beleid vanaf het begin op, zal men er aangewend raken en het accepteren.
Veel virtualisatie leveranciers zijn hier zich erg van bewust en leveren een stukje security steeds meer mee.