Home » Technology » Security » Beveiligingsrisico’s in een gevirtualiseerde wereld is een zorg

Beveiligingsrisico’s in een gevirtualiseerde wereld is een zorg

Tech Page One

Man Sitting on Couch with XPS 13 Notebook

 

Eenvoudig gesteld gaat beveiliging over het herkennen van kwetsbaarheden en vervolgens een manier vinden om het risico te verkleinen en de problemen op te lossen. Dat is eenvoudig genoeg als je weet hoe je met dit soort uitdagingen om moet gaan. Maar in de praktijk begrijpen veel organisaties niet hoe kwetsbaar ze zijn omdat ze niet de juiste security-expertise in huis hebben. Dat soort beveiligingstijdbommen houden CIO’s ’s bezig.

Het aantal procent van de server workloads die gevirtualiseerd zijn stijgt met de dag. Beveiliging in gevirtualiseerde omgevingen is daardoor een steeds grotere zorg voor organisaties. De beveiligingsrisico’s in een gevirtualiseerde omgeving zijn niet anders of gevaarlijker dan in een traditionele IT-infrastructuur. Maar de manier waarop je er mee moet omgaan is dat wel.

Virtuele machines

Een van de grote voordelen van virtualisatie is de snelheid en flexibiliteit waarmee virtuele machines in gebruik genomen kunnen worden. Dit voordeel brengt echter wel een beveiligingsrisico met zich mee. Je kunt weliswaar snel nieuwe workloads ondersteunen door nieuwe virtuele machines uit te rollen, maar hierdoor wordt het al snel lastig om al die systemen in de gaten te houden en te beheren. De beveiligingsrisico’s worden nog groter als gevirtualiseerde workloads met verschillende trust-levels gecombineerd worden of als ze mobieler worden.

Veilige omgevingen

Traffic on a street at nightSysteembeheer wordt vaak bekritiseerd doordat het vaak de bedrijfsprocessen vertraagt. Door het self-service model dat steeds nadrukkelijker opgang maakt in gevirtualiseerde- of cloud-omgevingen,  zijn er tegenwoordig binnen bedrijven steeds meer mensen die IT-services bestellen. Voor de organisatie kan dit bevrijdend overkomen, omdat het tot snelle responsetijden leidt. De focus ligt echter niet altijd op het creëren van veilige omgevingen en men leeft vaak in de onjuiste veronderstelling dat de systeembeheerder alles wel veilig zal houden. Deze grote onzekerheden zijn verontrustend voor IT security-professionals, omdat je niet kunt beheren waar je niet van op de hoogte bent. Dit is niet alleen een probleem in de open source wereld, maar ook in propriëtaire omgevingen. Een van de meest voorkomende werkwijzen is om een virtualisatiemanager aan te nemen die er met beheersoftware voor zorgt dat beveiliging- en compliance-regels gecontroleerd kunnen worden voor alle geprovisioneerde virtualisatieplatformen.

Legacy-systemen

In het ideale geval is beveiliging al vanaf het begin in een IT-architectuur verankerd. Daarnaast moeten nog processen gedefinieerd worden voor compliance. Toch is het in de praktijk niet gangbaar dat de juiste processen aanwezig zijn om kwetsbaarheden bloot te leggen. Beveiliging van de grond af opbouwen is uitdagend, omdat organisaties zelden de luxe hebben om hun IT-omgeving helemaal opnieuw op te bouwen. De meeste zakelijke IT-infrastructuren worden over een langere periode gebouwd en zijn aan veel veranderingen onderhevig.

Minder risico’s

In de beveiligingswereld geldt, of het nu om gevirtualiseerde of fysieke systemen gaat, dat hoe meer je weet, hoe veiliger je bent. Door compleet overzicht te hebben van je IT-infrastructuur en daar goed controle over te hebben, verminder je het risico van achtergebleven systemen waar je geen controle over hebt. Het is mogelijk policies te implementeren en die af te dwingen, zowel in traditionele als in gevirtualiseerde IT-omgevingen met self service mogelijkheden. Dat is beter voor de algehele beveiliging van de organisatie en bovendien slapen de CIO’s er ’s nachts een stuk beter van.

 

Erik Geensen

Erik Geensen

Erik is actief in de ICT industrie sinds 1997. Bij CapGemini zette hij een security & audit practice op binnen Infrastructure Services. Hierna is hij bij Microsoft verantwoordelijk geweest als Solution Sales Professional Core Infrastructure. Daarna heeft hij de verantwoordelijkheid gehad over de markt “commercial customers” binnen Corporate Accounts. Ook werkte Erik drie jaar binnen Oracle als account manager. Sinds 2014 is hij als Business Manager verantwoordelijk voor Cloud, Platform & Virtualization binnen Red Hat Benelux.

Laatste Artikels:

 

Tags: Security, Technology