Nieuws

Servervirtualisatie: de 5 grootste zorgen

1x Aanbevolen

Gepubliceerd:22-06-2009 om 03:41 Auteur:Kevin Fogarty

In 2007 hebben de NSA en aannemer General Dynamics deze beveiliging uitgebreid met een werkstation dat het zogenaamde High-Assurance Platform draait – een gevirtualiseerd besturingssysteem dat een aparte laag code heeft die verantwoordelijk is voor de beveiliging van zowel het virtuele besturingssysteem en de applicatie als de gegevens die worden gebruikt.
De meeste bedrijven hebben die beschermingslaag, die werd ontworpen voor de Amerikaanse speciale strijdkrachten, niet nodig. Maar ze hebben wel te maken met een reeks beveiligingsproblemen waarvan er veel niet worden herkend of niet geheel serieus worden genomen, zegt MacDonald. En daar ligt de basis van het probleem.
We kijken hier naar de belangrijkste vijf problemen met de beveiliging van virtuele servers van dit moment.
Het overkoepelende probleem met virtuele servers is verantwoordelijkheid, zegt MacDonald. In tegenstelling tot fysieke servers (die de directe verantwoordelijkheid zijn van het datacentrum of de IT-managers in wiens fysieke domein ze zich bevinden) is de verantwoordelijkheid voor virtuele servers niet altijd even duidelijk. Moet de business unit die het heeft aangevraagd in staat zijn de boel te configureren en te beveiligen? Of is dat de taak van de IT-manager die het dichtst bij de fysieke host zit? Moet er misschien een centrale ‘master sysadmin’ komen die als taak heeft alle virtuele bezittingen binnen een bedrijf te managen en te beveiligen?
“Mensen snappen niet dat je, wanneer je virtuele servers toevoegt, te maken hebt met een extra laag technologie bovenop de applicatie, het besturingssysteem en de hardware, en dat je die moet beveiligen,” zegt MacDonald.
Het meest concrete risico dat voortkomt uit een gebrek aan verantwoordelijkheid is dat er fouten ontstaan in het constante arbeidsintensieve proces van het patchen, onderhouden en beveiligen van elke virtuele server binnen een bedrijf. In tegenstelling tot de fysieke servers waar ze op staan (die worden opgestart en geconfigureerd door alerte IT-managers die de nieuwste patches installeren) worden virtuele servers doorgaans opgestart vanaf serverimages, die soms weken of maanden eerder zijn gecreëerd, geconfigureerd en gepatched.
De meeste bedrijven houden een klein aantal “gouden” images voor algemeen gebruik apart, van waaruit nieuwe VM’s voor verschillende doeleinden worden opgestart of herstart. Maar daarnaast slaan ze nog eens tientallen of honderden serverimages op op DVD of op schijf die met veel moeite geconfigureerd zijn om specifieke applicaties of business requirements te ondersteunen, zegt MacDonald.
“Je kunt een snapshot nemen van een virtuele machine en die op schijf opslaan, voor noodherstel, of zodat je de boel de volgende keer niet helemaal opnieuw hoeft in te stellen. Het enige dat je dan nog hoeft te doen is één van deze virtuele machines opstarten die in offline libraries zijn opgeslagen. Maar meestal worden die niet up-to-date gehouden met A/V-signatures en patches,” zegt MacDonald. “Iemand zou dat moeten controleren zodra er één wordt opgestart, maar vaak wordt dat niet gedaan, en vaak is er ook geen manier om het na te gaan.”
Zowel Microsoft als VMware leveren patchmanagementprogramma’s bij hun basis infrastructuurproducten. Ze eisen allebei dat schijfimages die worden opgeslagen in libraries die periodiek worden opgestart zodat ze kunnen worden gepatched.
Helaas is dat een uiterst vervelend proces voor bedrijven die libraries hebben met wel honderden VM-images. Bovenien wordt er niks gedaan met de patchstatus van VM’s die draaien, maar misschien al weken of maanden niet gepatched zijn, of geen nieuwe antivirussignatures geïnstalleerd hebben. Natuurlijk proberen VMware, HP en veel beginnende bedrijven IT nu te helpen om met behulp van managementproducten veel van zulke taken te automatiseren.