Eine aktuelle Umfrage der YouGov(1) im Auftrag von Clavister belegt, dass mehr als 40 Prozent der IT-Direktoren und Manager, die Server-Virtualisierung implementiert haben, ihre IT-Netze offen für Angriffe lassen. Der Grund: Sie gehen fälschlicherweise davon aus, dass die Security-Systeme entsprechende Sicherheits-Features beinhalten. Hierbei handelt es sich um einen der kritischsten Irrtümer rund um die Virtualisierungstechnologie. Gartner(2), weltweit angesehener Anbieter von Marktforschung und Analyse in der globalen Technologie-Industrie, stufte derartige Verständnislücken als eine der Hauptbedrohungen im Security-Bereich ein.
Andreas Åsander, VP Product Management bei Clavister, erklärt: "Die Sicherung von virtuellen Umgebungen darf nicht mit der von physikalischen Infrastrukturen verglichen werden. Virtualisierung bietet völlig neue Angriffspunkte und erlaubt den Zugang zu einer weit größeren Zahl von Anwendungen als herkömmliche Server. Daher ist es besonders wichtig, dass IT-Mitarbeiter alle notwendigen Schritte einleiten, um einen gleichwertigen Grad an Sicherheit zu erreichen, den eine physikalische Umgebung bietet. Das Problem besteht jedoch darin, dass die virtuelle Infrastruktur ständigen Veränderungen unterliegt. Dies macht es unmöglich, mit den gleichen Sicherheitslösungen zu agieren."
Viele Unternehmen denken irrtümlich, eine Firewall sei als Schutzmechanismus vollkommen ausreichend. Die Realität zeigt, dass dies nicht der Fall ist. In einer virtuellen Umgebung muss der Traffic die virtuelle Infrastruktur gar nicht verlassen und wird somit auch nicht überprüft. Daher bietet eine Firewall allein hier keinen umfassenden Schutz.
Åsander fährt fort: "Probleme entstehen beispielsweise durch Mitarbeiter mit direktem Zugriff, der nicht durch Firewalls geschützt wird. Auf diese Weise können Würmer oder Trojaner schlecht gesicherte Netzwerke, beispielsweise Community-Portale oder Foren, infizieren. Die Segmentierung in einer physikalischen Umgebung kann dies verhindern. In einer virtualisierten Umgebung jedoch ist eine derartige Unterteilung der Datenströme nicht möglich. Somit kann ein Hacker im Web-System einfach und schnell auch auf Finanzsysteme oder Datenbanken zugreifen."
Clavister hat aktuell eine Strategie in vier Schritten entwickelt, mit der Unternehmen in der Lage sind, die Sicherung von virtuellen Umgebungen zu gewährleisten. Diese sieht wie folgt aus:
1. Verstehen, wie sich die Virtualisierung auf die Datensicherheit im neuen Umfeld auswirkt
2. Das Integrieren der Virtualisierung in die Sicherheitspolitik
3. Sicherstellen, dass die notwendigen Informationen vermittelt werden, um die Security in einer virtualisierten Umgebung aufrechtzuerhalten
4. Überprüfen, ob die richtigen Technologielösungen vorhanden sind, um die Bedürfnisse der Organisation zu decken, und ob die besten Instrumente und Verfahren für eine reibungslose Umsetzung und effiziente Verwaltung zur Verfügung stehen
Weitere Informationen rund um Virtualisierungssicherheit bietet der neue Podcast mit Andreas Åsander. Unter www.clavister.com steht ferner ein Whitepaper zur Technologie zum Download bereit.
(1): Alle Zahlen stammen - sofern sie nicht anders gekennzeichnet sind - von YouGov Plc. Die Anzahl der Teilnehmer betrug 212 private IT- oder Telekommunikationsdirektoren und Senior Manager. Die Studie wurde zwischen dem 22. und 29. September online durchgeführt.
(2): Gartner Identifies the Top 10 Strategic Technologies for 2009, 14. Oktober 2008