Enkel virtualisering er en sikkerhetsbombe

Enkel virtualisering er en sikkerhetsbombe

Alminnelig virtualisering var opprinnelig en sikkerhetsfordel. Nå krever virtualiserte miljøer it-sikring på sin måte.

Blir det populært, øker sikkerhetstrusselen. Det synes å være en hovedregel for it-bransjen. Apple øker sikkerhetsinnsatsen, Google mistet omdømme da de glemte sikkerhet, og VMware legger vekt på sikkerhet som en ny utfordring i virtuelle miljøer.

- Sikkerhet og stabilitet er en utfordring vi tar på alvor. Bare det å sikre hypervisoren er en utfordring, sier Richard Garsthagen, teknologievangelist for VMware i Europa.

Ta grep og kontroll

Han sikter til at normale scenarier for å ta i bruk virtualisering ofte innebærer å kjøre hypervisor-miljøet rett mot maskinvaren, og redusere angrepsflaten som ligger i å ha et operativsystem.

Det andre scenariet legger inn et OS-lag for å kunne legge inn administrasjon- og annen sikkerhetsprogramvare. Dette gjøres blant annet som vern mot angrep som rettes rett nettopp mot maskinvaren.


Richard Garsthagen, evangelist i VMware, evangeliserer potensialet for en enklere infrastruktur med virtualisering og advarer litt i tillegg.

- Men den største trusselen i virtuelle miljøer er at det er så enkelt å starte opp én server til. Antallet servere eksploderer, og mangel på oversikt og administrasjon åpner for mange risiki, understreker Garsthagen alvorlig.

Sikkerhetsretningslinjene for virtuelle it-miljøer må etablere ikke bare en godkjenningsordning for å etablere nye virtuelle maskiner, men også retningslinjer som fjerner maskiner som ikke lenger er i bruk. Dette kan også gjøres automatisk.

En slik livsløpsanalyse må inneholde krav om re-evaluering av behovet som i sin tid førte til at en virtuell enhet ble etablert. Om dette rammeverket er basert på tjenestekvalitetsprosedyrer som ITIL spiller ikke så stor rolle. Men en slik sikkerhetsforanstaltning kan implementeres i et ITIL-rammeverk.


Mengden av servere i en virtuell infrastruktur kan komme ut av kontroll fordi det er så enkelt å lage én til.

Vandrende data

Også hos RSA, som i likhet med VMware har samme eier i EMC, ser de nye utfordringer i denne sikkerheten. De støtter seg på en Gartner-rapport fra mars i år som hevder at moderne virtuelle miljøer kan ha lavere sikkerhet enn fysiske servermiljø.

- Vi må heller ikke glemme at selv om server-infrastrukturen er virtualisert, så beveges dataene mer enn før. Mobile klienter og medarbeidere krever fortsatt datasikring selv om de arbeider mot sentrale miljø.

Og store mengder data kan være med ut av virksomheten på små minnepinner, poengterer Arne Åshildrød, som er storkundeansvarlig for RSA i Norge.

Den menneskelige faktoren spiller fortsatt en rolle som en uforutsigbar faktor for it-sikkerhet selv om infrastrukturen blir virtualisert. Vern mot rene datatap (Data Loss Prevention) kan redusere effekten av disse faktorene. Dette gjelder både i trafikk og via periferienheter.

Manglende logging

Også sikker drift kan bli et problem om en server ingen vet om, starter å dra mye av delte ressurser som burde vært forbeholdt forretningene. Åshildrød viser til eksempler hvor privat nedlasting av mediefiler dro ned yteevnen i nettverket da det var under høy belastning.

I tillegg til gode prosesser for å kontrollere mengden av virtuelle servere, er stikkordene brukeroversikt og logging. Mengden av brukerkonti med adminstratorretter må reduseres, og gjerne ekstra-autentiseres. Aktivitet må logges, og helst på en slik måte at aktivitet som er avvik plukkes opp.

For RSA er dette et viktig felt for den klassiske traveren med to-nivå-autentisering. I en situasjon med virtuelle servere er det muligens enda viktigere enn før å kunne være helt sikker på at det er rett bruker, fra rett sted, som foretar innlogging og endringer. Dette kan kombineres med sikker autentisering fra RSA.

Dedikerte loggservere henter alle logger fra det virtuelle miljøet, sammenstiller dem og rapporterer. De kan også utløse handling som alarmering, varsling med eskalering eller blokkere en avvikende handling etter regler som settes. RSA leverer serveren med et sett standardregler og anbefalte handlingsregler («Best practises»).

Virtualisering