Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

60% virtuele servers onveiliger dan fysieke servers

  • Door
  • Arnout Veenman
  • geplaatst op
  • 16 maart 2010 08:03 uur

In 2012 zullen 60% van alle virtuele servers onveiliger zijn dan de fysieke servers die ze vervangen. Virtualisatie is op zich zelf niet onveiliger dan fysieke servers, maar bij virtuele servers wordt te weinig rekening gehouden met beveiliging. Al zal in 2015 dit percentage alweer zijn gehalveerd tot 30%.  Verschillende risico’s veroorzaken dit:

  1. Bij de migratie van fysieke naar virtuele servers de beveiligingsverantwoordelijke(n) niet betrokken worden. Als argument wordt meestal aangevoerd dat er feitelijk niks verandert en dat er ook op het gebied van beveiliging geen veranderingen zijn.
  2. Een gecompromitteerde de host geeft toegang tot alle er virtuele servers die er op draaien. Het is daarom noodzakelijk dat bij het booten van de host controles worden uitgevoerd of deze mogelijk gecompromitteerd is.
  3. Het dataverkeer tussen verschillende virtuele servers op één of meerdere hosts is niet zichtbaar voor beveiligingssystemen zoals firewalls.
  4. Servers die een verschillende mate van confidentialiteit hebben draaien op één host.
  5. Rollen binnen organisaties vervagen, door het virtuele serverpark. Medewerkers met maar een bepaald toegangsniveau kunnen sneller per abuis toegang krijgen tot delen waar ze niet bij zouden moeten kunnen.

vincent, 16 maart 2010 12:57 pm

Punt 3 hoeft niet altijd waar te zijn. Er zijn softwarematige firewalls die dit verkeer wel degelijk kunnen filteren. Daarnaast is er natuurlijk de mogelijkheid gebruik te maken van vlan tagging.

Mark, 17 maart 2010 8:01 am

Punt 3 geld ook als het achter dezelfde switch in hetzelfde subnet zit. Dus hoezo dat een verschil zou zijn weet ik niet.

Erik Logtenberg, 17 maart 2010 10:47 am

Er staat toch ook dat dit vijf "risico's" zijn. Die hoeven niet per se alle vijf altijd bij alle virtuele machines ter wereld op te treden, maar het zijn vijf scenario's die in willekeurige combinaties kúnnen optreden bij gevirtualiseerde omgevingen, en zodoende bijdragen aan verminderde veiligheid of minder beveiligingsbewustzijn.

vincent, 17 maart 2010 12:40 pm

Ook dan kunnen een aantal punten net zo goed voor dedicated/colocated (fysieke) servers gelden.
1 - bij migratie naar een nieuwere server of nieuw platform kan het ook voorkomen dat de beveiliging overgeslagen wordt, omdat deze hetzelfde zou blijven.
2 - Een gecompromiteerde server in een netwerk kan best wel eens een host zijn die verhoogde rechten heeft op machines, indien die bijvoorbeeld een beheer-machine is die ook op een localnet toegang heeft. SAN's en hostnodes kunnen dan ineens veel minder veilig blijken.
3 - zie eerste 2 postings :)
4 - Geldt ook voor fysieke servers in 1 ipblock/op 1 switchs/in 1 (shared?!?)rack
5 - Hier zie ik ook niet in waarom dit meer zou spelen op een virtueel platform. Het geldt net zo goed voor een complete datavloer, racks en services die op een servercluster danwel fysieke server draaien.

Erik Logtenberg, 17 maart 2010 1:22 pm

Arnout had eigenlijk even de bron moeten vermelden ipv alleen de naam "Gartner", aangezien zijn samenvatting wel vrij kort door de bocht is. Maargoed, zie hier de bron: http://www.gartner.com/it/page.jsp?id=1322414

Zoals je ziet beweert Gartner niet dat deze risico's zijn voorbehouden aan gevirtualiseerde omgevingen, en beweert Gartner ook niet dat ze altijd voor problemen zorgen. Wat Gartner wél aangeeft is dat uit hun onderzoek blijkt dat deze risico's in praktijk veel meer voorkomen bij gevirtualiseerde omgevingen dan bij klassieke bare-metal omgevingen.
Daar kun je het natuurlijk van achter je toetsenbordje "mee oneens" zijn, maar bekijk dan wel eerst even de onderbouwing die Gartner geeft, dan kun je je mening tenminste funderen.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.