Intel kommenterer virtualiseringssikkerhet

Virtualisering er selvfølgelig genialt, men kan like gjerne utgjøre en av de største sikkerhetsrisikoene. Drar man dette videre til "cloud"-prinsippet står man kanskje for enda større utfordringer.

Høres det ikke litt lugubert ut at alle dataene og applikasjonene, sensitive eller ikke, bare flyter rundt mellom datasentre, servere og eventuelt kontinenter. Har man virkelig kontroll på hvor dataene befinner seg og hvilke servere/brukere som har aksess?

Virtualiserer man serverriggen på en slik måte at man utnytter sikkerhetsfunksjonaliteten i programvaren, kan imidlertid sikkerheten faktisk bli bedre på et virtuelt system enn på et enkelt jern uten virtualiseringslaget.

Den sikkerhetsmessige fordelen og ulempen (avhengig av hvordan man ser det) er at man har et lag mellom operativsystemet og maskinvaren som faktisk har mulighet til å overvåke absolutt alle instruksjonene og datapakkene som sendes.

Samtidig kan man sette seg selv ut for en kjemperisiko dersom hypervisoren eller noen av virtualiseringsverktøyene blir "hacket".

Mange selskaper har kjøpt seg to "store" x86-bokser som de har virtualisert både utviklingsmiljøene og produksjonsmiljøene på samme hypervisor. Videre kan man spørre seg om det er lurt å blande sammen det som kanskje er grunnen til at man har jobb (dataene) og testsystemer som brukes fra alt til webservere til IRC-boter.

En av Intels sikkerhetseksperter, Steve Orrin, skal holde et innlegg på ISACA International Conference neste uke der temaet er: "From Virtualization vs. Security to Virtualization-based Security".

Anbefalingen fra Intels sikkerhetsdirektør er imidlertid klar: Ikke start med å virtualisere det mest kritiske og sensitive!

Det snakkes en del om såkalte "virtual appliances", som er ferdige programvarepakker (eks. brannmur eller CRM-løsning) som man bare plugger inn på toppen av en hypervisor. Konseptet i seg selv sett rent funksjonabelt og fleksibilitetsmessig kan kanskje virke attraktivt, men man bør samtidig ha innsett begrensningene (evt. fordelene) både med tanke på sikkerhet og feiltoleranse.

Ønsker man virkelig at hele bedriftens IT-infrastruktur (prosessering, datalagring, sikkerhetsfunksjoner, switching, print osv) og kanskje daglig omsetning skal utelukkende være avhengig av to servere med et SAN som også brukes til uttesting og utvikling?

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen