Thought Leadership
Virtualisierungskonzepte werden immer mehr zu einem wichtigen Element der IT-Umgebungen. Während die Virtualisierung viele Vorteile verspricht, ist die Sicherheit virtualisierter Umgebungen kein triviales Thema.
Die Absicherung dieser Umgebungen beginnt damit, dass das Unternehmen ihre Komplexität erkennt und eine umfassende Security Policy definiert, die den geeigneten Rahmen für Virtualisierungskonzepte vorgibt. Die Umsetzung der Policies muss bereits beim Start der Anwendungsentwicklung erfolgen und sich wie ein roter Faden durch den gesamten Anwendungslebenszyklus ziehen.
Wandel vom einem netzwerkbasierten
zu einem datenbasierten Ansatz
Auch Sicherheitsaspekte im Netzwerk- und Speicherumfeld sind zu beachten. Insgesamt muss sich besonders angesichts der Nutzung von Virtualisierung das Augenmerk von einem netzwerkbasierten zu einem datenbasierten Ansatz wandeln, mit dem Schwerpunkt auf dem Schutz von Daten, wo und in welcher Form sie auch immer vorliegen und transferiert werden. IT-Entscheider müssen daher zwischen Anwendungsentwicklung und operativem Management eine enge Zusammenarbeit sicherstellen, ebenso wie die Integration von Sicherheit in den gesamten Virtualisierungs-Lebenszyklus.
Wichtige Aspekte der Sicherheit virtualisierter Umgebungen
sind demnach:
-
Die wirtschaftlichen Vorteile der Virtualisierung drohen durch die zusätz-liche Infrastrukturebene und damit durch wachsende Komplexität in Sa-chen Informationssicherheit zunichte gemacht zu werden. Die Komplexität sorgt prinzipiell für eine größere Anfälligkeit für Sicherheitsprobleme, denn verschiedene Ebenen und die Föderation von Ressourcen können ver-schiedenste „Einfallstraßen“ für das Ausnutzen von Schwachstellen durch Sicherheitsbedrohungen darstellen. Die Trennung logischer von physi-schen Schichten macht es für Bedrohungen in einem spezifischen Bereich noch einfacher, auch in anderen Bereichen unerkannt zu wirken. Diese Zusammenhänge müssen von den Sicherheitsverantwortlichen erkannt und verstanden werden.
-
Komplexität schafft Herausforderungen in punkto Sicherheit. Die Sicher-heit von Einzelsystemen ist in virtualisierten Umgebungen nicht mehr aus-reichend. Es muss vielmehr darauf geachtet werden, dass alle Elemente und Teilelemente zusammengenommen die Sicherheitsanforderungen op-timal erfüllen. IT-Entscheider müssen mit der Umsetzung der übergeord-neten Security Policies anfangen. Dann müssen Sicherheits-Rahmenwerke aufgesetzt werden, die die besonderen Merkmale des virtualisierten Unter-nehmens berücksichtigen. Dieses Vorhaben beginnt bereits bei der An-wendungsentwicklung. Im Zentrum der Betrachtung steht der Datenfluss in virtualisierten Geschäftsprozessen. Dann können die Bereiche der In-frastruktur, in denen Daten besonders angreifbar sind, identifiziert und adressiert werden.
-
Die Trennung logischer und physischer Werte verschiebt zusätzlich den Fokus der Informationssicherheit. Als die zu schützenden „Assets“ noch bekannt und klar definiert waren, und die Mehrzahl der Mitarbeiter im Un-ternehmen an einem festen Standort arbeitete, machte es Sinn, das Netz-werk als Ausgangspunkt der Sicherheitsmaßnahmen heranzuziehen. Spä-testens in virtualisierten Umgebungen ist dies nicht mehr ausreichend. Die nichtdeteministische Natur von Anwendungen und Geschäftsprozessen macht klassische netzwerkbasierte Sicherheitsmechanismen obsolet. Der Schutz von Daten steht nun im Fokus, und Werkzeuge für den Schutz von Netzwerken und Anwendungen können die Schutzmaßnahmen unterstüt-zen.
Wolfram Funk, Senior Advisor, Experton Group
