2009-03-26

Ny undersökning om IT-säkerhet: Utbredda missförstånd hotar säkerheten i virtuella IT-miljöer

Samtidigt som den globala finanskrisen hotar att påverka andra sektorer av IT-marknaden, fortsätter virtualiseringsboomen. I sin iver att snabbt tillgodogöra sig de kostnadsmässiga fördelarna med virtualisering utsätter sig många företag för betydande säkerhetsrisker. Det framgår av en undersökning som det svenska IT-säkerhetsföretaget Clavister har låtit genomföra.

Undersökningen, som utförts av marknadsundersökningsföretaget YouGov (not 1), kom fram till att över 40 procent av de IT-chefer som har infört servervirtualisering kan ha lämnat sina nätverk vidöppna för attacker, eftersom de felaktigt antagit att införandet av den nya tekniken inte kräver kompletterande säkerhetsåtgärder.

Denna brist på förståelse för säkerhetsaspekterna tillhör de farligaste missuppfattningarna kring virtualisering, och belystes nyligen som ett nytt mål för hackerattacker av analysföretaget Gartner (not 2).

"Säkring av virtuella miljöer sker på helt andra sätt än fysiska miljöer. Virtualisering erbjuder helt nya attackmöjligheter och ger inkräktarna åtkomst till betydligt fler applikationer än attacker mot traditionella fysiska servrar”, säger Andreas Åsander, produktchef hos Clavister.

"IT-cheferna måste vidta en rad specifika åtgärder för att uppnå samma säkerhetsnivå som i deras fysiska miljöer. Virtuella miljöer är per definition under konstant förändring, vilket omöjliggör användning av traditionella säkerhetslösningar."

Det råder en utbredd uppfattning om att virtuella miljöer är säkra så läge de skyddas av brandväggar, vilket absolut inte är fallet. Stora delar av trafiken i den virtuella miljön rör sig enbart inom den virtuella infrastrukturen, vilket innebär att den aldrig inspekteras av brandväggen.

"Problemen kan komma från medarbetare som har direkt åtkomst till ett system inom den virtuella miljön, eller från maskar eller trojaner som kan infektera en mindre säker maskin, alternativt en community-portal eller ett forum på webbservern. I fysiska miljöer hanterar man denna riskexponering med hjälp av segmentering, medan en hacker som lyckas ta sig in i ett system i en virtuell miljö med enkla medel får tillgång till andra system, som finansiella system eller databaser", säger Andreas Åsander.

Clavister rekommenderar en strategi i fyra steg för att garantera att den virtuella miljön är säkrad:

1. Sätt dig in i hur virtualisering påverkar datasäkerheten i din nya miljö.
2. Införliva virtualisering i din säkerhetspolicy.
3. Säkerställ att du vet vad som krävs för att underhålla säkerheten i en virtualiserad miljö.
4. Kontrollera att du har rätt tekniklösningar på plats för att möta behoven hos just din miljö, med rätt verktyg och processer för smidig implementation och effektiv administration.

För mer information om säkerhet i virtualiserade miljöer, lyssna på en podcast med Andreas Åsander eller ladda ner ett white paper om denna missförstådda teknik, se www.clavister.com

Not 1: Alla siffror kommer om inte annat anges från YouGov Plc. Totalt intervjuades 212 IT-chefer i privat sektor under perioden 22 -29 september 2008.

Not 2: Gartner Identifies the Top 10 Strategic Technologies for 2009, Gartner, October 14, 2008.

Oplysninger om virksomheden: Clavister AB