Virtualisatie beveiligen en veiligheid virtualiseren

“Cloud Computing” of gevirtualiseerde IT-omgeving wordt beschouwd als belangrijkste verspreidingskanaal voor cyberaanvallen in 2009 en de komende jaren. Eén enkele verkeerd geconfigureerde virtuele machine kan de veiligheid van de host in gevaar brengen, maar ook van alle andere virtuele machines die op een systeem aanwezig zijn. Dat is het domino-effect van virtualisatie.

“Onderbenutte servers en andere systemen, beheerskosten die voortdurend oplopen naarmate het aantal servers toeneemt, om nog te zwijgen over de energiekosten … Doordat virtualisatie heel tastbare voordelen oplevert in termen van kostprijs en flexibiliteit, storten bedrijven er zich soms wat overhaast en zonder planning in, stelt Security Business Unit Manager Eric Van Lint van NextiraOne vast. Maar virtualisatie is niets meer of minder dan een nieuwe manier om toepassingen en gegevens te consolideren; de onderneming moet worden voorbereid, meer bepaald op veiligheidsvlak.”

Op applicatieniveau (bovenlaag van het OSI-model) identificeerde NextiraOne BIG-IP van F5 Networks om de toepassingsportefeuille te rationaliseren, de operationele kosten te beperken en de productiviteit te verhogen. Die oplossing verenigt op één toestel “application firewalling”, de optimalisatie en versnelling van de toepassingen, meer bepaald in een virtualisatiecontext; voorts laat ze toe om de uitgaven voor hardware, energie, koeling en ruimte met de helft te verlagen. F5 Networks promoot de idee van een “contextualisering” op het niveau van een gebruiker, een toestel, een site, de netwerkomstandigheden en de applicatieportefeuille om zich op dynamische wijze aan de behoeften aan te passen.

NextiraOne hanteert een globale strategie. De kracht van zijn partnerships met de marktleiders en zijn Managed Services-aanpak stelt hem in staat om complete netwerk- en beveiligingsoplossingen aan te bieden aan klanten die de hoogste eisen stellen aan de bescherming en prestaties van hun datacenter.

Het komt er dus op aan de juiste maatregelen door te voeren om hetzelfde veiligheidsniveau als voor een fysieke omgeving te bekomen, en rekening te houden met het feit dat een virtuele omgeving voortdurend verandert! Door het toenemende aantal machines waarop verschillende besturingssystemen en toepassingen op hetzelfde platform draaien, moet de IT-beveiliging voortaan onberispelijk zijn. Op een gevirtualiseerde fysieke server kan een probleem op een van de emulatiemotoren, bijvoorbeeld doordat misbruik werd gemaakt van een zwakke plek, immers leiden tot storingen binnen de andere instances of zelfs tot het uitvallen van de hele machine -met name als het geheugen verzadigd is.

Volgens NextiraOne moet men nauw toezien op de hypervisor, die ongetwijfeld de meest gevoelige softwarecomponent is doordat hij een koppeling tussen de hardware en de virtuele hosts tot stand brengt. Evenveel aandacht verdient de beheertool, die bevoorrechte toegang biedt tot alle virtuele instances van de infrastructuur. Voorts kan het risico ook uitgaan van de chips bestemd voor de virtuele infrastructuren: die platforms kunnen worden misbruikt om toegang te krijgen tot de systeembronnen, bijvoorbeeld via een “rootkit”. En aangezien die aanvallen de onderste softwarelagen uitbuiten, zijn ze ontzettend moeilijk detecteerbaar …

Een ander element is de beveiliging van het verkeer tussen virtuele machines. Daarvoor biedt NextiraOne de virtuele Cisco Nexus 1000V-switch en de Check Point VE-firewall die de netwerk- en securityteams in staat stellen om het volledige verkeer tussen virtuele machines opnieuw te overzien, te beheren en te controleren. Met de Nexus 1000V en de Check Point VE, die samen met VMware werden ontwikkeld, kunnen de veiligheidsregels die voor het datacenter zijn vastgelegd (VLAN, routing, firewall filtering) tot alle virtuele machines van een server worden uitgebreid; die oplossingen bieden netwerk- en securityteams de mogelijkheid om het virtuele netwerk te beheren en te diagnosticeren met dezelfde tools als diegene die Cisco en Check Point aanbieden om de veiligheid op het netwerk te beheren.

“Bovendien laat de integratie tussen Cisco en Check Point met VMware bijvoorbeeld toe om de veiligheidsregels automatisch te laten opvolgen wanneer men de virtuele instances tussen WMware ESX-servers onderling verplaatst”, besluit Eric Van Lint.

Het aantal veiligheidssystemen met minstens 90% verminderen, maar ook zorgen voor een energiebesparing van meer dan 50% en tegelijk de beheerskosten doen dalen …

“Onze ervaring met de grootste datacenters in de BeLux-zone heeft ons geleerd dat we gemiddeld zes beveiligingstoestellen in één enkel Crossbeam-frame verenigen. Die technologie en onze Managed Security Services, die we in samenwerking met IBM ISS aanbieden, stellen onze klanten in staat om hun bedrijfskosten te verminderen zonder daarom het beheer van hun bedrijf in het gedrang te brengen en tegelijk het niveau van de SLA’s op de veiligheidsdiensten te verhogen. De virtualisatie heeft er bovendien voor gezorgd dat hun energieverbruik met de helft verminderde!”, merkt Managing Director Ingrid De Latte van NextiraOne Benelux op.

Sommige klanten tellen honderden security appliances (firewalls, IDS/IPS …). Dat resulteert in een grotere complexiteit van het informaticanetwerk, minder flexibiliteit en hogere kosten. Door te consolideren en te virtualiseren, beperkt men het aantal firewalls, maar ook het aantal switches, load balancers en … de bekabeling.

Het hart van de frames van Crossbeam wordt gevormd door het XOS-besturingssysteem. Het zorgt ervoor dat meerdere servers als één enkele eenheid kunnen functioneren en koppelt tegelijk geavanceerde virtualisatietechnologieën aan de “geserialiseerde” ondersteuning van beveiligingstoepassingen: de capaciteit van de security-infrastructuur wordt verhoogd zonder dat het netwerk hoeft te worden aangepast of dat de prestaties verminderen; de firewall bereikt een overdrachtsnelheid van 40 Gbps, wat een verwerkingscapaciteit oplevert die vijf keer hoger ligt dan bij klassieke toestellen.

Op applicatieniveau (bovenlaag van het OSI-model) identificeerde NextiraOne BIG-IP van F5 Networks om de toepassingsportefeuille te rationaliseren, de operationele kosten te beperken en de productiviteit te verhogen. Die oplossing verenigt op één toestel “application firewalling”, de optimalisatie en versnelling van de toepassingen, meer bepaald in een virtualisatiecontext; voorts laat ze toe om de uitgaven voor hardware, energie, koeling en ruimte met de helft te verlagen. F5 Networks promoot de idee van een “contextualisering” op het niveau van een gebruiker, een toestel, een site, de netwerkomstandigheden en de applicatieportefeuille om zich op dynamische wijze aan de behoeften aan te passen.

NextiraOne hanteert een globale strategie. De kracht van zijn partnerships met de marktleiders en zijn Managed Services-aanpak stelt hem in staat om complete netwerk- en beveiligingsoplossingen aan te bieden aan klanten die de hoogste eisen stellen aan de bescherming en prestaties van hun datacenter.