Suchen

Fünf Vorsichtsmaßnahmen für virtuelle Umgebungen Best Practices reduzieren Sicherheitsrisiken der Virtualisierung

Autor / Redakteur: Andrew Heather ist Director of Sales (EMEA) bei Tripwire. / Stephan Augsten

Mit der zunehmenden Virtualisierung gehen besondere Compliance- und Sicherheitsrisiken einher, die nur durch ein strukturiertes Risikomanagement in den Griff zu bekommen sind. In diesem Beitrag wollen wir auf Best Practices eingehen, auf deren Gundlage virtuelle Umgebungen von Grund auf abgesichert werden können.

Firmen zum Thema

Alle Fäden in der Hand: Ohne Transparenz und Management-Mechanismen wird die Virtualisierung schnell zum Sicherheitsrisiko.
Alle Fäden in der Hand: Ohne Transparenz und Management-Mechanismen wird die Virtualisierung schnell zum Sicherheitsrisiko.
( Archiv: Vogel Business Media )

Ein großer Vorteil von virtuellen Maschinen ist, dass sie sich schnell in die IT-Infrastruktur integrieren und wieder daraus entfernen lassen. Um die Neuaufnahmen und Abgänge zu verwalten sowie die Konfiguration und entsprechende Änderungen zu überprüfen, benötigt man allerdings gute Management-Lösungen. Ansonsten ergeben sich unnötige Sicherheitsrisiken.

Zwar existieren bereits etliche Tools für die Beurteilung von physikalischen Serverkonfigurationen, doch diese eignen sich nur bedingt für virtuelle Umgebungen. Wie können Unternehmen also unautorisierte, nicht regelkonforme Änderungen der virtuellen Maschinen (VMs) erkennen? Wie können Administratoren auf den virtuellen Wildwuchs aufmerksam gemacht werden? Was kann man tun, um einen vollständigen Überblick von einem Kontrollpunkt aus zu gewährleisten?

Mithilfe verschiedener Best Practices lassen sich die Compliance- und Sicherheitsrisiken, die mit virtualisierten Umgebung einhergehen, deutlich reduzieren:

Inventur: Was man nicht sieht oder kennt, kann man auch nicht steuern. In einer virtuellen Umgebung gilt es daher zunächst festzustellen, welche Maschinen aktiv sind, welche in der Produktion oder vorgelagert arbeiten, welche untätig sind und welche Services sie ausführen. Dabei muss man auch die jeweils eingesetzten Techniken (VMware, Cirtix, XenServer, usw.) und Compliance-Probleme identifizieren, die mit betroffenen Geschäftsprozessen zusammenhängen. Dank einer detaillierten Übersicht über die gesamte virtuelle Landschaft können Unternehmen viel einfacher die Kontrolle übernehmen.

Prophylaktische Maßnahmen: Für physikalische wie auch virtuelle Infrastrukturen gilt: je mehr Zugriff die Mitarbeiter haben, desto wahrscheinlicher sind unkontrollierte Änderungen an kritischen Systemen. Indem man die Anzahl der Personen reduziert, die auf eine Maschine zugreifen und Änderungen daran vornehmen können, schränkt man das Risiko weiter ein. In diesem Zusammenhang sollte man das Hinzufügen, Entfernen und Ändern der Benutzerkonten ständig überwachen und mit autorisierten Änderungsanforderungen vom Verantwortlichen vergleichen.

Seite 2: Einheitliche Regelungen und Berichterstattung

(ID:2045034)