Fünf Vorsichtsmaßnahmen für virtuelle Umgebungen

Best Practices reduzieren Sicherheitsrisiken der Virtualisierung

Seite: 2/2

Firmen zum Thema

Einheitliche Regelungen und Berichterstattung

Standards schaffen: Ein Großteil der heutigen Sicherheits- und Compliance-Probleme lässt sich durch Standards beheben. Die Standardisierung der virtuellen Umgebungen erfordert eine durchgängige Definition, Implementierung und Verifizierung aller Konfigurationseinstellungenn. Als Teil dieses Prozesses müssen die IT- und Virtualisierungsmanager darauf bestehen, dass alle nicht-konformen Konfigurationen innerhalb eines bestimmten Zeitraums nachgebessert werden. Hierfür müssen Überwachungsmechanismen eingerichtet werden, um die Konfigurationseinstellungen der virtuellen Maschinen zu beurteilen und ständig zu überwachen, um sicher zu gehen, dass alle VMs vertrauenswürdig sind.

Standards erzwingen: Nachdem die Richtlinien eingeführt wurden, muss die IT-Abteilung die vorgeschriebenen Richtlinien, die für Änderungen an der Konfiguration bzw. der Sicherheit gelten, auch tatsächlich erzwingen. Dabei ist sie insbesondere auf die Unterstützung der Chefetage angewiesen. Es ist unabdingbar, sich die Mithilfe der höheren Management-Ebenen zu sichern und mögliche Konsequenzen von oben nach unten zu kommunizieren. Bei der Berichterstattung hilft eine Lösung, die nicht nur die Ist- und Soll-Zustände der Konfigurationseinstellungen abgleicht, sondern im Falle einer Verletzung auch gleich IT-forensische Daten liefert.

Vorbereitet sein: Angesichts der stringenten Compliance-Anforderungen ist das schlimmste Ereignis wohl der Audit. Um sicherzustellen, dass man vollständig auf einen Audit vorbereitet ist, muss man alle Beweise aufbewahren; dazu gehören die Änderungsanforderungen, Freigaben, beobachteten Änderungen, Vergleiche der beobachteten Änderungen und freigegebene Änderungsanforderungen.

Dabei sollte man beachten, dass sich die erforderlichen Beweise nicht auf die Maschinen beschränken, die während der Auditphase aktiv sind. Die IT-Abteilung muss in der Lage sein, einen kompletten Audit-Trail für alle VMs zu jedem Zeitpunkt vorzuweisen. Mit anderen Worten gehören die vom Netzwerk entfernten Maschinen weiterhin hin zum Audit-Prozess; für sie sind die gleichen Beweise erforderlich. So demonstriert man den Auditoren gegenüber, dass das Änderungs- und Konfigurationsmanagement für alle Maschinen innerhalb eines bestimmten Zeitraums wirksam war.

Zusammenfassung

Die Virtualisierung bringt eine Vielfalt an neuen Herausforderungen und Risiken mit sich. Eine „Misswirtschaft“ in virtuellen Umgebungen kann alle Vorteile der Virtualisierung zunichte machen. Deshalb muss man für Transparenz und Steuerungsmöglichkeiten sorgen. Ohne die genannten Best Practices werden die Herausforderungen und Risiken in virtuellen Umgebungen weiterhin ansteigen.

(ID:2045034)