CA Technologies har publisert in undersøkelse om sikkerhet i virtualiserte miljøer: Virtualization Security (pdf, 24 sider). Undersøkelsen er gjennomført for CA av analyseselskapet KuppingerCole på grunnlag av intervjuer med IT-ledere i 335 bedrifter i 15 land i Europa og USA.
I praksis dreier undersøkelsen seg om både virtualisering generelt – hva man ønsker å oppnå med virtualisering, hvor langt man er kommet, hvilke plattformer man satser på – og hvordan man løser eller tenker å løse sikkerhet i virtualiserte miljøer.
Undersøkelsen avdekker at 44 prosent av bedriftene ennå ikke har lykkes i å utvide sin eksisterende sikkerhetsinfrastruktur med tanke på fullverdig støtte til virtualiserte miljøer. Over halvparten har ikke etablert rutiner og verktøy for hendelseshåndtering overfor virtualiserte miljøer.
KuppingerCole mener dette og andre observasjoner tyder på at sikkerheten i virtualiserte miljøer er for lav, og at det er påkrevet ikke bare å forstå behovet for å integrere drift og sikkerhet også i virtualiserte miljøer – kontrollspørsmål viser at respondentene vet dette – men å gjennomføre det i praksis.
Den største sikkerhetsutfordringen i virtuelle miljøer er knyttet til et fenomen rapporten døper «data sprawl» – bokstavelig oversatt: henglengte data – det vil si risikoen for at data som stadig flyttes rundt omkring havner i mindre sikrede miljøer enn deres følsomhet skulle tilsi. 75 prosent av respondentene er bekymret for at hypervisorer med omfattende rettigheter øker risikoen for at uvedkommende skal få tilgang til informasjon. Verktøy som kan bidra til å avverge dette er ikke i utstrakt grad.
I den delen av undersøkelsen som dreier seg om virtualisering generelt, kommer det fram at 95 prosent av bedriftene har virtualiserte servere i sitt miljø, og at over 70 prosent også virtualiserer lagring, pc-er og applikasjoner (se grafen øverst i denne artikkelen). Innen 2012 vil bare rundt 15 prosent være uten en eller annen form for virtualisert lagring, pc-er og applikasjoner, og knapt 3 prosent vil være uten virtualiserte servere.
Et hovedproblem med å knytte sammen drift og sikkerhet i virtualiserte miljøer, er at de virtualiserte miljøene er heterogene. Grafen nedenfor illustrerer dette:
Over 80 prosent har VMware, mens både Citrix (Xen) og Microsoft brukes i over 40 prosent av bedriftene. Det typiske er altså at man ikke standardiserer på én plattform, men tyr til minst to.
