Da virtualiseringsteknologien bygger på hypervisor-software, kan udefrakommende it-kriminelle angribe eventuelle sårbarheder i hypervisoren, ligesom det er tilfældet med al anden sårbar software.
Det kan eksempelvis ske, når én fysisk maskine kører med en virtualiseret web-server og en række andre virtualiserede servere.
Webserveren er i sagens natur åben ud til det store internet, og lykkes det en it-kriminel at komme ind på web-serveren, kan vedkommende begynde at rode rundt i andre virtuelle servere, hvis en underliggende sårbarhed på hypervisoren gør det muligt.
Dertil kommer, at virtualiseringens automatiske fordeling af ressourcer kan rive inficerede filer frem og tilbage mellem dine virtuelle servere og dermed smitte flere virtuelle maskiner, der ligger på den samme hardware.
For at imødegå den slags trusler skal du selvfølgelig huske at opdatere din virtualiseringssoftware på lige fod med anden software, og så har server manager Mikael Korsgaard Jensen fra Herning Kommune en række simple tricks til folk, der gerne vil snuse til sikkerhedsvirtualisering.
Fange vira fra starten
"Vi har fundet en sikkerhedsløsning fra Trend Micro System, der flyttet virusscanninger ned i virtualiseringslagret," siger han.
Herning-manden fortæller, at han selv har installeret sikkerhedsproduktet som en virtuale applikation på hver af sine 10 fysiske maskiner, hvorefter det går i gang med at scanne efter vira via virtualiseringslagets hypervisor.
Det smarte ved netop den løsning er ifølge Mikael Korsgaard Jensen, at når scanningerne foregår i virtualiseringslaget, inden de når operativsystemerne på de virtuelle maskiner, så vil de CPU-krævende sikkerhedsscanninger ikke sluge nær så mange ressourcer, som man ellers er vant til.
"Før i tiden kunne det tage op mod 30 procent af CPU-kraften at køre antivirus-programmer, og det giver både langsom brugeroplevelse og æder ressourcer fra andre virtuelle maskiner på de fysiske hosts," siger Mikael Korsgaard Jensen, der samtidig undgår at installere antivirus-klienter på virtuelle desktops i kommunen.
Den virtuelle firewall
Han sammenligner løsningen med en virtuel firewall, der kan stoppe kendte sikkerhedshuller.
"Hvis man kører med et ældre styresystem, der ikke længere bliver supporteret af producenten, kan man med sikkerhed i virtualiseringslaget også stoppe kendte sikkerhedshuller, inden virussen rammer styresystemet," fortæller Mikael Korsgaard Jensen.
I Herning Kommune har han sat sikkerhedssystemet op omkring den virtuelle firewall således, at det kun er prædefineret og forhåndsgodkendt trafik, der slipper igennem hypervisoren og op til operativsystemerne.
"Når vi flytter sikkerhedslaget helt ned til virtualiseringen, så har vi oplevet, at vi får bedre sikkerhed, har et mindre ressourceforbrug, slutbrugerne oplever hurtigere maskiner, og kommunen kan køre med flere virtuelle maskiner på samme hosts," opsummerer Mikael Korsgaard Jensen fordelene.
Hundedyre løsninger
Han anser dog de nuværende løsninger for at være hundedyre, da der i lighed med de mere eksotiske dele af virtualiseringsbranchen er en relativ lille efterspørgsel efter produkterne og meget få spillere på banen.
"Indtil videre kender jeg kun Trend Micro, der kan levere en løsning efter vores behov, og så bliver prisen altså også derefter."
Server manageren peger samtidig på, at der allerede til næste år vil være flere sikkerhedsproducenter på banen med løsninger, som han vil kigge nærmere på.
