CIOs müssen Zuständigkeiten klären

5 Sicherheitstipps für Server-Virtualisierung

07.07.2009
Von Nicolas Zeitler

Laut Simon Crosby, CTO bei Systems, sollten die Sicherheitsmechanismen in die Anwendungen integriert warden, nicht in Hypervisor oder Infrastruktur. Wer die Sicherheitsrichtlinien seines Unternehmens und anderer Hypervisor-Anbieter befolge, könne der meisten Bedrohungen Herr werden.

4. Wildwuchs eindämmen

Eine weitere Folge der schwierigen Übersicht über virtuelle Server kann unkontrolliertes Wuchern sein. Für einen speziellen Zweck hat ein Geschäftsbereich einmal einen virtuellen Server einrichten lassen, später gerät er in Vergessenheit. Das verschwendet Ressourcen und kann die Datensicherheit gefährden.

Um das zu vermeiden, behandelt Chris Steffen von Kroll Factual Data virtuelle Server wie physische. "Wenn ein neuer angeschafft werden soll, läuft derselbe Beschaffungsprozess ab wie für einen allein stehenden Server", erklärt er. Bestellt ein Bereichsleiter einen virtuellen Server, muss er einen Bedarfszettel ausfüllen und begründen, wofür er die Maschine braucht. Das verlangsamt die Bereitstellung zwar, zwingt aber alle, darüber nachzudenken, wie nötig die Anschaffung wirklich ist, erklärt Steffen.

5. Virtuelle Geräte kritisch betrachten

Virtuelle Infrastruktur hat große Vorteile, wie Neil MacDonald sagt. Das Produkt eines Drittanbieters lässt sich innerhalb weniger Minuten testen. Man müsse nicht erst Platz auf einem Test-Server schaffen, eine Software installieren, sie mit dem Betriebssystem verbinden und Stunden investieren, um zu sehen, ob die Anschaffung ihre Versprechungen erfüllt.

Allerdings kaufe man mit virtuellen Infrastruktur-Komponenten eben auch "die Katze im Sack", warnt er. "Jedes Paket hat sein eigenes Betriebssystem, seine Anwendungen mit ihrer speziellen Konfiguration." Wer auf Dauer die Wartung übernehme oder welche Risiken darin steckten, sei nur schwer auszumachen. Wer neue Module anschaffe, solle vorab möglichst klären, welches Betriebssystem dahinter steckt, ob Sicherheitslücken bereits behoben seien und falls nicht, wer sie schließen könne.

Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation CIO.

Zur Startseite