HU   EN

Virtualizáció biztonság

Miért auditálja virtuális IT rendszerét?

A Gartner tanulmánya szerint a ma eladott szerverek 70%-a már virtualizált alapokon fut. A virtualizációs technológia felhasználásának üteme aggodalomra ad okot abban az esetben, ha a virtuális informatikai rendszeren nem alkalmazzák a szükséges biztonsági intézkedéseket. A technológia terjedése végett, az informatikai megfelelőségi tanúsítványok (pl. ISO27001, PCI-DSS) megszerzésének is feltétele a virtuális informatikai rendszerek auditálása. Az alapvető audit technikák társítása a virtualizációs technológiát érintő egyedi megközelítésünkkel segíti a virtuális IT környezetek biztonsági kockázatainak mérséklését. Ezért szolgáltatásunk kiváló segítséget nyújt a PSZÁF ellenőrzésekre való felkészülésben is. Az eddig megszerzett tudást és technológiai ismereteket felhasználva az ITSecure munkatársai még biztonságosabbá és megbízhatóvá tehetik virtuális IT környezetét.

Mely virtualizációs platfomra alkalmazható a szolgáltatás?

Citrix, Microsoft Hyper-V, Oracle, VMware

A virtuális IT rendszerek biztonsági kockázatait három fő típusba osztjuk:

1. Architekturális sérülékenység: A GUEST gépeken futó virtuális operációs rendszer is ugyanazoknak a biztonsági kockázatoknak van kitéve, mint a fizikai rendszer, tehát a virtuális gépeken is végre kell hajtani a fő biztonsági intézkedéseket.

2. Szoftver sérülékenység: A virtuális informatikai rendszer legfontosabb szoftvere a hypervisor. A hypervisor szoftver biztonsági sérülékenysége a virtuális gép meghibásodásának kockázatát hordozza.

3. Konfigurációs kockázatok: A virtuális gépek egyszerű klónozásának, másolásának köszönhetően az új infrastruktúra rendkívül egyszerűen telepíthető a virtuális környezetben. Ez konfigurációs eltéréseket eredményez, így a gyorsan telepített környezetek ellenőrzése kritikus feladattá válik.
Miből áll az ITSecure auditorainak vizsgálata?

• Ellenőrizzük a fizikai- és logikai hozzáférési beállításokat.
• Értékeljük a virtuális gépek készítésének, telepítésének és menedzsmentjének folyamatát.
• Értékeljük a hypervisor biztonsági intézkedéseit.
• Ellenőrizzük az esetleges biztonsági hiányosságokat a kikapcsolt vagy felfüggesztett állapotban lévő virtuális gépeken is.
• Ellenőrizzük a virtuális rendszer naplózási beállításait.
• Ellenőrizzük a virtuális rendszer katasztrófa tervét, és értékeljük a teszt eredményeket.
• Értékeljük a meglévő ellenőrzési pontok – mint a tűzfalak, a behatolásgátló rendszerek és a hálózati portok – biztonságának hatékonyságát, hogy a virtuális rendszer ne eshessen áldozatul a külső, rosszindulatú támadásoknak.


1. ábra - Virtualizációs audit módszertana

Mit nyújtunk?

A munka végeztével egy összefoglaló vizsgálati jelentést adunk át. Jelentésünk a feltárt hiányosságokat prioritási sorrendben tárgyalja. Egy adott hiányosság prioritását (kockázatát) annak lehetséges hatása és a belőle fakadó fenyegetettség bekövetkezési valószínűsége szerint határozzuk meg. Megfelelő biztonsági szint elérése esetén a vizsgálat lezárásakor TANÚSÍTVÁNYT állítunk ki.

Mi a virtualizáció?

Az informatikai rendszerek virtualizációja az utóbbi években vált jelentőssé és tett szert nagy népszerűségre, azonban gyökerei 1972-ig nyúlnak vissza, amikor az IBM bemutatta virtualizációs technológiáját mainframekben. A hagyományos szerverek már régóta elfogadottak a mindennapi munkamenet támogatásában a CEO-k és CIO-k körében, habár tanulmányok támasztják alá, hogy ez a módszer feldolgozási-kapacitás és hardver-erőforrás pazarlást eredményez, mivel egyik szerver sem teljes kihasználtsággal működik. Az utóbbi idők trendjei sürgetőleg hatnak az IT vezetőkre a költséghatékony IT befektetések és a „Zöld IT” alkalmazásának bevezetésére. Az IT rendszer virtualizálása nagy szerepet játszik a megtakarítások realizálásában.