Werbung

Eine Studie von CA Technologies belegt: Ein nicht ausreichendes Sicherheitsmanagement gefährdet virtuelle Umgebungen von Unternehmen. Die Risiken der Hypervisor-Privilegien und die unkontrollierte Datenausbreitung in virtuellen Umgebungen erfordern eine adäquate Antwort. CA Technologies, Anbieter von IT-Management-Software und -Lösungen, gibt die Ergebnisse der Studie zur Sicherheit in virtuellen Umgebungen mit dem Titel „Security – An Essential Prerequisite for Success in Virtualisation“ bekannt. Die Studie wurde vom unabhängigen europäischen Marktforschungsunternehmen KuppingerCole im Auftrag von CA Technologies erstellt. Dafür befragten die Marktforscher 335 Unternehmens- und IT-Entscheider in Führungspositionen in 15 Ländern. Zu den befragten Ländern zählen Deutschland, Groß;britannien, Frankreich, Italien, Dänemark, Finnland, Norwegen, Schweden, Belgien, die Niederlande, Luxemburg, Portugal, Spanien, die Schweiz sowie die USA.

Ein zentrales Resultat der Studie ist: Unternehmen gefährden ihre virtuellen Infrastrukturen, wenn sie keine ausreichende Vorkehrungen für das Sicherheitsmanagement schaffen. Die Hauptgefahren, die Hypervisor-Privilegien und das Risiko der unkontrollierten Datenverbreitung in virtualisierten IT-Umgebungen (Data Sprawl), werden von den bisher üblichen Technologien und Sicherheitsrichtlinien für die Virtualisierung nicht ausreichend adressiert. Das Phänomen des „Data Sprawl“ wird von den Befragten als die größ;te Bedrohung genannt: 81 Prozent der Befragten schätzen das Risiko des Data Sprawl als „sehr wichtig“ oder „wichtig“ ein. Data Loss Prevention (DLP) mildert die Gefahr der unkontrollierten Datenverbreitung, jedoch nur 38 Prozent der Unternehmen haben DLP implementiert.

Ebenso befürchten 73 Prozent der Unternehmen, dass die weitreichenden Privilegien der Hypervisoren zu Fehlern oder Missbrauch durch privilegierte User führt. Der Account des Hypervisors verfügt über umfangreiche Zugriffsrechte und nur geringe Beschränkungen oder Sicherheitskontrollen. Der Hypervisor führt eine weitere Schicht in die Virtualisierungsumgebung ein, die eine Angriffsfläche bietet und dem Missbrauch durch privilegierte User Tür und Tor öffnet. Laut der Studie haben jedoch 49 Prozent der Unternehmen weder ein Privilegiertes User-Management (PUM) noch eine Lösung für das Sicherheits-Log-Management implementiert.

Darüber hinaus geht aus der Umfrage hervor, dass zu viele Sicherheitsmaß;nahmen von manuellen Prozessen abhängig sind und von keiner Technologie unterstützt werden, was die Unternehmenssicherheit ebenfalls beeinträchtigt.

Nur 65 Prozent der Studienteilnehmer gaben an, dass sie über eine klare Aufgabentrennung (Separation of Duties) bei administrativen Aufgaben über alle virtuellen Plattformen hinweg verfügen – das ist aber eine wichtige Voraussetzung für Compliance und Best Practices. Separation of Duties ist ein Sicherheitsprinzip, das vor Betrug und Fehlern schützt. Es verteilt die Aufgaben und die damit verbundenen Privilegien für bestimmte Geschäftsprozesse auf zahlreiche User. Interessanterweise belegt die Studie zugleich, dass 40 Prozent der Befragten keine Software-Werkzeuge nutzen, die eine klare Aufgabentrennung automatisieren. Solche Tools sind zum Beispiel: Access Certification, Privileged User Management oder Log Management. Nur 42 Prozent der Umfrageteilnehmer führen regelmäß;ige Zugangszertifizierungen für privilegierte User durch oder sind in der Lage, privilegierte Zugänge angemessen zu überwachen und in Sicherheitsprotokollen festzuhalten.

„Dies zeigt, dass die verfügbaren Automatisierungstechnologien noch nicht weit verbreitet sind, um die Risiken, die der privilegierte Zugriff in virtualisierten Umgebungen heraufbeschwört, abzufangen“, sagt Shirief Nosseir, EMEA Product Marketing Director, Security Management bei CA Technologies. „Wenn es so wäre, könnten IT-Abteilungen die Risiken der Virtualisierung kontrollieren und die Vorteile der Virtualisierung letztendlich besser realisieren.“

Virtualisierungstrends: Sicherheitsmanagement bleibt ein Bremsklotz

Bei den meisten Unternehmen ist die Virtualisierung noch nicht das Standardfundament der IT-Produktionsumgebungen. Lediglich 34 Prozent der an der Studie teilnehmenden Unternehmen haben eine Server-Virtualisierung bei mehr als 50 Prozent ihrer Systeme umgesetzt. Andere Virtualisierungstypen sind in noch geringerem Umfang eingeführt: Bei mehr als der Hälfte der Systeme ist die Virtualisierung von Storage zu 16 Prozent, von Applikationen zu 10 Prozent und des Desktops zu 8 Prozent von den Unternehmen umgesetzt. Diese Zahlen belegen die groß;e Kluft zwischen dem Hype der Virtualisierung und ihrer realen Einführung.

Während der Haupttreiber für Virtualisierung eine höhere IT-Betriebseffizienz ist, wie 91 Prozent der Studienteilnehmer angaben, ist die Sicherheit ein Problem beim Übergang zur Virtualisierung. 39 Prozent der Unternehmen glauben, dass virtuelle Umgebungen schwieriger abzusichern sind als physische Umgebungen.

Was behindert die Implementierung von Sicherheitslösungen in virtuelle Umgebungen?

Ein Hauptgrund, dass nicht mehr IT-Organisationen Sicherheitslösungen einführen, ist die mangelnde Fachkenntnis – dies gaben 19 Prozent der Befragten als Hinderungsgrund an. Im Gesamten führen laut Studie 55 Prozent der Befragten als weiteren Bremsklotz die „Kosten und Vorabkosten der Implementierung“ an sowie 53 Prozent die „Komplexität des Sicherheitsmanagements über alle virtuellen Umgebungen und Plattformen hinweg“. Diese Ergebnisse überraschen nicht: Sicherheit hat ihren Preis, das wird aber oft nicht berücksichtigt, wenn ein Projekt initiiert wird.

„Es gibt zwei zentrale Aspekte, die mit der Komplexität und der Sicherheit in virtualisierten Umgebungen verbunden sind“, sagt Martin Kuppinger, Gründer und Principal Analyst von Kuppinger Cole. „Erstens gestaltet sich das Sicherheitsmanagement in virtualisierten Umgebungen schwieriger, da die Virtualisierung vermehrt dazu führt, dass Applikationen und Daten zwischen verschiedenen Host-Systemen hin- und her geschoben werden.“ Kuppinger ergänzt: „Zweitens müssen unterschiedliche Plattformen und Umgebungen, die von verschiedenen Anbietern zur Verfügung gestellt werden, verwaltet und gesichert werden.“

Wie die Studienergebnisse belegen, setzen die meisten Unternehmen auf mindestens zwei Anbieter von Virtualisierungstechnologien: So nutzen 83 Prozent der Befragten VMware, 52 Prozent Citrix und 41 Prozent Microsoft (hauptsächlich Hyper-V). Zudem gaben 84 Prozent der Unternehmen an, dass sie integrierte Lösungen bevorzugen, um sowohl virtuelle als auch physische Umgebungen reibungslos zu sichern. Lediglich 5 Prozent der Umfrageteilnehmer haben ein und dieselbe Sicherheitslösung für die virtuelle und die physische Umgebungen eingeführt oder sind gerade dabei.

„Dies unterstreicht, wie wichtig es ist, Werkzeuge und Strategien zu nutzen, die flexibel heterogene Plattformen unterstützen und ein vereinheitlichtes Management von virtuellen und physischen Systemen realisieren“, fügt Shirief Nosseir von CA Technologies an. „Die schlechte Alternative ist eine fragmentierte und in Silos aufgeteilte Infrastruktur, deren Verwaltung teuer und ineffizient ist, weil das zentrale Management und die Automatisierung fehlen. Zudem reichen die Sicherheitsvorkehrungen nicht aus, da es für die Plattformen keine konsistenten Richtlinien gibt.“

Die Studie weist ebenfalls darauf hin, dass die Vielzahl der Unternehmen sich nicht der Bedeutung eines integrierten Sicherheitsmanagements, das ein Infrastruktur- und Service-Management umfasst, bewusst ist. Nur so lässt sich jedoch der Automatisierungslevel erreichen, der für virtuelle Umgebungen notwendig ist. Obwohl 39 Prozent der Befragten der Meinung sind, dass zu Sicherung von virtuellen Umgebungen im Vergleich zu physischen Umgebungen mehr Automation notwendig ist, wird der Integration zwischen Sicherheits-, Infrastruktur- und Service-Management die geringste Priorität in Bezug auf die Virtualisierungssicherheit gegeben: Nur 66 Prozent der Teilnehmer meinen, dies sei „sehr wichtig“ oder „wichtig“.

Ebenso schlecht steht es um die Integration zwischen dem Virtualisierungs-, Sicherheits- und Service-Management: Die Hälfte der Unternehmen hat die Integration zwischen Change-, Konfigurations- und IT-Sicherheits-Management vorgenommen oder ist gerade im Begriff, dies zu tun. Die Einführungsrate in drei entscheidenden Bereichen liegt sogar durchgängig unter 50 Prozent. Zu diesen Bereichen zählen die Integration von Virtualisierungssicherheit sowie des Ereignis- und Problem-Managements, die Anwendung von Service-Leveln auf das Virtualisierungssicherheits-Management sowie das Performance-Management für Sicherheits-Services. „Eine solche Integration stellt für agile IT-Infrastrukturen eine groß;e Herausforderung dar. Bei der Auswahl eines Anbieters aus dem Marktsegment des IT- und Sicherheitsmanagements sollte sie ein Entscheidungskriterium sein“, kommentiert Martin Kuppinger.

Sicherheitsbedenken bremsen den Übergang zur privaten Cloud aus

Die Studie untersuchte auch die Pläne, mit denen Unternehmen ihre virtuellen Umgebungen zur privaten Cloud weiterentwickeln wollen. Als die Teilnehmer nach den größ;ten Hürden gefragt wurden, die eine private Cloud-Strategie behindern, galten die stärksten Bedenken der „Vertraulichkeit der Cloud und Compliance-Problemen“ sowie der „Cloud-Sicherheit“ – sie wurden von fast

85 Prozent der Befragten angeführt.

Während 38 Prozent davon ausgehen, dass sie die Sicherheitsprobleme bis Ende des Jahres 2011 beseitigt haben, sind nur 30 Prozent davon überzeugt, dass dies auch für die Sicherheits- und Compliance-Probleme gilt. Das heiß;t, dass viele Anwender annehmen, das Thema der Sicherheits- und Richtlinien-Compliance könnte die Weiterentwicklung der IT zur Cloud verzögern. Auf der anderen Seite belegt die Umfrage auch, dass es Unternehmen bewusst ist, dass Sicherheit – insbesondere Identity und Access Management (IAM), Governance, Risk sowie Compliance – Voraussetzung für eine erfolgreiche Cloud-Strategie ist.

„Trotz der rapiden Zunahme der Server-Virtualisierung, haben zahlreiche Unternehmen noch einen langen Weg vor sich, um einen Reife- und Automations-Level zu erreichen, der die wahren Vorteile der Virtualisierung ausschöpfen lässt“, schlussfolgert Nosseir. „Die Studie unterstreicht den Bedarf an einer einheitlichen Vorgehensweise, die die gegenwärtige IT- und Sicherheits-Management-Silos adressiert. Sie erlaubt es, die Komplexität der virtuellen Umgebungen zu vereinfachen. Ohne diese Integration werden Unternehmen damit kämpfen, ihre Prozesse zu automatisieren und die mit der Virtualisierung verbundenen Mehrwerte zu realisieren.“ Der EMEA Product Marketing Director Security Management bei CA Technologies unterstreicht: „Beim Übergang zu Cloud-fähigen Rechenzentren wird die Integration besonders wichtig, da dann das Hauptaugenmerk auf der Bereitstellung und Nutzung von IT- und Sicherheits-Services liegt.“

Martin Kuppinger schließ;t daraus: „Die Studie belegt schwarz auf weiß;, dass Sicherheit ein essenzieller Erfolgsfaktor für die Virtualisierung ist. Unternehmen, die auf ein virtualisiertes oder Cloud-IT-Modell umsteigen, müssen in ihre Sicherheitsstrategie, in ihre Organisation, in ihre Skills und in Technologie investieren. Zudem sollten sie sich Anbietern zuwenden, die eine nahtlose Verzahnung zwischen Sicherheits- und Service-Management bieten sowie Werkzeuge, die sowohl heterogene virtualisierte als auch physische Umgebungen unterstützen.“

Die Studie kann heruntergeladen werden unter: www.ca.com/gb/mediaresourcecentre

Über die Studie:

Im Rahmen der Studie „Security – An Essential Prerequisite for Success in Virtualisation“ wurden 2010 von September bis Oktober 335 IT Director, Senior IT Security Manager und andere IT-Führungskräfte in 15 Ländern befragt. Die Teilnehmer vertreten unter anderem folgende vertikale Märkte: Finanzservices und Versicherungen, Telekommunikation und Medien, Öffentlicher Bereich, Fertigung, Pharmazie und Versorgung.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Auf dem daten Friedhof

Dark Data: Wirtschaftliche Chancen mit Cloud, KI und BI nutzen.

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.