Virtualisatie. Je kan er niet meer omheen de laatste tijd. Iedereen heeft het over de cloud. Een concept dat iets meer aandacht verdient, want zoals bij elke hype is het verstandig eens de voor- en nadelen naast elkaar te leggen.

Laten we beginnen met de voordelen, en die zijn er zeer zeker. Anders was er geen markt voor en zou er ook geen hype rond ontstaan. In tijden van crisis wil iedereen geld besparen. Anders ook natuurlijk, maar nu zeker.

Virtualisatie betekent dat je veel efficiënter gaat omspringen met de middelen die je voorhanden hebt. In sommige gevallen kan het betekenen dat je in de plaats van te investeren in hardware, je bepaalde zaken overlaat aan derde partijen die ze voor jou regelen. Een voorbeeld daarvan is heel eenvoudig: in plaats van je eigen web- of mail server aan te schaffen en zelf te beheren, huur je de service van je Internet-provider. Concreet betekent dit dat je zelf geen hardware meer dient te kopen, onderhouden en beveiligen. Je kan hetzelfde doen met je Internet-beveiliging. Sommige providers bieden ook anti-virus- en anti-spam diensten aan bovenop de e-mail diensten die je bij hen afneemt. Eigenlijk moet je tegenwoordig al goed zoeken om een provider te vinden die dit sowieso niet standaard aanbiedt binnen hun pakket.

Ook andere virtualisatisatiediensten

Er bestaan ook andere virtualisatiediensten, waarbij je wel zelf je hardware aanschaft, maar er op een betere manier gebruik van maakt. Een schoolvoorbeeld hiervan is het gebruik van VMware-software. In plaats van allemaal aparte servers te kopen voor mail, web, printers, bestanden en ga zo maar voor, koop je één grote server (of cluster) en consolideer je daarop alles, maar dan wel gevirtualiseerd. Voordeel: je spaart rackspace uit, je electriciteitsverbruik gaat omlaag, nieuwe servers live brengen is een kwestie van minuten en je moet minder onderhoud betalen voor de hardware (veel minder servers!).

Er zit echter een addertje onder het gras waaraan niet iedereen denkt. Hoe zit het met de beveiliging van al deze zaken? In veel gevallen is er vrijwel geen aandacht aan beveiliging besteed en kijkt iedereen alleen maar naar de voordelen. Tot het fout loopt, natuurlijk.

Het is immers cruciaal - net als in de fysieke wereld waar het algemeen aanvaard is - om de mail- en web server niet in hetzelfde segment te plaatsen als de file- en print server. Ook is het aangewezen er andere firewall rules voor te hanteren. Dat geldt ook voor een VMware ESX- server.

In de realiteit ligt dit vaak nét iets anders. De ESX-server wordt doorgaans niet beheerd door een ploeg die ook maar iets te maken heeft met beveiliging.

Eén simpel foutje in de configuratie van de netwerkinstellingen van een virtuele machine en opeens is er een directe verbinding tussen twee servers die in de fysieke wereld nooit met elkaar zouden mogen praten.

Nadenken over communicatie tussen virtuele machines

Het is dus zeer belangrijk dat er grondig wordt nagedacht over hoe de verschillende virtuele machines met elkaar mogen communiceren.

Er bestaan producten die op een ESX-server kunnen worden geïnstalleerd en zich net als een fysieke firewall gedragen, maar als een virtuele machine worden geïnstalleerd. Naast alle andere virtuele machines die op de ESX-server (of cluster) geïnstalleerd zijn.

Er is echter één belangrijk verschil ten opzichte van de andere virtuele machines. Deze firewall haakt in op de hypervisor. En wat mag daar dan het praktische nut van zijn? Wel, de firewall zal steeds de “next hop” zijn, wat de netwerkconfiguratie van een virtuele machine ook mag wezen.

Laat ons even terugkomen op het eerder aangehaalde voorbeeld van de twee servers (virtuele machines) op de ESX-cluster die door een foute netwerkconfiguratie opeens met elkaar kunnen praten. Met een firewall ertussen die steeds de “next hop” is, zijn dergelijke incidenten niet meer mogelijk. In dat geval spreken we dus over het beveiligen van virtualisatie.

Beveiliging virtualiseren?

Wat wordt er dan bedoeld met de tweede optie in de titel: “beveiliging virtualiseren”?

Concreet betekent dit dat je de bestaande firewall in een virtuele modus gaat laten draaien.

Tegenwoordig heb je namelijk de mogelijkheid om een fysieke firewall te converteren naar een gevirtualiseerde variant. Waarom zou men dat wensen te doen?

Voor een deel omwille van de eerder aangehaalde redenen (kostenreductie door uitsparen van rackspace en energie, ...) maar ook omdat het je de mogelijkheid biedt om een logische segregatie te maken in je security policy. Als je bijvoorbeeld één firewall hebt waar er verschillende netwerksegmenten op zijn aangesloten (LAN, DMZ, wireless, guest network, backup-segment,...), dan zal je security policy er naar alle waarschijnlijkheid vrij complex uitzien. Als je die fysieke firewall gaat virtualiseren, dan kan je in principe één virtuele firewall per segment gebruiken. Elk segment heeft dan zijn eigen policy die er dadelijk ook een stuk eenvoudiger en overzichtelijker op wordt

Een tweede voordeel is de vereenvoudiging op opleveringsniveau. Stel dat je je firewall niet kan virtualiseren, maar er wel nood aan een bijkomende firewall is. In dat geval moet er voor budgettaire goedkeuring worden gezorgd, mogelijkerwijze een RFP, de aankoopdienst moet er zich mee bezighouden, er volgt een leveringstermijn van enkele weken en dan pas kan er met de installatie worden begonnen. Indien de firewall virtualiseerbaar is, dan kan een nieuwe firewall in een kwestie van minuten live zijn.

Vanzelfsprekend is dit een bijzonder populair product bij managed security service providers die firewalls beheren voor eindklanten.

Zoals je merkt is er voor elke situatie wel een passend product. Elk van de gevallen biedt onmiskenbare voordelen, een grondige kostenreductie niet in het minst.

Het enige nadeel aan virtualiseren is dat de stap moet gemaakt worden naar de aanschaf en installatie van een product dat zich laat virtualiseren. Maar als er één conclusie mag volgen uit dit verhaal, is het wel de volgende: staar je niet blind op de voordelen, vergeet de beveiliging niet.

(Bovenstaande bijdrage kwam tot stand in samenwerking met Checkpoint Systems Benelux (Zaventem). Meer info: 02/709.21.22 of www.checkpoint.com).