Madártávlatból vagy a szállítói prospektusokból feltekintve azt mondjuk, hogy a virtualizáció rengeteg előnnyel jár, amit illik egyebek között efféle szavakkal illusztrálni: rugalmasság, skálázhatóság, költségcsökkentés. A helyzet azonban nem ilyen vidám, ha azt vizsgáljuk, miként lehet gondoskodni a biztonságáról.
Kezdjük azzal, hogy nagyon nem mindegy, vállalatunk, vállalati szervezetünk milyen viszonyban áll a virtualizált erőforrásokkal. Essünk túl az egyszerűbb eseten, amikor is a szóban forgó infrastruktúrát felhőben vesszük igénybe, s a felhőt szolgáltatja egy másik cég, amelynek fizetünk azért, amit szolgáltat. Természetesnek tűnik, hogy ilyenkor a szolgáltató felel az IT-biztonságért, de csak látszólag, mert nem en bloc, hanem csupán egy igen jól meghatározott részéért. Mégpedig azért, hogy a virtualizált elemek az általa nyújtott infrastruktúrában legyenek biztonságban: az ő oldaláról támadás ne érhesse az ügyfél rendszerét, az ügyfél adatait.
Az ügyfélnek azonban továbbra is marad tennivalója: neki kell arról gondoskodni, hogy az általa felhatalmazott munkatársak (és csak ők) léphessenek be a rendszerekbe, ott csak azokat a feladatokat (és csakis azokat) végezhessék el, amelyekre felhatalmazták őket. Az autentikáció tehát az ügyfél gondja, mint ahogyan az ügyfélnek kell tudnia mindenről, amit a felhasználói tesznek a rendszerekben, legkivált azon felhasználói, akiket különleges jogokkal ruház fel. És végül, de nem utolsósorban azon körülmény miatt, hogy a rendszerei felhőben, virtualizált gépeken működnek, nem mentesül az a kötelezettség alól, hogy megfeleljen a törvényi, iparági előírásoknak és elvárásoknak.
Rém bonyolulttá válik a szituáció IT-biztonsági szempontból, ha olyan informatikai rendszer működtetéséért felelünk, amely kiaknázza a virtualizációs technológiai minden előnyét. Ha elég nagy a rendszerünk, és a terhelése nem egyenletes, továbbá a virtualizáció jól sikerült, akkor egy folyamatosan változó, az igényeket rugalmasan követő környezet felett kell őrködnünk. A szokatlan események és rendellenességek megfigyelése és jelzése az előbbiekből következően sokkal bonyolultabb, mint egy hagyományosnak mondható, stabil, fizikailag állandó környezetben.
Egy virtualizált rendszerben nehézzé válik annak követése, hogy éppen melyik virtuális gép van online, melyik offline státuszban. A támadók pedig - ahogyan olvasom az irodalomban - az éppen offline virtuális gépeket használják kapuként a rendszerbe való belépésre. Olyan offline gépeket, amelyeken még éppen nem végeztük el a biztonsági frissítéseket.
Ha bonyolult a probléma, akkor a megoldás nem lehet egyszerű.
Amikor eddig jutottam a kutatásomban, azt kezdtem mérlegelni, vajon mennyibe kerülhet az IT-biztonságról való állandó gondoskodás a virtualizált környezetben. Talán így helyesebb fogalmazni: mennyibe kerülhet az, hogy egy hasonló feladatokat elvégző nem virtualizált rendszer biztonságosságának szintjét elérjük a virtualizáltban.
Azt kezdem kapizsgálni, hogy a virtualizációval elért előnyöket az IT-biztonság szintjének megőrzéséért tett erőfeszítések és költségek alighanem kiegyenlítik. Azt a kérdést teszem fel, kiszámolta-e valaki, mibe kerül a bonyolultabb környezet védelme, a folyamatok újragondolása, a virtuális környezet állandó aktív menedzsmentje, amelynek során folyamatosan követjük, mi üzemel, mire van szükség és mire nem? És mibe kerülnek azok az új eszközök, szoftveres megoldások, amelyekkel automatizálhatók a biztonsági ellenőrzések, a terheléskiegyenlítések?
Szerintem a birtoklás teljes költségét olyankor is illene kiszámolni, amikor olybá tűnik, voltaképpen teljesen felesleges.