Compliance-LückeUnternehmen, die Virtualisierungstechnologien einsetzen wollen, sehen sich oft mit dem Problem konfrontiert, dass sie die Informationssicherheit im virtuellen Umfeld mit den betrieblichen Sicherheitsrichtlinien und/oder externen Bestimmungen in Einklang bringen müssen. Dabei ist die Compliance oft der entscheidende Hemmschuh bei der Umsetzung dieser Technologie im Produktionsbereich. “Die DMZ-Konsolidierung mit Hilfe von Virtualisierung wird ein Knackpunkt für die Auditoren sein, da ein höheres Risiko von Fehlkonfigurationen und eine verringerte Sichtbarkeit von Verletzungen der DMZ-Richtlinien besteht. Bis zum Jahresende 2011 werden die Auditoren mehr virtualisierte DMZ-Lösungen prüfen als nicht-virtualisierte DMZ-Lösungen.” Gartner, Juni 2009 Das Einhalten der Compliance-Anforderungen bei der Virtualisierung kann echte Kopfschmerzen bereiten. Neben den physischen Servern muss auch auf die Konformität des allgemeinen virtuellen Umfelds sowie auf die Compliance der einzelnen virtuellen Systeme, die sensible Daten verarbeiten, geachtet werden. Darüber hinaus ändert sich das virtuelle Umfeld ständig, da die virtuellen Systeme von einem Host auf einen anderen umgelagert werden. Compliance kann daher keine Frage von „einmal einrichten und danach vergessen“ sein – sie sollte aus eigenem Antrieb umgesetzt und gepflegt werden. |
