Новое исследование Gartner показало, что 60% виртуальных серверов защищены хуже , чем их физические предшественники, которых они заменили. И эти цифры останутся неизменными вплоть до 2012 г., хотя защищенность постепенно будет улучшаться и к 2015 г. доля «рискованных» виртуальных серверов снизится до 30%.

Главную причину этого негативного факта аналитики Gartner видят в том, что развертывание большей части проектов виртуализации происходило без участия специалистов по информационной безопасности, по крайней мере на этапах разработки архитектуры и планирования, что является следствием как незрелости средств и процессов виртуализации, так и пробелами в обучении персонала, реселлеров и консультантов. Но, по их мнению, этот вывод не означает, что виртуализация небезопасна по сути.

Виртуальный сервер — гипервизор — достаточно новая платформа, и ее использование создает новый вектор угроз с новыми, еще неисследованными уязвимостями. Для упрочнения защиты гипервизора Gartner рекомендует как можно дольше поддерживать его «тонким», незаполненным, проводя в это время детальную настройку конфигурации в плане повышения ее защищенности от неавторизованных модификаций.

В ходе исследования эксперты выявили шесть общих рисков безопасности для виртуальных структур. Первый и главный — отсутствие требований к информационной безопасности в проекте виртуализации. Кроме того, угрозы для уровня виртуализации могут исходить от любой из систем, включенных в виртуальную структуру. А отсутствие визуализации и управления во внутренних виртуальных сетях, образующих соединение двух виртуальных машин (VM-VM), ведет к слепоте механизмов политик безопасности. Еще один риск порождается тем, что часто на одном физическом сервере объединяются несколько рабочих процессов с разным уровнем защищенности, которые никак не отделяются друг от друга. Мало внимания уделяется и средствам администрирования доступа на уровне гипервизор-механизм виртуальной машины (hypervisor/VMM), а утилита администрирования отсутствует.

По мнению аналитиков Gartner, от производителей средств виртуализации нужно требовать, чтобы в своих продуктах они обеспечивали измерения на уровне гипервизор/механизм виртуальной машины на этапе начального запуска. Это может дать определенные гарантии, что гипервизор не будет скомпрометирован. А организации не должны использовать средства защиты, ориентированные на обычные серверные системы, чтобы определить нарушения безопасности или защитить какие-либо приложения, работающие на более низком уровне.

В целом, исследование Gartner выявило, что на конец 2009 г. были виртуализованы только 18% всех центров обработки данных предприятий, которые могли и должны были быть переведены на виртуальную схему работы. Но к концу 2012 г. их доля вырастет до 50%.