Volgens het onderzoek zou tot 2012 ongeveer zestig procent van de gevirtualiseerde servers op het gebied van beveiliging achterlopen bij die van fysieke servers. Hoewel twee jaar later, in 2015, dit percentage met de helft zou zijn afgenomen, menen specialisten. De onderzoekers stellen tevens dat op dit moment vele virtualisatieprojecten nauwelijks of geen beveiligingsspecialisten betrekken bij het ontwerp van architecturen en in uitroletappes. Gartner luidt nu de noodklok, aangezien het aantal virtualisatieprojecten in datacenters de komende jaren sterk zal groeien. Was eind vorig jaar nog maar achttien procent van alle datacenterworkloads gevirtualiseerd, tegen 2012 zal dat de helft zijn. Het punt van beveiliging wordt hierdoor steeds actueler.

Risico's
Om een idee te geven welke beveiligingsproblemen IT-beheerders kunnen tegenkomen bij virtualisatie, heeft het marktonderzoeksbureau een zestal belangrijke risico's geformuleerd. In de eerste plaats is er het risico dat beveiliging niet bij virtualisatieprojecten wordt betrokken. Uit onderzoek van de marktonderzoeker blijkt onder meer dat veertig procent van de virtualisatieprojecten in 2009 zonder beveiligingsinbreng werden gerealiseerd. IT-beheerders en –architecten moeten beseffen dat virtualisatie, in de vorm van de hypervisor en de virtuele machine monitor (VMM), een nieuwe softwarelaag binnen de architectuur vormt. Deze softwarelaag moet natuurlijk ook worden beveiligd. Een tweede risico dat Gartner noteert, is dat een lek in de virtualisatielaag kan leiden tot lekken in alle workloads. Fouten in de virtualisatielaag kunnen worden geëxploiteerd. Wanneer kwaadwillenden in deze laag doorbreken, hebben ze bijna in alle onderliggende workloads of applicaties vrij spel. Volgens de onderzoekers moet de virtualisatielaag dan ook altijd up-to-date worden gepatched.

Weinig overzicht
Een derde risico dat wordt gesignaleerd, is dat beheerders weinig zicht hebben op virtuele netweken en daardoor over weinig controlemogelijkheden beschikken. Hierdoor werkt de bestaande beveiliging voor virtuele netwerken niet. Volgens Gartner moeten bedrijven voor virtuele netwerken dezelfde monitoring toepassing als voor hun fysieke netwerken. Op deze manier verliezen zij niet het overzicht en controle als workloads en netwerken worden gevirtualiseerd. Een vierde risico dat naar voren komt, is de combinatie van al gevirtualiseerde workloads met workloads uit andere 'vertrouwde' zones op dezelfde fysieke server zonder daartussen een afdoende scheiding aan te brengen. Bij virtualisatie zouden bedrijven dezelfde scheidingsmaatregelen tussen vertrouwde zones moeten handhaven, zoals dat nu al het geval is in fysieke netwerken. Zo zouden virtuele desktopworkloads in datacenters moeten worden aangemerkt als 'onbetrouwbaar' en geïsoleerd moeten worden van de rest van het fysieke datacenter. Bedrijven moeten beveiligingspolicies verbinden aan de identiteit van virtuele machines, zodat de verschillende workloads op een fysieke server niet door elkaar komen te staan.

Beheerrisico's
Een vijfde risico is dat de meeste virtualisatieplatformen op meerdere manieren kunnen worden beheerd. Hierdoor wordt het voor kwaadwillenden makkelijker om op een of andere manier op deze laag in te breken. De onderzoekers stellen voor om de toegang tot de virtualisatielaag te beperken, zoals eigenlijk bij ieder ander besturingssysteem gebeurt. Ook moeten virtualisatieplatformen die role-based accesscontrol ondersteunen voor het beheer, voorrang krijgen. Op deze manier kan goed worden ingeregeld wie, waar en wanneer toegang heeft tot deze platformen. Een zesde en laatste risico dat de onderzoekers van Gartner laten zien, is dat wanneer fysieke servers op één enkele machine worden geconsolideerd, de scheiding tussen netwerk- en veiligheidsbeheer op de tocht kan komen te staan. Zo kunnen systeembeheerders als gebruikers onbedoeld toegang krijgen tot data die zij eigenlijk niet mogen zien. Dit kan volgens de onderzoekers worden opgelost, door de verantwoordelijke netwerkbeheerders die het fysieke netwerk configureren ook verantwoordelijk te laten zijn voor de virtuele laag.