Letterlijk betekent vir•tu•a•li•sa•tie het isoleren of loskoppelen van een computereenheid van andere computereenheden.

Beschikbaarheid
Voor een hogere beschikbaarheid van servers kan middels virtualisatie worden gezorgd. Virtuele machines zijn onafhankelijk van fysieke hardware en kunnen zeer eenvoudig worden verplaatst van de ene host naar de andere, waarbij deze host op dezelfde locatie kan staan of op een uitwijklocatie.

Hogere beschikbaarheid voor servers kan worden bereikt met een virtualisatieoplossing die actief alle virtuele machines in de gaten houdt. In geval van uitval van een fysiek systeem start de virtuele machine automatisch op een ander systeem. Afhankelijk van de gebruikte beheertools is het ook mogelijk om de load van virtuele machines dynamisch te verdelen over de beschikbare fysieke hosts door gebruik te maken van ‘live migration'.

Servervirtualisatie
Servervirtualisatie is de oplossing waarbij een volledige computeromgeving binnen het besturingssysteem van een andere computer wordt gehost. Tegenwoordig is servervirtualisatie geen niche maar voor veel organisaties de defacto standaard. Steeds meer organisaties hebben een gedeeltelijk of volledig gevirtualiseerde ICT-infrastructuur. De concurrentiestrijd heeft er onder andere voor gezorgd dat grote partijen zoals Citrix, Microsoft en VMware hun hypervisor gratis weggeven. De grote hardwareleveranciers leveren deze hypervisor als basisvoorziening in de servers mee. Hierdoor is de adoptie van servervirtualisatie erg eenvoudig. Dit zien we ook in de vele virtualisatieprojecten; een goede zaak. In Nederland en België zijn naar schatting ongeveer 10 tot 15% van alle servers gevirtualiseerd. Met al die virtuele omgevingen rijst echter de vraag of de veiligheid binnen een virtuele infrastructuur wel gewaarborgd kan blijven.

Virtualisatieoplossingen

Er zijn tegenwoordig vele tientallen verschillende virtualisatieoplossingen. Een aantal van deze oplossingen bestaan al vele jaren. Het virtualiseren van applicaties, desktops, presentatie, hardware, storage en netwerk zijn begrippen in dit interessante marktsegment.

Als we naar de markt van de Virtuele Datacenters kijken zijn er drie hoofdrolspelers. Dit zijn in alfabetische volgorde: Citrix Xenserver, Microsoft Hyper-V en VMware ESX. De Citrix Xenserver en Microsoft Hyper-V oplossing bevat een hypervisor, een zeer dunne softwarelaag die de processor en alle domain0 (parent)- en child-partities van elkaar scheidt. De hypervisor ondersteunt alle partities op de hostcomputer en biedt een sterke veiligheidsscheiding tussen de parent- en child-partities. Omdat de hypervisor geen code of stuurprogramma's van derden bevat, biedt het slechts een minimaal aanvalsoppervlak. De Microsoft en Citrix hypervisor wordt ook wel een microkernelized hypervisor genoemd.

Citrix
Citrix heeft in 2008 Xensource overgenomen. Xensource (en daarmee XenServer) is maakt gebruik van de Xen opensource hypervisor. Xen is ontstaan in 2003 en heeft als basis principe dat virtuele machines een soort interface krijgen naar de hardware van het host- of parent OS(domain0). Hierdoor is de performance van de virtuele machine nagenoeg het zelfde als native (fysieke) hardware. Citrix levert een belangrijke bijdrage aan de Xen gemeenschap. De code van de Xen hypervisor is open source. Daarmee kan iedereen deze code op mogelijke fouten onderzoeken. Citrix is er van overtuigd dat op deze manier de Hypervisor de veiligste, snelste en meest stabiele hypervisor is en blijft. Xen is de motor in de complete auto die Citrix maakt. De structuur van de XenServer hypervisor ziet er als volgt uit:

Figuur 10: Architectuur van Citrix Xen Hypervisor

Microsoft
De implementatie van de Hyper-V hypervisor is vergelijkbaar met de architectuur van de Xen Hypervisor. Microsoft heeft zelfstandig de Hyper-V componenten ontwikkeld, hierbij is wel degelijk gebruik gemaakt van de kennis van de architecten die ook de Xen hypervisor hebben ontworpen. De implementatie van Xen is op Linux gebaseerd en de implementatie van Microsoft's hypervisor is op Windows Server 2008 uitgevoerd. Omdat de architectuur vergelijkbaar is zal in de nabije toekomst de uitwisseling van Virtuele Machines tussen de Microsoft en Citrix XenServer platformen eenvoudig zijn.

Figuur 11: Architectuur van Microsoft Hyper-v Hypervisor

Ook bij Hyper-V wordt alle netwerk- en dataverkeer door de zo genoemde Parent Partition naar de fysieke hardware doorgegeven. De drivers die hiervoor gebruikt worden zijn die van Windows 2008. Deze zijn niet specifiek geoptimaliseerd voor Virtualisatie maar het zorgt er wel voor dat Hyper-V op zo'n beetje alle serverplatformen werkt.
De reputatie van Microsoft als leverancier van oplossingen die ‘secure by design' is met de levering van Windows Vista en Windows Server 2008 sterk verbeterd. De veiligheid van alle hedendaagse Microsoft oplossingen heeft tijdens het ontwikkelen, testen en releasen de hoogste prioriteit. Daarmee kunnen we er van uitgaan dat Hyper-V, als basis role in Windows Server 2008, met betrekking op veiligheid de concurrentie kan weerstaan.

 
VMware
De VMware ESX hypervisor is de meest volwassen hypervisor van de drie. De VMware oplossing is vooral gefocust op ‘datacenter automation' en bevat veel functionaliteiten die vooral in enterprise datacenters erg zinvol zijn. De structuur van VMware hypervisor is wezenlijk anders dan die van de Microsoft en Citrix.

Figuur 12: VMware ESX Hypervisor

De architectuur van de ESX hypervisor is anders dan die van Citrix en Microsoft. De ESX hypervisor is namelijk veel groter. Alle drivers en de scheduler die de verdeling van de hardware tussen de virtuele machines regelt, zit in de hypervisor. De VMware hypervisor wordt ook wel een monolithic hypervisor genoemd. De Service Console is een van RedHat afgeleid OS en dient puur voor management van de virtuele machines. Voor het direct functioneren van de virtuele machines is de Service Console niet nodig in de ESXi versie is de Service Console dan ook helemaal verdwenen. De helft van de security patches die VMware uitbrengt hebben betrekking op deze service console. Door het gebruik van ESXi zal de attack surface van ESX daarom een stuk kleiner zijn. Dat VMware het meest doorontwikkelde product levert mag geen verrassing zijn. VMware is de enige die een Evaluation Assurance Level 4 (EAL) security certificering voor ESX v3 op zak heeft.