Nicht genutztes Equipment ist immer ärgerlich. Es hat Geld gekostet und bringt nichts ein. Insofern strebt man in der IT von jeher nach einer optimalen Ausnutzung der vorhandenen Ressourcen. Auch der Begriff dafür, Virtualisierung, ist fast so alt wie die IT. Durch Virtualisierungstechniken entstehen sozusagen Softwaremaschinen, die sich mit jeweils eigenem Betriebssystem und eigenen Anwendungen auf einer einzigen Hardware betreiben lassen. Dadurch steigt die Auslastung und bei richtiger Verteilung der Aufgaben sinken die Kosten deutlich.
Diese höhere Auslastung der Ressourcen lässt allerdings auch die Komplexität steigen. Um die Verteilung der verschiedenen Softwaresysteme auf der Hardware steuern zu können, muss unter anderem eine zusätzliche logische Schicht geschaffen werden, die auch eine zusätzliche Angriffsfläche darstellt. Wenn es einem Angreifer gelingt, Schadcode in diese Hypervisor-Schicht einzubringen, kann er von dort unter Umständen gleich einen ganzen Pulk von logischen Servern, so genannten Instanzen, manipulieren.
Angesichts der Komplexität virtualisierter Umgebungen ist der Verlust der Kontrolle eine unmittelbare und sehr ernst zu nehmende Gefahr. Daher muss unter allen Umständen verhindert werden, dass unter Umgehung der Sicherheitsrichtlinien unbekannte Software-Instanzen, die als Gratisangebote zuhauf im öffentlichen Internet existieren, in virtualisierte Unternehmensumgebungen eingebracht werden.
Ein solches Herunterladen von Software mit unbekanntem Sicherheitsstatus ist genau so, als würde man ohne Sicherheitscheck einen externen physischen Rechner in das Unternehmensnetz einbinden. Mehr noch: eine virtualisierte Instanz mit unbekanntem Sicherheitsstatus ist noch um vieles gefährlicher als ein unbekannter physischer Rechner, weil sie viel schwerer greifbar ist. Peter Schill von SafeNet schilderte auf der letzten Integralis Security World die Gefährdungslage: „Der Ort der Instanz ist nicht transparent, sie kann unbewusst vervielfältigt werden und ein Übertragen auf die Originalinstanz ist jederzeit möglich. Da solche Instanzen oft veritable Server sind, ist die Angriffsfläche enorm.“
Kriterien für Sicherheitssoftware für virtualisierte Umgebungen
Als generelle Sicherheitsrichtlinie für virtualisierte Umgebungen sollte deshalb die Installation von Software, die nicht unter Kontrolle des Unternehmens ist, verboten und technisch auch nicht möglich sein. Falls ein kleiner Mitarbeiterkreis, zum Beispiel Softwareentwickler, für Testzwecke virtualisierte Softwarepakete von außen benötigt, müssen dafür sorgfältige Authentifizierungsmechanismen installiert werden und eine „wundersame Vermehrung“ dieses Personenkreises auf jeden Fall vermieden werden.
Alle Softwaremaschinen sollten zudem über das gleiche Sicherheits-Inventar (zum Beispiel Personal Firewalls, Virenschutz- und Zugriffsschutzprogramme) verfügen wie die physischen Geräte. Das klingt einfach, ist es aber keineswegs.
Abgesehen davon, dass die Aufrechterhaltung eines einheitlichen und aktuellen Sicherheitsstatus auch bei physischen Rechnern eine große und schwierige Aufgabe ist, kommt bei virtualisierten Instanzen die Herausforderung hinzu, dass sie in großen Unternehmensnetzen leicht versteckt werden können. Es sind also unbedingt virtualisierungsfähige Sicherheitsprodukte einzusetzen. Bei der Auswahl ist allerdings viel Wissen und Vorbereitung notwendig. Denn nicht jedes Produkt eignet sich für jede Umgebung. Der Sicherheitsanbieter Sophos nennt drei Kriterien, welche bei der Auswahl von Sicherheitsprodukten für virtualisierte Umgebungen beachtet werden sollten:
- Unterstützt der Sicherheitsanbieter die Virtualisierungssoftware, die eingesetzt werden soll?
- Gibt es Konflikte mit vorhandenen Virtualisierungsplattformen?
- Kann mit der Sicherheitssoftware die Verwendung von Virtualisierungssoftware gesteuert werden?
Schwierige Platzierung der Sicherheitsmechanismen
Der letzte Punkt ist dabei ganz entscheidend. Denn die Dynamik virtualisierter Systeme ist für die effiziente und kostengünstige Umsetzung von komplexen Aufgaben zwar sehr attraktiv, unter Sicherheitsaspekten ist sie aber zunächst ein Albtraum. „Da virtuelle Maschinen schnell auf vorherige Instanzen zurückgesetzt und von einem physischen Server auf den anderen verschoben werden können, ist es schwierig, eine konsistente Sicherheit zu erzielen oder aufrechtzuerhalten“, schreibt Trend Micro in einem White Paper. Wenn beispielsweise Steuerelemente wie VMotion von VMWare verwendet würden, um eine virtuelle Maschine von einem physischen Server auf einen anderen zu verschieben, ginge der Sicherheitskontext ganz schnell verloren. Insofern müsse das Cluster-Konzept virtualisierte Sicherheitsanwendungen für jedes mögliche Ziel konfigurieren, an das eine virtuelle Maschine verschoben werden kann. Das führe aber natürlich zu entsprechenden Leistungseinbußen.
Geschützt werden müssen in virtualisierten Umgebungen zum einen die Hypervisor-Schicht, zum anderen die Verkehrsflüsse zwischen dem Hypervisor und den sogenanten Gastbetriebssystemen, also der Systemsoftware, welche die einzelnen logischen Server betreibt. Die Verbindung zwischen diesen Schichten bilden virtualisierte schaltbare Verteiler, die Switches. Eine Schutzmöglichkeit besteht nun darin, Einbruchsdetektions- und Einbruchspräventionssysteme (IDS/IPS) vor den virtualisierten Switches zu platzieren. Das bietet Schutz vor Angriffen aus dem Netz, kann aber keine Angriffe zwischen den virtualisierten Maschinen auf ein- und demselben virtualisierten Switch bieten.
Dieses Problem lässt sich durch Installation eines IDS/IPS auf jedem Gastbetriebssystem beheben. Das ist freilich aufwändig und nicht einfach zu handhaben, weil ja dann auf jedem Gastbetriebssystem ein einheitlicher Sicherheitsagent installiert werden muss. Mehr noch: trotz dieses Aufwands kann „die dynamische Natur virtualisierter Umgebungen dazu führen, dass dennoch VMs ohne Sicherheitsagent in der Produktionsumgebung installiert werden, wie Trend Micro zu bedenken gibt.
Sicherheitswächter-VM plus VM-zentrierte Agents
Eine elegante Sicherheitslösung für virtualisierte Umgebungen ist die Installation einer eigenen Sicherheits-VM. Mit seiner VMSafe-API im Rahmen von VMware vSphere 4 bietet VMware eine solche Gestaltungsmöglichkeit. Beschrieben wird eine derartige Lösung in einem Paper des Marktforschungsunternehmens Gartner. Die dort behandelte Sicherheitswächter-VM verwendet APIs zur Selbstprüfung, um auf vertrauliche Statusinformationen jeder einzelnen VM, zum Beispiel Arbeitsspeicher, Status und Netzverkehr zuzugreifen. Im Idealfall wird dadurch der gesamte Netzwerkverkehr der virtualisierten Netzwerkkonfiguration sichtbar.
Nach Einschätzung der Experten von Trend Micro kann indes eine virtualisierte Sicherheits-VM allein keine vollständige Sicherheit gewährleisten. So seien einer solchen Lösung bestimmte Sicherheitsfunktionen wie der verschlüsselte Datenverkehr oder der Zugriff auf bestimmte Echtzeit-Statusinformationen verschlossen. Deshalb müssten sie durch VM-zentrierte Agents ergänzt werden.
Fazit
Sicherheit in virtualisierten Umgebungen ist sicher machbar. Die Ansätze von Unternehmen wie SafeNet, Sophos oder Trend Micro belegen das. Sie zeigen aber auch sehr deutlich, wie viel Aufwand und vor allem auch wie viel Disziplin jedes einzelnen Nutzers notwendig sind, damit die Sicherheit in virtualisierten Systemen real und nicht bloß virtuell ist.
Neueste Kommentare
Noch keine Kommentare zu Geeignete Sicherheitskonzepte für virtualisierte Umgebungen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.