Sicherheitsnetz für virtuelle welten - InfoTrust AG

infotrust

Sicherheitsnetz für virtuelle welten - InfoTrust AG

24 Strategie & praxiS Virtualisierung

Fokus: security

Sicherheitsnetz

für virtuelle welten

Server, Speicher, Netzwerke und Applikationen –

alles lässt sich heute virtualisieren. Wenn dabei

jedoch die Sicherheit auf der Strecke bleibt, kann

das Prestige projekt zum Albtraum werden.

Von Stefan aSchwanden

Die Vorteile sind unbestritten: Virtualisierte

Systeme sind schnell verfügbar,

besser ausgelastet, verbrauchen weniger

Hardware, weniger Energie und

damit letztlich weniger IT-Budget. Ausserdem

ist deren Administration einfacher: Während

des laufenden Betriebs können ohne Systemunterbrechungen

Backups durchgeführt, Anwendungen

und Updates installiert und sogar

Hardware ausgetauscht werden. Ganz abgesehen

von der Möglichkeit, komplette IT-Umgebungen

zu Testzwecken zu simulieren.

Aktuelle BedrohungslAge

Mit der zunehmenden Verbreitung von Virtualisierungslösungen

wächst auch die Diskussion

um die Sicherheit virtueller

Systeme. Diese müssen,

genauso wie physische

Systeme, fortlaufend

individuell konfiguriert,

gepatcht und gesichert

werden. Besitzen die VMs

Zugang zu Firmennetz und

Internet, besteht zudem

das Risiko, dass sie gehackt,

manipuliert oder durch Malware infiziert

werden. Zu den bekannten Gefahren zählen:

Virtual Machine Based rootkit (VMBr):

Zweck eines Rootkits ist es, Malware vor den

Antivirenprogrammen und dem Benutzer zu verbergen

bzw. zu tarnen. Virtual Machine Based

Stefan aschwanden ist Head Network Security bei

der InfoTrust AG www.infotrust.ch

Rootkits verschieben die Malware in virtuelle

Maschinen und sind dadurch fast nicht aufzuspüren.

Die neusten Rootkits setzen auf die Virtualisierungstechniken

aktueller Prozessoren

auf und werden als Stealth Malware bezeichnet.

hypervisor attack: Ein weiterer Angriffspunkt

ist der Hypervisor (auch Virtual Machine

Monitor genannt). Wird diese zentrale Komponente

aller Virtualisierungstechniken von

einem Angreifer kompromittiert, hat dieser vollen

Zugriff auf alle virtuellen Maschinen, die

dieser Hypervisor kontrolliert.

denial of Service attack: Diese gezielten

Angriffe legen durch eine unüberschaubare

Zahl von Anfragen ganze IT-Systeme lahm. Im

virtuellen Bereich ist damit gleich die Sicher-

«Im Vergleich zu einem

physischen System ist

gleich eine Vielzahl von

Services befallen»

Stefan aschwanden

heit des gesamten Virtualisierungssystems mit

dem VM-Host und allen VM-Gastsystemen betroffen:

Im Vergleich zu einem physischen System

ist dann also nicht nur ein Service, sondern

gleich eine Vielzahl von Services befallen.

host System infiltration: Da die virtuellen

Systeme die Ressourcen wie Speicher oder Storage

des Host-Betriebssystems gemeinsam

benutzen, können im Sabotage-Fall alle Daten

mitgeschnitten werden, die von den virtuellen

Maschinen zum Beispiel auf die Festplatte geschrieben

werden.

Die liste der Gefahren und Sicherheitsrisiken

ist lang, doch sollte man sich davon auch

nicht abschrecken lassen. Mit den richtigen Vorkehrungen

und geeigneten Massnahmen lässt

sich ein hohes Mass an Sicherheit erzielen – wie

in physischen Umgebungen auch.

stolpersteine vermeiden

Wenn sich ein Unternehmen für den Einsatz virtueller

IT-Systeme entscheidet, hat dies nicht

nur Auswirkungen auf die IT-landschaft, sondern

auch auf diverse interne Arbeitsabläufe und

Geschäftsprozesse. Es liegt auf der Hand, dass die

wilde Implementierung virtueller Systeme ohne

klar definierte Verhaltensregeln und Richtlinien

und ohne die Anpassung einzelner Prozesse auf

Dauer die Unternehmenssicherheit massiv

schwächt. Im Folgenden stehen die wichtigsten

Aspekte der Absicherung von Virtualisierungslösungen,

v.a. aber typische Fehler bei der Virtualisierung

von IT-Systemen, im Fokus.

BIlD: FoTolIA


Computerworld 12/17. Juni 2011

www.computerworld.ch

Mangelnde Storage-Planung: Das Thema

Storage wird bei der Planung von Virtualisierungslösungen

häufig völlig ausgeblendet oder

die Storage-Systeme werden viel zu knapp dimensioniert.

Bei der Implementierung einer

Virtualisierungslösung muss berücksichtigt

werden, dass viele virtuelle Maschinen um den

Zugriff auf das Storage-System konkurrieren.

Schon in der Konzeptionsphase ist also darauf

zu achten, dass die erforderliche Performance

durch Storage-Virtualisierung und Storage-

Trennung gewährleistet ist.

Fehlende Berechtigungskonzepte: Die Einfachheit,

mit der sich virtuelle Maschinen bereitstellen

lassen, führt ohne ein durchdachtes

Autorisierungskonzept zu grossen Sicherheitsproblemen.

Fehlen die entsprechenden Regeln

und Richtlinien, kann theoretisch jeder Mitarbeiter

mit entsprechendem Fachwissen virtuelle

Maschinen einrichten und konfigurieren – im

schlimmsten Fall, ohne dies zu doku -

mentieren. Die Folge sind nicht genutzte Maschinen,

welche die effiziente Nutzung von

Ressourcen stören, und nicht gepflegte bzw.

fehlkonfigurierte Maschinen, die ungewollte

Angriffe durchlassen.

Unzureichende Update-Betrachtungen:

Nur wenige Anbieter von Virtualisierungslösungen

unterstützen das automatische Patching

deaktivierter oder angehaltener virtueller Maschinen

im Offline-Modus. Die existierenden

Tools weisen teilweise noch immer erhebliche

Einschränkungen auf. Es ist daher wichtig, Aspekte

wie das Patching, das Aktualisieren von

Signaturen und die Sabotage-Sicherung für den

Offline-Betrieb der virtuellen Maschinen früh

genug in die Planung mit einzubeziehen.

Komplizierte Früherkennung: Es ist gerade

die Virtualisierungsschicht, die das frühzeitige

Erkennen von Fehlern erschwert – bevor es zum

Ausfall oder Leistungsengpass kommt – und

damit verbunden das rechtzeitige Einleiten entsprechender

Vorsorgemassnahmen. Noch komplizierter

ist, die Ursachen der Probleme zu

finden. Die Früherkennung, die konsequente

Fehlersuche oder eine professionelle Logfile-

Analyse sind darum wichtige Themen bei virtuellen

Infrastrukturen.

Unterschätztes Backup & Disaster Recovery:

Nach der Virtualisierung sind beim Ausfall

eines physischen Servers oder eines Storage-

Systems deutlich mehr Systeme betroffen als

vorher. Eine Betrachtung der bisherigen Abläufe

zur Sicherung, Rücksicherung sowie zum Disaster

Recovery (also eine Neubewertung aller

Ausfallrisiken kritischer Anwendungen) ist unter

Berücksichtigung der neuen Rahmenbedingungen

einer virtuellen Umgebung dringend

zu empfehlen.

Fazit: Flexibler, aber komplexer

Wo auch immer die Gefahren lauern – an Virtualisierung

kommt heute keiner mehr vorbei.

Sie bietet eine Vielzahl von Vorteilen wie Flexibilität,

Kosteneinsparung oder Skalierbarkeit,

um nur einige zu nennen. Mit dem Einsatz virtueller

Systeme steigt aber auch die Komplexität

und damit verbunden auch das Sicherheitsbedürfnis.

Die grosse Herausforderung besteht

darin, auch im virtuellen Umfeld eine lückenlose

Sicherheitsstrategie auszuarbeiten und

diese konsequent umzusetzen.

25

Weitere Magazine dieses Users
Ähnliche Magazine