Reale Sicherheit in der virtuellen Welt

Virtuelle Umgebungen haben besondere Sicherheitsanforderungen, die sich nicht einfach mit den für physische Server und Clients konzipierten Werkzeugen erfüllen lassen. Die Hersteller nutzen dies als Marktchance, haben dazu jedoch eine doppelte Aufgabe zu lösen: Die Produkte müssen architektonisch und funktional aufgerüstet werden, gleichzeitig gilt es, für mehr Sensibilität in den Unternehmen zu werben.

Über die Vorteile von Virtualisierungstechniken in unterschiedlicher Ausprägung sind sich alle
Experten grundsätzlich einig: Eine effektive IT-Landschaft lässt sich so mit weniger Ressourcen
aufbauen, sich flexibler nutzen und schneller an neue Business- und IT-Anforderungen anpassen. Wenn
alles wie gewollt funktioniert, spart dies Zeit und Geld, schont die Umwelt – und stärkt damit ganz
nebenbei die Position der IT im Unternehmen.

Gleichgültig, wie oder was virtualisiert wird: Kennzeichnend ist stets eine zusätzliche
Abstraktionsschicht, die die virtualisierten Instanzen von Betriebs- oder Speichersystem einrichtet
und verwaltet sowie deren Interaktion steuert. Die herausragende Position dieser Schicht allein
macht bereits deutlich, warum sie gleichermaßen auch einen besonders sicherheitssensiblen Bereich
darstellt und besonderen Schutzes bedarf. Erschwerend kommt hinzu, dass sich die bekannten
Strategien und Werkzeuge – also etwa Firewall, Zugriffsrechte und Antivirensoftware – nicht ohne
Weiteres auf virtuelle Umgebungen übertragen lassen.

Um sich einen Überblick zu verschaffen, ist es hilfreich, fünf "unverrückbare Regeln" zu
betrachten, die Pete Lindstrom von der Burton Group in einem sehr lesenswerten Whitepaper (Security
and Risk Management Strategies, In-Depth Research Overview, Januar 2008) veröffentlicht hat:

1.     Alle bekannten Angriffe auf Betriebssystemebene nutzen dasselbe Muster.
2.     Risiken durch Angriffe auf den Hypervisor kommen zum bestehenden
   Systemrisikoprofil hinzu.
3.     Eine Trennung von Funktionalität und Content in verschiedene VMs reduziert
   dieses Risiko.
4.     Die Aggregation von Funktionen und Ressourcen auf eine physische Plattform
   erhöht das Risiko.
5.     Ein System mit einer vertrauenswürdigen VM auf einem "untrusted" Host birgt
   ein höheres Risiko als ein System mit einem "trusted" Host und einer nicht vertrauenswürdigen
   VM.

Als einen besonders wichtigen Punkt vermerkt Lindstrom die Gefahr, dass ausführbarer Code
gewissermaßen "seine" VM verlassen kann, also unkontrollierte Funktionen auf dem physischen Host
ausführt. Bekanntermaßen ist der Hypervisor zunächst nichts anderes als ein zusätzliches Stück
Software, das durch seine pure Existenz – und seine Komplexität – das Gesamtrisiko erhöht.
Allerdings sind alle aus den traditionellen Architekturen bekannten Softwareteile des Gesamtsystems
in der virtuellen Welt auch noch vorhanden; und diese brauchen unbedingt den gleichen Schutz – aber
mithilfe speziell auf die neue Situation abgestimmter Werkzeuge.

Ein weiteres gefährliches Szenario ist das "Zurückschalten" einer mit Security-Patches
versehenen Instanz einer VM auf eine ungepatchte Instanz. Ohne vernünftige Management-Mechanismen
bleibt dies im schlimmsten Fall monatelang unentdeckt. Außerdem gilt für die virtuellen Instanzen,
was auch für physische gilt: Wenn nach dem Patchen ein Reboot nötig ist, ist es häufig schwierig,
dafür das geeignete Zeitfenster zu finden.

Das es mit der Sensibilität für die geschilderten Sicherheitsfragen in den Unternehmen noch
nicht besonders weit her ist, belegen diverse Studien, etwa eine von IDC aus dem vergangenen Jahr.
Fast die Hälfte der Befragten gab dort an, keinen Bedarf für spezielle Security-Lösungen im
Virtualisierungsumfeld zu sehen.

Technik der Security-Maßnahmen

Die aufgeführten technischen Argumente machen relativ drastisch deutlich, dass für einen
umfassenden Schutz zunächst so etwas wie eine Basissicherung für die virtuellen Maschinen nötig
ist. Ein Hersteller, der ein genau auf diesen Zweck abgestimmtes Produkt anbietet, ist Trend Micro
mit der Core Protection for Virtual Machines. Die nach Angaben des Herstellers speziell für
ESX/ESXi von VMware designte Software soll Schutz gegen Bedrohungen aus dem Web und gegen Viren und
Würmer bieten sowie Trojaner abwehren – also exakt ein Teil der eingangs erwähnten Maßnahmen gegen
Standardrisiken, allerdings nun speziell auf den Einsatz in VMs abgestimmt. Trend Micro verweist
unter anderem auf die besondere Anpassung seiner Schutzarchitektur an virtuelle Umgebungen, so wie
dies im Bild auf Seite 30 dargestellt ist.

Bemerkenswert ist zum Beispiel, dass für das Scanning selbst eine eigene VM verantwortlich
ist. Dies entspricht dem Grundsatz von Regel 3 aus dem Papier der Burton Group. Um eine gewisse
Unabhängigkeit vom Status der zu überwachenden VMs zu erzielen, übernimmt Core Protection die
Sicherheitsverwaltung nicht nur über die aktiven VMs, sondern auch für inaktive (im Bild "Dormant"
). Das Scannen und das Update der Signaturen für solche VMs erfolgen, ohne dass sie aktiviert
werden müssen. Zu den Schlüsseleigenschaften von Core Protection zählt der Hersteller die
Fähigkeit, ohne Brüche mit der Office-Scan-Lösung für physische Maschinen zusammenarbeiten zu
können. Dies dürfte im Sinne der beteiligten Administratoren sein, außerdem jedoch auch eine
wesentliche Vereinfachung für den Endanwender darstellen.

Security auf dem Server

Um auch gegen größere Angriffe auf einen oder mehrere Server gefeit zu sein, bedarf es auch
an dieser Stelle der Architektur eines für virtualisierte Umgebungen optimierten Konzepts. Die
althergebrachte Firewall oder das Intrusion-Detection-System einfach zu übertragen, kann schnell
unbemerkte Sicherheitslücken öffnen und damit zum Desaster führen. Abhilfe sollen eigens auch auf
virtuelle und Cloud-Umgebungen hin abgestimmte Softwarelösungen bieten. Zu den geforderten Features
zählen dabei insbesondere:

Deep Packet Inspection (IDS/IPS, Schutz der Web-Applikationen, Anwendungskontrolle),

Firewall,

Integritäts-Monitoring und

Log-Inspection.

Um State-of-the-Art-Schutz zu bieten, muss eine solche Lösung heute in jedem Fall auf
bekannte und unbekannte Angriffe (Zero Day Attacks) reagieren können. Laut Trend Micro ist solch
ein Intrusion-Detection-and-Prevention-System (IDS/IPS) in der Lage, neu erkannte Schwachstellen
innerhalb weniger Stunden zu schließen. Bei Bedarf ließe sich der Schutz innerhalb weniger Minuten
auf Tausende Server übertragen. Ein Reboot der Server sei nicht nötig. Gegen die Zero-Day-Attacks
setzt der Hersteller auf so genannte Smart Rules, die den Schad-Code auf Basis von auffälligen
Protokolldaten erkennen sollen. Dieser Schutz gelte für mehr als 100 Applikationen, zum Beispiel
Datenbanken, EMail-Lösungen oder FTP-Server.

Firewall

Die Firewall muss in einer solchen Umgebung zwingend gleichermaßen physische wie virtuelle
Server schützen können. Folgender Umfang der Schutzfunktionen kann dabei als typisch gelten:
bidirektionale Stateful-Firewall mit zentraler Verwaltung der Firewall-Regeln, vordefinierte
Templates für gängige Typen von Unternehmens-Servern, Filtern von IP- und MAC-Adressen und
Kompatibilität mit allen gängigen IP-basierenden Protokollen (TCP, UDP, ICMP, etc.) und allen
Frame-Typen (IP, ARP, etc.). Hinzu kommt noch der Schutz vor Denial-of-Service-Attacken.

Wie bereits erwähnt, sieht die Funktionsliste eher typisch für eine State-of-the-Art-Firewall
aus, allerdings ist doch einiger architektonischer Aufwand nötig, damit ein solches Paket auch in
virtuellen und Cloud-Umgebungen wirkungsvoll arbeiten kann. In diesem Fall gibt es drei wesentliche
Bestandteile, die dies bewerkstelligen sollen. Zunächst läuft auf jedem zu schützenden physischen
oder virtuellen Server ein Software-Agent, der dafür sorgt, dass die zuvor genannte Feature-Liste
eingehalten wird. Die Arbeit der Administratoren soll eine zentrale Management-Konsole erleichtern,
auf der unter anderem die Sicherheits-Policies erstellt und verwaltet werden, die die Updates
regelt und wo die Reports zusammenlaufen. Der dritte Punkt ist ein speziell für diese Aufgabe
zusammengestelltes Expertenteam, mit dem die Softwarenutzer über ein Kundenportal verbunden sind.
Über dieses Portal kommen auch die Sicherheits-Updates zur Management-Lösung.

Fazit

Virtuelle Umgebungen benötigen neben den von traditionellen Architekturen bekannten Lösungen
(zum Beispiel Firewall, Antivirus, Intrusion Detection) zusätzliche Sicherheitsmaßnahmen. Die
Schutzsoftware sollte in ihrer Architektur, in ihren Verwaltungsoptionen und beim Deployment von
Updates und Patches auf ihr neues Arbeitsumfeld abgestimmt sein, also etwa Bedarf selbst in einer
VM laufen. Außerdem müssen auch ihre Funktionen zur virtuellen Umgebung passen, damit
beispielsweise zur Update-Zeit nicht aktive virtuelle Maschinen nicht von aktuellen Signaturen oder
Patches ausgeschlossen bleiben. Die Sensibilität für dieses Thema muss in den Unternehmen offenbar
noch gesteigert werden. Dass einige Hersteller derzeit vermehrt Security-Produkte speziell für
virtuelle Umgebungen auf den Markt bringen, ist in jedem Fall ein Schritt in die richtige Richtung.

 

Susanne Franke ist freie Journalistin in München.

Lesen Sie mehr zum Thema

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice