IT-Sicherheit in virtualisierten Infrastrukturen
Virtuelle Server, reale Risiken
Virtualisierung bietet Chancen, birgt aber auch Risiken. Die Virtualisierung der IT-Infrastruktur reduziert Kosten und vereinfacht den Betrieb von Servern und Clients. Gleichzeitig entstehen aber auch neue Bedrohungen für die Sicherheit von Daten und Netzwerken. Lösungen zur Absicherung solcher Plattformen sind nicht rein technisch, sondern umfassen immer auch organisatorische Aspekte und Maßnahmen.
Die Konsolidierung von IT-Hardware ist durch zwei Kerntechniken der Virtualisierung geprägt:
Hardwareabstraktion und -verteilung. Gastbetriebssysteme und Benutzer werden durch eine
Virtualisierungsschicht von den physischen Systemen isoliert. Die real verfügbaren Ressourcen
werden mittels Hypervisor abstrakt und homogen an alle virtuellen Maschinen verteilt. Viele
Bereiche sind bereits erfolgreich virtualisiert. Bisher aus Sicherheitsgründen ausgeschlossene
Systeme werden häufig als nächstes umgestellt. Die Virtualisierung schafft aber nicht nur Vorteile,
sondern auch neue Risiken für die IT-Infrastruktur, wenn speziell geschützte Systeme und deren
vertrauliche Daten virtualisiert betrieben werden.
Neue Sicherheitsrisiken durch Virtualisierung
Die Konzentration vieler virtueller Maschinen (VMs) auf einer Hardware erhöht die Komplexität
bei der Konfiguration. Der Hypervisor wird zonenübergreifend in die bestehende Netzwerkumgebung
eingebunden, um Dienste an verschiedenen Punkten im Netzwerk zu erbringen. Dabei können die
klassischen Netzwerksicherheitssysteme überbrückt werden. Häufige Sicherheits-Updates der
Hersteller verschärfen diese Situation.
Das größte Risiko für virtualisierte Infrastrukturen liegt somit darin, dass es Schwachstellen
in den Virtualisierungslösungen ermöglichen, aus dem Gastsystem heraus Schadcode im Hypervisor
auszuführen: Kontrolliert ein Angreifer den Hypervisor, hat er Zugang zu allen angeschlossen
Netzwerkbereichen, Massenspeichern und virtuellen Maschinen.
Während früher einzelne Server und Applikationen betroffen waren, sind heute durch die
Konzentration auf einer Hardware viele Maschinen gleichzeitig gefährdet. Zur Kontrolle des
virtuellen Netzwerkverkehrs sowie zur strikten Einhaltung von Richtlinien sind deshalb zusätzliche
Sicherheitsmaßnahmen für die Virtualisierungsplattform und die darauf laufenden VMs
erforderlich.
Sicherheit beginnt mit organisatorischen Maßnahmen. Die Einführung der Virtualisierung in der IT
hat die bewährte Trennung der Administration zunächst aufgehoben: Der Administrator der virtuellen
Umgebung wird zum Server-, Netzwerk- und Sicherheitsverantwortlichen. Die Expertise für diese
Themen liegt dagegen in den entsprechenden Fachabteilungen. Sicherheit für
Virtualisierungsplattformen beginnt daher mit der Festlegung von Verantwortlichkeiten (Separation
of Duties).
Organisatorische Vorarbeit
Die Anbindung an zentrale Verzeichnisstrukturen ermöglicht es, die Gewaltenteilung auch
technisch zu unterstützen: durch Zuweisung von Rollen, basierend auf Benutzergruppen. Dabei sollte
grundsätzlich nach dem Prinzip vorgehen, die Berechtigungen auf die für die Ausführung der
Tätigkeit zwingend erforderlichen Rechte zu beschränken (Principle of Least Privilege).
Hypervisor härten
Sind die organisatorischen Rahmenbedingungen geklärt, kann man mit der technischen Absicherung
der Infrastruktur beginnen. Als Basisplattform für die Virtualisierung ist der Hypervisor besonders
zu schützen. Alle Hersteller von Virtualisierungslösungen haben daher Sicherheitshinweise
veröffentlicht, wie die entsprechenden Systeme nach der Installation abzuhärten sind. Die
Berücksichtigung dieser Richtlinien ist unbedingt empfehlenswert und stellt sicher, dass nur die
Dienste bereitstehen, die tatsächlich für die Virtualisierung notwendig sind.
Eine weitere Minimierung des Risikos, das mit der Virtualisierung entsteht, kann durch ein
sicheres Netzwerkkonzept erreicht werden. Zentrale Funktionen wie der Zugriff auf Storage-Systeme,
Hochverfügbarkeit und Management-Zugriffe sollten nur in isolierten Netzwerksegmenten Verwendung
finden. Die hier eingesetzten Protokolle iSCSI, Vmotion etc.) sind teilweise unverschlüsselt, und
der Zugriff auf die Netzwerkbereiche sollte nur autorisierten Administratoren möglich sein. Die
Filterung übernehmen üblicherweise Firewalls, die gerade in Kombination mit einem
Intrusion-Prevention-System (IPS) die virtuelle und die physische Infrastruktur bidirektional
wirksam schützen.
Neben den Gefahren, die aus der direkten Netzwerkumgebung der Virtualisierung entstehen, gehen
die meisten Angriffe direkt von den VMs aus. Die Systeme müssen deswegen mindestens genauso gut
geschützt sein wie physische Systeme. Welche Methoden anzuwenden sind, hängt von dem individuellen
Schutzbedarf der VM ab. Für die Ermittlung führt man eine Risikoklassifizierung durch. Dabei
verwendet man einfache Kriterien wie Betriebssystem, Aufgabe und Kommunikationsbeziehungen, um die
Maschinen in Gruppen zu unterteilen. Anhand der Gruppen lassen sich zusätzliche
Sicherheitsmaßnahmen definieren, die aus der Absicherung physischer Server und Clients bekannt
sind. Dies sind zum Beispiel Firewalls und Intrusion-Prevention-Systeme, VPN, Verschlüsselung und
Network Access Control.
Die Aktivierung solcher Sicherheitskomponenten war bisher mit einem erheblichen Aufwand durch
zusätzliche Segmentierung verbunden. Der Netzwerkverkehr musste über physische oder virtuelle
Sicherheitssysteme geroutet werden, um eine Analyse zu ermöglichen.
Sicherheitsfunktionen per API
VMware hat dieses Problem erkannt und mit vSphere 4 eine Sicherheitsschnittstelle mit der
Bezeichnung VMsafe implementiert. VMsafe ermöglicht den direkten Zugriff auf Speicher, CPU,
Netzwerk und Paketfilterung, Prozesse und Massenspeicher. Die bekannten Hersteller von
Sicherheitslösungen nutzen diese Schnittstelle und entwickeln eine neue Generation von Produkten,
die auf die Virtualisierung ausgerichtet sind. Die direkte Integration in den VMware-Kernel erlaubt
die Filterung von Daten unabhängig von Netzwerk, Routing und Softwareagenten bei maximaler
Performance.
Eine VMsafe-Sicherheitslösung besteht aus mehreren Modulen: dem Management-Center für die
Verwaltung der Regelwerke, einem Kernel-Modul, das in den VMware Kernel geladen wird und einem
Control-Modul (CM) als virtuelle Maschine. Das Control-Modul baut eine Verbindung zum Kernel-Modul
auf und nutzt dafür den speziellen VMservice-Vswitch, der Verbindungen per TCP/IP ermöglicht. Über
das Control-Modul steuert das Management die Sicherheitsfunktion im Kernel-Modul. Erfolgt die
Kontrolle und das Weiterleiten der Daten direkt im Kernel-Modul, spricht man von einer "Fast Path"
-Implementierung, bei der theoretisch die gesamte Leistung des Hypervisors nutzbar ist. Werden die
Daten dagegen an das virtuelle Control-Modul weitergegeben und dort untersucht, kommt eine "Slow
Path"-Methode zum Einsatz, die deutlich weniger Performance bietet.
Fazit
Die Ausrichtung auf Sicherheit in virtualisierten IT-Umgebungen ermöglicht die notwendige
Umsetzung von Sicherheitsrichtlinien, um die Anforderungen im Bereich Netzwerk- und Datensicherheit
im Zeitalter von Virtualisierung und Cloud-Computing zu erfüllen. VMware treibt die Innovationen im
Bereich Virtualisierung deutlich voran. Es ist aber davon auszugehen, dass die anderen Hersteller
von Virtualisierungsplattformen bald nachziehen werden. Sicherheitsanbieter beschränken sich schon
jetzt nicht nur auf VMware, sondern planen zukünftig auch die Integration in andere
Plattformen.
Vorgehensweise zur sicheren Virtualisierung
– Sicheres Netzwerkkonzept erstellen
– Organisatorisches Rollenkonzept definieren
– Management-System installieren und abhärten
– Verzeichnisdienste anbinden
– Hypervisor installieren
– Sicherheitsmaßnahmen für den Hypervisor aktivieren
– Virtuelle Maschinen installieren/migrieren
– Schutzmaßnahmen für die virtuellen Systeme aktivieren
– Regelmäßige Backups aktivieren und testen
– Betrieb mittels Monitoring-Tools überwachen
Lesen Sie mehr zum Thema
