Datensicherheit im Rechenzentrum

Security-Risiko - Virtualisierung im Data Center

Technologien wie Virtualisierung und Cloud Computing im Data Center bringen mehr Effizienz. Doch in puncto IT-Sicherheit sind noch nicht alle Bedenken aus dem Weg geräumt. Wir erläutern, was RZ-Manager tun können, um die Security-Risiken im Rechenzentrum zu minimieren.

Amazon, Ebay, Sony - so mancher IT-Sicherheitsverantwortliche kommt bei diesen Namen ins Schwitzen. Denn ausgerechnet in den für ihre hochgradig virtualisierte und professionelle IT bekannten Unternehmen kam es voriges Jahr zu schwerwiegenden Sicherheitspannen. Wie kann so etwas passieren? "Bei Amazon war es das nicht gepatchte Betriebssystem eines Windows-Hosts", weiß Alexander Tsolkas, Partner und Executive Advisor bei der Experton Group. Srinivas Mantripragada, Vice President Infoblox, berichtet vom Hack auf eine virtuelle Maschine, um von dort aus Kryptoschlüssel anderer Maschinen zu stehlen.

Von allein sicher sind virtuelle Umgebungen also keinesfalls. Man muss zudem umdenken: "Das früher für physische Maschinen bewährte Sicherheitsmodell gilt nicht mehr", sagt Georgio Nebuloni, Server-Spezialist bei IDC für die Region EMEA. Das dürfte ein Grund dafür sein, dass Sicherheitsbedenken gegen hochvirtualisierte Infrastrukturen heute so stark verbreitet sind. Mit dem Hypervisor gibt es mindestens eine komplett neue Instanz im Gesamtsystem;, und auf der Hardware drängen sich immer mehr virtuelle Maschinen, die sich auch noch per Knopfdruck migrieren lassen. Hinzu kommen virtualisierte Speicher- und Netzwerkressourcen. Was also tun?

Anwendungen und Betriebssysteme prüfen

An die Sicherheit virtualisierter Umgebungen muss man vor der Implementierung denken. "Wenn ein Unternehmen seine alte Umgebung nicht gut managt, wird es in der virtualisierten nicht besser", betont Michael Wirth, bei Microsoft Security Architect im Bereich Services. So empfiehlt es sich, Server gleich zu Anfang auf ein Betriebssystem zu standardisieren und Applikationen, die sich kaum oder nicht patchen lassen, möglichst durch besser wartbare zu ersetzen. Routinen wie Patching sollten auch schon in der alten Umgebung weitgehend automatisiert werden. Schließlich erfolgen die meisten Angriffe noch immer auf einzelne Applikationen mit ihren Schwachstellen - unabhängig davon, ob eine virtuelle Umgebung vorliegt oder nicht.

Anwendungen nach dem Security-Bedarf klassifizieren

Als Nächstes sollten die vorhandenen Applikationen nach ihrem Sicherheitsbedarf klassifiziert werden. Viele Experten empfehlen, Anwendungen, die sehr unterschiedlichen Sicherheitsklassen angehören, nicht auf demselben Host oder Server-Pool zu halten. Doch das ist nicht die einhellige Meinung. Wolfram Weber, VMware Solution Architect, sagt beispielsweise: "Der Hang der Sicherheitsverantwortlichen, wie früher jedes Fachverfahren auf einen separaten Host zu verlagern, verringert erheblich die Konsolidierungsmöglichkeiten. Dabei ließe sich mit den heute vorhandenen Lösungen und Regeln, die man dann aber auch einhalten muss, die nötige Sicherheit durchaus durch logische Trennung erreichen."

Wolfram Weber, VMware Solutions Achitect: "Der Hang der Sicherheitsverantwortlichen, wie früher jedes Fachverfahren auf einen separaten Host zu verlagern, verringert die Konsolidierungsmöglichkeiten erheblich."
Wolfram Weber, VMware Solutions Achitect: "Der Hang der Sicherheitsverantwortlichen, wie früher jedes Fachverfahren auf einen separaten Host zu verlagern, verringert die Konsolidierungsmöglichkeiten erheblich."
Foto: VMware

Wählt man getrennte Pools, kann man virtuelle Maschinen schließlich auch nur noch innerhalb ihres Pools oder Clusters verschieben. Wie auch immer ein Unternehmen sich entscheidet: Es sollte wissen, wie viel Sicherheit seine einzelnen Applikationen brauchen, und diese Überlegung für jede neu eingeführte Anwendung bereits im Vorfeld durchführen.