Durch Virtualisierung wird eine Abstraktionsschicht zwischen Systemen eingezogen. Sie entkoppeln die physischen Ressourcen von den Nutzern. Das ist im Prinzip nicht neu, erlebt derzeit aber eine breite Akzeptanz in unterschiedlichen Segmenten. Unterschieden wird nach den Verfahren der Servervirtualisierung, der Desktop-Virtualisierung, der Applikationsvirtualisierung und der Virtualisierung der Präsentationsschicht.
Die Zielsetzungen der unterschiedlichen Virtualisierungstechniken sind verschieden, ihre Sicherheitsbedrohungen auch. Bei der Servervirtualisierung packt man kurzerhand mehrere Server-Images auf einem physischen Gerät zusammen. Dies spart Hardware, Platz, Strom und die sonstigen Infrastrukturressourcen des Rechenzentrums. Gleichzeitig wird der Host, der nun zum Träger vieler virtueller Server wird, zum Single-Point-Of-Failure. Fällt er aus, zieht er zwangsläufig alle seine virtuellen Gäste mit in den Abgrund.
Dabei spiel es im Prinzip keine Rolle, ob dieser Ausfall aufgrund eines Sicherheitsangriffs, eines Hardwaredefektes oder einer temporären Überlastung auftritt. Aus der Sicht des Benutzers oder Unternehmens ist der Dienst eben nicht verfügbar - und nur das zählt, egal aus welchem Grund. Die Absicherung muss daher auch in alle Richtung greifen.
Virtuelle Security-Appliances agieren in virtuellen Maschinen
Um die Server gegen Angriffe abzusichern wird meist auf die bekannten Techniken, wie Firewalls und Intrusion-Prevention-Tools oder -Systeme zurückgegriffen. Die bekannten Sicherheitseinrichtungen können auch im Kontext einer virtuellen Maschine eingesetzt werden und verrichten hier ihre Dienste. In der bestehenden Umgebung mit physischen Servern werden oftmals Security-Appliances, wie etwa eine Firewall, ein Intrusion-Prevention-System oder ein Malware-Scanner, zwischen zwei Serversysteme in deren Kommunikationskanal geschaltet. Dies kann auch so beibehalten werden. Dem Trend der Virtualisierung folgend gehen manche Hersteller nun dazu über, diese Security-Appliances virtuell nachzubilden.
Check Point, Fortinet oder Gateprotect beispielsweise liefern virtuelle UTM-Appliances zur Sicherung von VMware-Umgebungen. Diese virtuellen Security-Appliances laufen dann in einer virtuellen Maschine auf einem Hypervisor.
Die Hersteller sprechen in dem Zusammenhang von Software-Blades. Diese Software-Blades können auf unterschiedlichen Hardware-Systemen aber auch in einer virtuellen Appliance betrieben werden.
Doch das bleibt nicht ohne Auswirkungen auf den gesamten Sicherheitsstatus. Was passiert beispielsweise, wenn zwischen zwei virtuellen Maschinen eine virtuelle Security-Appliance ihren Dienst verrichtet und eine der virtuellen Maschinen auf einen anderen Host migriert wird? Beim Umzug einer virtuellen Maschine auf einen andern Host ändert sich auch die Verbindung zwischen den beiden. Daher muss bei der Migration von virtuellen Maschinen auch die Sicherheitstechnik berücksichtigt werden.
Host absichern
Ein besonderes Augenmerk gilt dem Host-System. Da der Hypervisor, beispielsweise VMware ESXi-Server, Microsoft Hyper-V oder Citrix XenServer, ja den Träger der virtuellen Maschinen darstellt, muss er besonders abgesichert werden. Gelingt es einem Angreifer, den Host zu komprimieren, so bleibt das kaum ohne Auswirkungen auf die virtuellen Gäste.
VMware vCloud Networking and Security umfasst Netzwerk und Sicherheitsfunktionen für virtuelle Umgebungen. Dazu gehört ein Spektrum an Sicherheitsdiensten wie etwa eine virtuelle Firewall, Virtual private Network (VPN), Load Balancing, NAT, DHCP und VXLAN-extended Netzwerke.
Das besondere an VMware vCloud Networking and Security im Vergleich zu traditionellen Sicherheitslösungen: Bei der Migration der virtuellen Maschinen behalten diese die vorgenommenen Sicherheitseinstellungen.
Um die Sicherheit der Systeme zu gewährleisten, liefert VMware unter dem Oberbegriff von vCloud Networking and Security mit vShield verschiedene Sicherheitskonzepte. Dabei handelt es sich um einen Verbund von Sicherheitsvorkehrungen zum Schutz der virtuellen Maschinen, die im Kontext des ESX-Servers laufen.
vShield umfasst virtuelle Appliances und Dienste zum Schutz von virtuellen Maschinen. vShield kann über eine webbasierte Benutzeroberfläche, ein vSphere-Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden.
Foto: VMware
In vShield Zones bündelt VMware die Basisdienste seiner Sicherheits-Suite, vShield App, vShield Edge und vShield Endpoint sind drei weitere Sicherheitssysteme, die allesamt für den Schutz der virtuellen Strukturen sorgen sollen. vShield App soll Applikationen vor Angriffen schützen. Eine "App" im Sinne von VMware sind eine oder mehrere Systeme, die zusammen eine Applikation abbilden. Eine Webanwendung besteht beispielweise meist aus einem Backend-Dienst der die Daten bereitstellt, dem Applikation-Server und einen oder mehreren Webservern im Frontend.
vShield Edge soll für den Schutz eines virtuellen Data Centers sorgen. Es wird an der Außengrenze platziert und ist das Pendant zu den Edge-Firewalls in physischen Umgebungen. vShield Endpoint dient dem Schutz der Endgeräte in einer vSphere-Umgebung. Als Endgeräte einer vSphere-Struktur werden die virtuellen Maschinen betrachtet. In diesem Segment haben Unternehmen wie Kaspersky, McAfee, Trend Micro oder Symantec viel Erfahrung. Daher kooperiert VMware bei vShield Endpoint auch mit diesen Unternehmen.
Foto: VMware
Neu hinzugekommen ist vShield VXLAN für virtuelle Netzwerke und der vShield Data Security. Zur Verwaltung der vShield Infrastruktur liefert VMware den vShield Manager.
Die Patch-Verteilung bei virtuellen Systemen
Die drei Sicherheitseinrichtungen der vShield-Suite sollen zusammen für die notwendige Sicherheit eines gesamten Data Centers, einer Anwendung und der virtuellen Maschinen sorgen. Die Grundlage dafür wird durch Sicherheitsregeln definiert. Diese sind den traditionellen Regelwerken in physischen Umgebungen recht ähnlich.
Ein weiter Aspekt betrifft die Versorgung der virtuellen Maschinen mit den Security-Updates und -Patches. Die traditionellen Update- und Patch-Techniken greifen nur, wenn die virtuelle Maschine zum Zeitpunkt des Patchens aktiv ist. Da aber virtuelle Maschinen sehr schnell aktiviert und auch deaktiviert werden können, ist dies nicht immer gegeben. Damit weisen virtuelle Maschinen oftmals einen älteren Sicherheitsstand auf.
Die Marktforscher von Gartner haben beispielsweise festgestellt, dass zirka 60 Prozent der virtuellen Systeme einen niedrigeren Sicherheitsstatus aufweisen als ihre physikalischen Pendants. Dennoch kommen auch hier die Hersteller mit den ersten Lösungen speziell für virtuelle Maschinen auf den Markt. McAfee etwa liefert sein Total Protection for Virtualization, und Matrix42 kümmert sich um das Patch-Management.
Host gegen Ausfall absichern
Neben diesen Ausfällen aufgrund von Sicherheitsangriffen stehen jene, die durch ein Problem der Hard- oder Software verursacht werden. Sie gilt es ebenfalls abzufedern. Ferner gelten bezüglich der Sicherung der Systeme im virtuellen Kontext andere Bedingungen. Zwar lassen sich prinzipiell auch virtuelle System durch die gleichen Techniken und Verfahren sichern, wie dies auch für physische Server gilt, doch das führt schnell zum Engpass.
Aufgrund der höheren Auslastung der Hosts im Vergleich zu den traditionellen physischen Servern fehlen dem Virtualisierungs-Host oftmals die Reserven zur Durchführung des Backups. Dies gilt vor allem dann, wenn in mehreren virtuellen Maschinen die Backup-Läufe parallel ausgeführt werden sollen. Des Weiteren wird auch das Netzwerk oftmals zum Engpass.
VMs durch das Host-System sichern
Aus diesem Grund erfolgt bei virtuellen Infrastrukturen die Sicherung der virtuellen Maschinen meist durch den Host oder das Speichersystem. VMware vSphere liefert dazu gleich mehrere Techniken. So können die virtuellen Maschinen für den Zeitraum der Sicherung unterbrochen (suspendiert) werden; ferner liefert der Hersteller neben den traditionellen Varianten weitere Sicherungsmöglichkeiten.
Foto: VMware
So verbergen sich hinter VM Backup Funktionen von vSphere zum Schutz virtueller Maschinen durch eine separate Sicherungssoftware. Diese kommuniziert dann über ein Interface mit VM Backup. Der Nachteil von VM Backup ist, dass es keine Kenntnisse über den Zustand der Applikation in den virtuellen Maschinen ermittelt. Das neueste Sicherungskonzept von VMware wird durch die vStorage API gebildet. Gängige Sicherungs-Tools wie etwa NetBackup unterstützen das vStorage API und operieren folglich im Kontext von VMware vSphere.
Um die Daten in virtuellen Umgebungen in einem konsistenten Zustand zu sichern, sind daher Zusatz-Tools gefordert. Diese kommunizieren zum einen mit den Applikationsdiensten in der virtuellen Maschine und sorgen so für einen konsistenten Sicherungszustand. Zum anderen greifen sie die Daten direkt am Speichersubsystem ab; damit werden der Host und auch die virtuellen Maschinen von der Sicherung entlastet. Die passenden Sicherungs-Tools kommen meist von den Herstellern der Speichersysteme. NetApp integriert beispielsweise in NetApp Data Motion Funktionen zur Live-Datenmigration. Dadurch lassen sich die Daten unterbrechungsfrei zwischen den Speichersystemen austauschen während die Applikationen diese im Zugriff haben. Dies vereinfacht auch die Wartung an den Datensystemen.
Storage-Ausfälle und -Engpässe durch Migration absichern
Um einen Leistungsengpass bei den virtuellen Maschinen abzusichern, liefern die Hersteller Migrations-Tools zur Lastverteilung. VMware hat dazu sein Dynamic Ressource Scheduling (DRS) und vMotion, Citrix nennt es XenMotion, und für den Hyper-V hat Citrix mit den Citrix Essentials for Hyper-V etwas Vergleichbares im Angebot. Seit der Version von Windows Server 2008 R2 unterstützt auch Microsoft die Live-Migration. In Version 2012 / R2 von Windows Servers wurden diese Funktionen ausgebaut. Die Grundlagen dazu liefern wiederum die Cluster Shared Volumes. Diese laufen auf jedem Cluster-Knoten einer Hyper-V-Implementierung. Durch die Live-Migration erfolgt dann eine kontrollierte Übertragung einer virtuellen Maschine vom Quell-Host auf den Ziel-Host. Dieser Prozess läuft dabei in mehreren Stufen ab.
Zuerst erfolgt der Transfer des RAM-Inhalts der virtuellen Maschine des Quell-Knoten zum neuen Ziel-Knoten. Anschließend werden der Zugang zum Festplattenspeicher und die Netzwerkanbindung umgeschaltet. Die CSV kümmern sich um das eigentliche Failover der Dienste. Bei einem Ausfall der Speicheranbindung greift eine interne Heartbeat-Funktion, die die Disk-Operationen über den Cluster Heartbeat-Link umleitet. Durch redundante Host-Bus-Adapter auf der Host-Seite lässt sich außerdem deren Ausfall absichern. Um allerdings auch gegen Fehler im Speichersystem selbst Vorsorge zu treffen, werden diese redundant ausgelegt.
Der Ausfall des Storage-Systems schließlich lässt sich durch Spiegelung der Daten auf ein zweites Speichersubsystem abfedern. Dies passiert allerdings in der Regel direkt durch die Funktionen der Speichersubsysteme. Die Migration einer virtuellen Maschine hilft zudem bei geplanten Wartungsarbeiten. Auch bei einem Ausfall des Hosts kann somit die Last von einer anderen Serverhardware übernommen werden.
Netzwerkanbindung optimieren
Live-Migration und die Clustered Shared Volumes erlauben eine dynamische Übertragung von Last zur Laufzeit. Damit das alles reibungslos und ohne manuelle Eingriffe funktionieren kann, muss auch die Anbindung an die weiteren Serverdienste vollständig automatisiert vonstattengehen.
Die Netzwerkanbindung, die IP-Verwaltung und die Namensauflösung müssen diese Anbindung widerspiegeln. Dies war bis dato ein Engpass in einer Microsoft-Struktur. Aus diesem Grund hat man in Redmond in Windows Server 2012 die Netzwerkanbindung mit den Randbereichen ausgebaut. Die gesamte IP-Adress-Verwaltung wird nunmehr unter der neuen Verwaltungskonsole IPAM zusammengefasst.
IPAM hilft dem Administrator bei folgenden Aufgaben:
• Der Suche und Verwaltung der IP-Adressen
• Der Protokollierung der Adressbereiche
• Der Überwachung der IP-Adressen und Netzwerkstrukturen
• Der Überwachung von Netzwerkzugriffsschutz-Servern
• Der Kontrolle von Domänencontrollern
Foto: Microsoft
IPAM ergänzt mit seinen Funktionen die bestehenden Netzwerkverwaltungs-Tools, wie etwa die DCHP-Verwaltung, das Active Directory mit seinen DNS-Tools oder die allgemeine Netzwerkverwaltung in Windows. Die bestehenden Windows-Netzwerk-Tools werden daher auch weiterhin benötigt, weshalb die Verwaltungskonsolen für DHCP und DNS bestehen bleiben. Dennoch gibt es Überschneidungen zwischen der IPAM-Konsole und den bestehen Verwaltungs-Tools. Die erweiterten DHCP- oder DNS-Funktionen aber finden Sie nur in den jeweils speziellen Konsolen.
Die mit IPAM vorgenommenen Erweiterungen sollen helfen, die komplexen Netzwerkstrukturen besser in den Griff zu bekommen. Insbesondere im Kontext von virtuellen Szenarien entsteht ansonsten sehr leicht ein Wildwuchs. Virtuelle Systeme, die nur temporär aktiviert werden, benötigen in jedem Fall auch eine Netzwerkanbindung und somit eine IP-Adresse. Deren Verwaltung soll mit den neuen Funktionen nun ein wenig einfacher werden. IPAM verwaltet IP-Adressen immer in Bereichen, die zu Blöcken zusammengefasst werden. Diese Blöcke können Administratoren dann eigenständig bearbeiten und überwachen. Dies geht schneller, als wenn jede einzelne IP-Adresse separat verwaltet werden müsste. (hal)