Amazon, Ebay, Sony - so mancher IT-Sicherheitsverantwortliche kommt bei diesen Namen ins Schwitzen. Denn ausgerechnet in den für ihre hochgradig virtualisierte und professionelle IT bekannten Unternehmen kam es voriges Jahr zu schwerwiegenden Sicherheitspannen. Wie kann so etwas passieren? "Bei Amazon war es das nicht gepatchte Betriebssystem eines Windows-Hosts", weiß Alexander Tsolkas, Partner und Executive Advisor bei der Experton Group. Srinivas Mantripragada, Vice President Infoblox, berichtet vom Hack auf eine virtuelle Maschine, um von dort aus Kryptoschlüssel anderer Maschinen zu stehlen.
Von allein sicher sind virtuelle Umgebungen also keinesfalls. Man muss zudem umdenken: "Das früher für physische Maschinen bewährte Sicherheitsmodell gilt nicht mehr", sagt Georgio Nebuloni, Server-Spezialist bei IDC für die Region EMEA. Das dürfte ein Grund dafür sein, dass Sicherheitsbedenken gegen hochvirtualisierte Infrastrukturen heute so stark verbreitet sind. Mit dem Hypervisor gibt es mindestens eine komplett neue Instanz im Gesamtsystem;, und auf der Hardware drängen sich immer mehr virtuelle Maschinen, die sich auch noch per Knopfdruck migrieren lassen. Hinzu kommen virtualisierte Speicher- und Netzwerkressourcen. Was also tun?
Anwendungen und Betriebssysteme prüfen
An die Sicherheit virtualisierter Umgebungen muss man vor der Implementierung denken. "Wenn ein Unternehmen seine alte Umgebung nicht gut managt, wird es in der virtualisierten nicht besser", betont Michael Wirth, bei Microsoft Security Architect im Bereich Services. So empfiehlt es sich, Server gleich zu Anfang auf ein Betriebssystem zu standardisieren und Applikationen, die sich kaum oder nicht patchen lassen, möglichst durch besser wartbare zu ersetzen. Routinen wie Patching sollten auch schon in der alten Umgebung weitgehend automatisiert werden. Schließlich erfolgen die meisten Angriffe noch immer auf einzelne Applikationen mit ihren Schwachstellen - unabhängig davon, ob eine virtuelle Umgebung vorliegt oder nicht.
Anwendungen nach dem Security-Bedarf klassifizieren
Als Nächstes sollten die vorhandenen Applikationen nach ihrem Sicherheitsbedarf klassifiziert werden. Viele Experten empfehlen, Anwendungen, die sehr unterschiedlichen Sicherheitsklassen angehören, nicht auf demselben Host oder Server-Pool zu halten. Doch das ist nicht die einhellige Meinung. Wolfram Weber, VMware Solution Architect, sagt beispielsweise: "Der Hang der Sicherheitsverantwortlichen, wie früher jedes Fachverfahren auf einen separaten Host zu verlagern, verringert erheblich die Konsolidierungsmöglichkeiten. Dabei ließe sich mit den heute vorhandenen Lösungen und Regeln, die man dann aber auch einhalten muss, die nötige Sicherheit durchaus durch logische Trennung erreichen."
Foto: VMware
Wählt man getrennte Pools, kann man virtuelle Maschinen schließlich auch nur noch innerhalb ihres Pools oder Clusters verschieben. Wie auch immer ein Unternehmen sich entscheidet: Es sollte wissen, wie viel Sicherheit seine einzelnen Applikationen brauchen, und diese Überlegung für jede neu eingeführte Anwendung bereits im Vorfeld durchführen.
Schwachpunkt Security-Personal
Die künftigen Manager einer virtuellen Umgebung müssen insgesamt professionellen Ansprüchen genügen. Es empfiehlt sich, falls dies personell möglich ist, Rechte aufzuteilen: Wer auf die virtuellen Maschinen zugreifen darf, sollte keinen Zugriff auf die Administrationsschicht der physischen Hosts haben. Zumindest Sicherheitsmanager müssen außerdem bestimmten rechtlichen Voraussetzungen entsprechen. Bei einem Mittelständler mit dreistelligem Millionenumsatz erlebte Experton-Sicherheitsspezialist Tsolkas, dass der 16-Jährige Neffe des Geschäftsführers die Sicherheit managte. Ganz abgesehen von der Fachkenntnis: "Das ist verboten, laut den geltenden Regeln müssen Sicherheitsverantwortliche mindestens 18 Jahre alt sein", mahnt Tsolkas.
Hypervisor-Wildwuchs eindämmen
Um Handhabung und Sicherheitsfragen zu vereinfachen, sollten Unternehmen möglichst auf einen Hypervisor standardisieren. Das funktioniert allerdings oft nicht, etwa wegen vorhandener Systeme oder zugekaufter Unternehmensteile. Erstrebenswert ist eine mittelfristige Migration auf eine einheitliche Plattform aber auf jeden Fall. Auf dem Hypervisor selbst sollten ausschließlich die vorgesehenen Infrastrukturelemente, etwa Treiber, und virtualisierte Maschinen (VM) laufen, keine Anwendungen. Schließlich ist er auf das unabdingbare Minimum an Funktionen und Schnittstellen abgespeckt und bewusst relativ getrennt vom Rest des Systems gehalten. Jede Anwendung, die außerhalb einer VM läuft, kann die Sicherheit des Hypervisors durch eigene Schwachstellen und den verkürzten Weg ins Herz des Systems schwächen.
Foto: Microsoft
Der Host braucht einen eigenen Firewall-Schutz und einen eigenen Virenscanner. Diese laufen am besten als Software auf einer separaten virtuellen Maschine, bei Xen-Systemen beispielsweise in der Management-VM "DOM0". Zunehmend werden von den Anwendern von Sicherheitssoftware spezielle Produkte für die Sicherung physischer Hosts angeboten.
Virtuelle Maschinen absichern
Jede einzelne virtuelle Maschine auf den Systemen muss so gepatcht und geschützt werden, als liefe sie wie bisher auf einer eigenen physischen Plattform. Zugriffsrechte sollten durch Policies geregelt werden, Maschinen ohne gültige Policy darf es nicht geben.
Weiter nötig sind das regelmäßige, am besten automatisierte Patching von Applikationen und VM-Betriebssystem, ein leistungsfähiger Virenscanner sowie eine Firewall, die den Zugriff auf die Anwendungen reguliert. Virenscanner auf jeder VM und ihre Aktivitäten bedrohen jedoch die Ressourceneffizienz des Systems, denn sie verschlingen die begrenzte Prozessorleistung. Gartner empfiehlt daher, beim Kauf von VM-Virenscannern darauf zu achten, dass sie Scans gezielt zeitversetzt abwickeln können, gleiche Files nicht wiederholt, sondern über eine Whitelist gesteuert nur einmal scannen. Zentral gesteuerte Lösungen platzieren Agenten auf den einzelnen Maschinen.
Noch weiter geht Deep Security 9 von Trend Micro. Das System arbeitet komplett agentenlos und ist zudem imstande, mithilfe des sogenannten Virtual Patching bei Bedrohungen den betroffenen Port der Firewall einfach abzuschalten, bis die für das Schließen der jeweiligen Sicherheitslücke notwendige Software verfügbar ist.
Virtuelle Desktops kontrollieren
Für das Patchen virtueller Desktops, die ja ebenfalls in virtuellen Maschinen liegen, wird empfohlen, diese zuvor in eine demilitarisierte Zone zu verschieben, zu aktualisieren und erst dann wieder an ihren üblichen Standort zu transferieren, wenn sie einen automatisierten Funktions- und Sicherheitscheck durchlaufen haben.
Security-Risiko Netzwerk
Weitere Komplikationen resultieren aus der Vernetzungstechnik. "Wir haben nur ein Kabel, aber 30 Gastsysteme", fasst Microsoft-Manager Wirth zusammen. Gastsysteme sollten untereinander nicht unkontrolliert kommunizieren können. Also sollte für jede Maschine ein eigenes VLAN (Virtuelles LAN) angelegt werden. Technisch unterstützen das zwar heute die virtualisierten Switches und Hypervisoren, es ist jedoch sehr aufwendig - bei knappen Personalressourcen ein Problem. Dennoch sollte man darauf nicht verzichten, weil sonst die Sicherheit leidet.
Foto: VMware
Außerdem sollten separate Netzverbindungen für Management, reguläre Nutzer und Gäste definiert werden, empfiehlt unter anderem Christian Ferber, bei Citrix Systemingenieur für Servervirtualisierung. Für Zugriffe von außen auf virtuelle Desktops bietet Citrix mit Netscaler ein spezielles Sicherheits-Gateway an. Auch VMware hat für Außenzugriffe ein Edge Gateway im Programm. Neuartige Netzwerktechnologien wie SDN (Software Defined Networking) könnten die Situation verbessern. "Neue Sicherheitsdienste wären damit im laufenden Betrieb definierbar und in den bestehenden Sicherheits-Stack zu integrieren", erklärt Wolfram Weber, VMware Solution Architect.
Virtuelle Maschinen sicher migrieren
Besonders tückisch ist immer die Migration virtueller Maschinen. Der Mechanismus kann zu Risiken führen, sobald Regeln nicht strikt eingehalten werden.
Ein Beispiel: Angenommen, es wurde ein neuer Cluster von VMware-ESX-Hosts installiert oder ein bestehender Cluster um einen neuen ESX-Server erweitert. Dabei soll ein neuer Host noch keine Firewall haben und gleichzeitig nicht zusammen mit der vShield App ausgerollt worden sein. Migriert der Administrator dann virtuelle Maschinen auf einen noch nicht durch Firewall gesicherten Host, wird diese Maschine vorläufig gesperrt, und er erhält sofort einen Hinweis, dass diese Maschinen dort im Zweifel ohne Schutz operieren und deshalb gesperrt sind. Bestätigt er die Sperrung, bleibt die Maschine bis zur Installation der Firewall von der Kommunikation ausgeschlossen. Klickt der Administrator an diesem Punkt den Hinweis weg oder gibt die falsche Antwort, laufen die Maschinen tatsächlich auf dem ungeschützten Host.
Bedenkt man, dass menschliches Versagen einen großen Teil der Sicherheitspannen verursacht, wäre es besser, wenn VMware eine Funktion implementierte, die schon die Migration von VMs auf ungesicherte Hosts verhindert und die in jedem Einzelfall abgeschaltet werden muss.
Daten verschlüsselt speichern
Foto: IDC
Auch die Datenhandhabung ist sicherheitsrelevant. Grundsätzlich sollten Daten in professionellen Systemen verschlüsselt gespeichert werden. "Die Daten bewegen sich, aber innerhalb des SAN", sagt IDC-Analyst Giorgio Nebuloni. Folglich müsse auch immer das gesamte Speichernetz regelmäßig gesichert werden. Mechanismen wie Snapshots sorgen dafür, dass das nicht zu viel Zeit beansprucht.
TPM und TXT - mehr Security durch Hardwaretechniken
Neue Möglichkeiten für den Schutz gegen unbefugte Veränderungen bieten Intels Technologien TPM (Trusted Platform Module) und TXT (Trusted Execution). Mithilfe des TPM-Moduls auf der Hauptplatine und der Auswertung der Hard- und Softwareumgebung erkennt eine virtuelle Maschine schon beim Booten in einer neuen Umgebung, ob diese Umgebung ihren Sicherheitsanforderungen entspricht.
Besonders eng hat sich bisher VMware mit Intels TPM/TXT-Mechanismen verzahnt. AMD will 2013 das TPM von ARM in seine Produkte integrieren, womit die Technologie wieder für beide Plattformen zur Verfügung stünde. Eindeutig im High-End angesiedelt sind Lösungen wie RSA Archer, die übergreifend Governance, Risiken und Compliance überwachen oder Envision für die Event-zentrierte Überwachung dynamischer Vorgänge in virtualisierten Citrix- und VMware-Umgebungen. Und langfristig? "Irgendwann wird Sicherheit zur Hypervisor-Dienstleistung", prognostiziert Udo Schneider, Solution Architect EMEA bei Trend Micro. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.