Mit der zunehmenden Einführung und Verbreitung virtueller IT-Systeme tauchen besonders im Sicherheitsbereich neue Probleme auf. Denn es scheint so, als ob nicht hinreichend bekannt ist, dass auch bei virtuellen Systemen besondere Sicherheitsvorkehrungen getroffen werden müssen. Sie arbeiten - genau wie physische Server oder PCs - oft mit einer individuellen Konfiguration, die gepatcht und gesichert werden muss.
Zu beachten ist, dass Angreifer auch vor neu entdeckten Sicherheitslücken in Virtualisierungssystemen nicht halt machen und mögliche Angriffe initiieren. Besonders wenn virtuelle Maschinen Zugang zum Firmennetz und zum Internet haben, ist das Sicherheitsrisiko enorm hoch. Angreifer können dann leicht diese Systeme hacken, manipulieren oder mit Malware infizieren, ohne gleich entdeckt zu werden.
Darüber hinaus muss man berücksichtigen, dass virtuelle Systeme gegenüber physischen oft andere Betriebszustände aufweisen. Sie werden zum Beispiel je nach Auslastung deaktiviert und aktiviert. Dadurch kann es vorkommen, dass diese Rechner nicht den aktuellen Sicherheitsstandards entsprechen, da in der "Auszeit" keine sicherheitsrelevanten Updates mehr aufgespielt werden konnten. Deshalb ist ein ausgeklügeltes Systemmanagement und einheitliche Sicherheitsrichtlinien von Virtualisierten Umgebungen zwingen erforderlich, da sich sonst die Virtualisierung in einem Unternehmen schnell zu einem Sicherheitsalptraum entwickeln kann.
Einführung klarer Management-Richtlinien
Die Rechteverteilung für die Erschaffung virtueller Systeme stellt ein großes Problem dar. Die Erfahrung zeigt, dass ein dezentrales Management-System, das jedem das Recht gibt, neue virtuelle Images ohne notwendige Sicherheitsvorkehrungen am Unternehmensnetz anzuschließen, sehr riskant ist.
Das bestätigt auch eine Umfrage der Gartner Group, die besagt, dass rund 60 Prozent der virtuellen Systeme über einen niedrigeren Sicherheitsstatus verfügen als physikalische Maschinen. Dieses Resultat wird auf mangelnde Management-Strategien bei der Virtualisierung von Unternehmensnetzen zurückgeführt. Wenn sich das nicht ändert, besteht die Gefahr, dass die Fortschritte der letzten 15 Jahre im Bereich Sicherheit zunichte gemacht werden.
Automatisierung der Must-Do-Tasks
Unternehmen müssen hinsichtlich Virtualisierung lernen, differenzierter zu denken und Prozesse anzupassen, da virtuelle Images einfach, schnell und kostengünstig überall erstellt und an den Sicherheitsverantwortlichen vorbei implementiert werden können. Die Zuständigen für die IT-Sicherheit sind aus diesem Grund noch mehr gezwungen, das Unternehmensnetz fortlaufend und umfassend zu überwachen. Nur so bleiben neue, unautorisierte Images, Server oder Prozesse nicht unentdeckt.
Die fortlaufende Überwachung des gesamten Netzwerks bedarf allerdings einer Automatisierung der Prozesse, andernfalls ist diese Aufgabe ohne einen beträchtlichen Ressourcenverschleiß nicht zu bewältigen. Neben der Überwachung spielt Schwachstellen-Management, das Patch- und Konfigurations-Management beinhaltet, eine große Rolle. Auch wenn es erstmal hilft den Überblick zu haben, ist es genau so wichtig, dass Schwachstellen schnell und effektiv behoben werden.
Bei dem Versuch diese Sicherheitsprozesse in der Vergangenheit zu automatisieren, ist es nicht selten zu einem wilden Tool-Mix gekommen, mit dem Ergebnis einer Semiautomatisierung, die immer noch eine zu starke manuelle Intervention benötigt. Damit lassen sich die Administrationsaufgaben für Unternehmensnetze, deren Volumen durch Virtualisierung stetig wächst, nicht mehr bewältigen.
Offline-VMs müssen auch gesichert werden
Eine der größten Sicherheitsherausforderung stellen die offline geschalteten, inaktiven virtuellen Maschinen dar, die von vielen Unternehmen nur dafür unterhalten werden, um sie zum gegebenen Zeitpunkt für besondere Aufgaben einzusetzen. Diese Systeme müssen ebenso auf dem aktuellsten Sicherheitsstand gehalten werden, so dass sie den neuesten Update-Status vorweisen. So entsteht kein Risiko für die Unternehmenssicherheit.
Offline-geschaltete virtuelle Systeme zum Ausführen von Updates erst online schalten zu müssen, bedeutet einen zeit- und ressourcenintensiven Prozess zu durchlaufen. Es bedeutet auch, dass das Zeitfenster, in dem die Systeme ungeschützt online geschaltet sind, kritisch ist. Dieses Zeitfenster lässt sich komplett schließen, wenn die zu patchenden Systeme während des gesamten Update-Prozesses offline bleiben. Darüber hinaus können die bereits online gepatchten virtuellen Maschinen für ein System-Backup genutzt werden. Und sollte der jeweils eingesetzte Patch zur endgültigen Installation das Neustarten des Systems verlangen, dann kann in der Zwischenzeit auf bereits offline gepatchte virtuelle Maschinen zurückgegriffen werden, um keine Ausfallzeiten zu haben. Die sich im Einsatz befindenden Computer müssen so nicht mehr ungepatcht laufen bis sich die Gelegenheit zum Updaten ergibt, sondern können auf dem neusten Sicherheitsstand gehalten werden, was die gesamte Unternehmenssicherheit verbessert.
Es ist nicht von der Hand zu weisen, dass die wilde Implementierung virtueller Systeme ohne Berücksichtigung festgelegter Richtlinien und Prozesse auf Dauer die Unternehmenssicherheit schwächt. Dass die Virtualisierung Gefahren birgt, liegt aber nicht an der Technologie selbst, sondern an der Art und Weise, wie sie bisher eingesetzt und administriert wurde. Richtig ist, dass wenn virtualisierte Umgebungen kontrolliert geschaffen und effizient gesichert werden, die Unternehmenssicherheit nicht leiden muss, sondern im Gegenteil verbessert werden kann. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.