Mehr Sicherheit durch Virtualisierung

Trennung von Applikationen auf einem Host

Wenn beispielsweise eine Applikation auf einem ersten Server direkt aus dem Internet erreichbar und somit angreifbar ist, wird man bestrebt sein, diesen Dienst möglichst nicht mit einer zweiten Anwendung zu koppeln, die interne und vertrauliche Daten verwaltet. Beide Applikationen stehen typischerweise nicht in einem gemeinsamen Netzwerksegment, und die Systeme sollten auch nicht auf einem gemeinsamen Host-System ablaufen. Noch geringer wäre die Sicherheit, wenn die Anwendungen sich einen normalen Server teilen und nicht einmal in einer jeweils eigenen virtuellen Maschine ablaufen würden.

Alle Applikationen auf einem Rechner werden durch das schwächste Glied in der Kette - in diesem Fall eine angreifbare Anwendung - in Gefahr gebracht. In diesem Fall könnte das Unternehmen für jede Anwendung eine jeweils eigene virtuelle Maschine schaffen und so die Sicherheit erhöhen. Es bleibt indes das erwähnte Risiko einer verwundbaren Virtualisierungslösung.

Unverfälschte Systemüberwachung ohne Rootkit-Einfluss

Moderne Virtualisierungssysteme bieten Sicherheitslösungen, wie sie bisher undenkbar waren. Das Host-System oder die Management-Komponente der Virtualisierungslösung besitzen nahezu uneingeschränkten Zugriff auf die virtuellen Maschinen. Daher hat man beste Voraussetzungen, von außen die Vorgänge und Zustände innerhalb der virtuellen Maschine zu überwachen. Trojaner, Viren oder Rootkits haben dann keine Chance, sich zu verstecken.

Wenn ein Angreifer die Kontrolle über ein gehacktes System übernommen hat, wird er versuchen, sich und seine Aktivitäten auf dem System mit einem Rootkit unsichtbar zu machen. Herkömmliche Erkennungsverfahren für Rootkits, die innerhalb der infizierten Maschine laufen müssen, haben das Problem, dass sie auf Daten zurückgreifen, die das Schadprogramm möglicherweise schon gefälscht hat.

In einer virtualisierten Umgebung hat man nun die Möglichkeit, beispielsweise den Hauptspeicher der virtuellen Maschine ohne Einflussmöglichkeit eines Rootkits von außen zu lesen. Auf diese Weise lässt sich eine neue Klasse von Sicherheitsprodukten entwickeln, die vom Host-System beziehungsweise von der Verwaltungskomponente aus die virtuellen Maschinen überwachen und auf diese einwirken können. Dazu zählen Virenscanner, die nicht mehr auf dem zu schützenden Server selbst laufen, sondern vom Host aus gleich mehrere virtuelle Maschinen überwachen. Eine weitere Möglichkeit sind Live-Forensik-Werkzeuge, die zur Laufzeit vollen Zugriff auf virtuelle Maschinen haben, ohne diese jedoch zu beeinflussen.