Suchen

Sicherheit für VM, Hypervisor und Co. Datensicherheit in Virtualisierungsumgebungen

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Virtualisierungsumgebungen stellen in vielen IT-Infrastrukturen wichtige Funktionen bereit. Dabei kann es sich unter anderem um virtuelle Desktops, Datenbanken oder auch Web-Server handeln. Diese Installationen sind oft unver­zicht­bar für die tägliche Arbeit , umso wichtiger, dass ihre Sicherheit gewährleistet ist. Wir zeigen, welche Punkte für die Sicherheit in Virtualisierungs­umgebungen eine wichtige Rolle spielen.

Firma zum Thema

Das Absichern virtueller Umgebungen stellt eine anspruchsvolle Aufgabe dar, die Administratoren nicht vernachlässigen dürfen.
Das Absichern virtueller Umgebungen stellt eine anspruchsvolle Aufgabe dar, die Administratoren nicht vernachlässigen dürfen.
(Bild: gemeinfrei / Pixabay )

Virtualisierungsumgebungen stellen gewisse Anforderungen an die IT-Sicherheit, die in traditionellen Installationen nicht anfallen. Die genannten Installationen bestehen aus dem Hypervisor, also dem System, das auf der eigentlichen Hardware läuft und den so genannten Gastbetriebssystemen, die "unterhalb" des Hypervisors in den einzelnen Virtuellen Maschinen (VMs) arbeiten. Eine Security-Lösung in diesem Bereich muss sich sowohl um die Sicherheit des Hypervisors, als auch um die der Gastbetriebssysteme kümmern. Die Überwachung der Kommunikation der Gäste nach außen, untereinander und mit dem Hypervisor gehört ebenfalls zu ihrem Aufgabengebiet.

Im Betrieb virtueller Umgebungen müssen die IT-Verantwortlichen unter anderem sicherstellen, dass die Trennung zwischen mehreren Virtuellen Maschinen auf einem Hypervisor nicht umgangen werden kann, da sonst eine Infektion einer Maschine auf dem Host sofort zur Infektion aller anderen VMs auf demselben Host führen könnte. Außerdem gilt es wie gesagt auch, die virtuellen Netze mit Hilfe von IPS-Funktionen zu überwachen, um verdächtiges Verhalten aufzuspüren. Gleichzeitig müssen die Verantwortlichen dafür sorgen, dass nur die Anwender Zugriff auf die VMs erhalten, die das auch wirklich müssen und dass die Authentifizierung sicher abläuft. Es gibt auf dem Markt leistungsfähige Sicherheitslösungen, die sich speziell auf virtuelle Umgebungen spezialisiert haben. Diese können mit Agenten oder agentenlos arbeiten und kommen als Software oder Appliance beziehungsweise als virtuelle Appliance, die direkt auf dem zu schützenden Hypervisor läuft.

Bildergalerie
Bildergalerie mit 5 Bildern

Die Systemleistung muss gewährleistet bleiben

Bei der Auswahl eines solchen Produkts sollten die Administratoren darauf achten, dass die Performance der Hypervisoren auch mit aktiver Security-Lösung gewährleistet bleibt. Bremst das Sicherheitsprodukt die virtuellen Maschinen (VMs) nämlich aus, so leidet die Produktivität der Mitarbeiter darunter. In diesem Zusammenhang ergibt es beispielsweise Sinn, Dateiüberprüfungen über einen zentralen Scanner auf der Sicherheits-Appliance auszulagern und sie nicht auf den einzelnen VMs durchzuführen.

Außerdem ist es in der Praxis oft so, dass viele VMs identisch aufgebaut wurden, also auf ähnliche Software-Installationen und das gleiche Betriebssystem aufsetzen. Deswegen sind bei den einzelnen VMs mehrfach vorhandene Daten verhältnismäßig häufig. Eine intelligente Sicherheitslösung erkennt dies und prüft die Daten nur einmal. Auf diese Weise verbessert sich die Performance des Gesamtsystems und die Scans laufen schneller ab.

Leistungsfähige Produkte bieten den zuständigen Mitarbeitern zudem die Option, Prozesse festzulegen, die der Echtzeitschutz des Sicherheitslösung ignoriert. Das führt dazu, dass überflüssige Scans entfallen, etwa beim Verschieben von VMs auf andere Hypervisoren oder auch bei Backups.

Ein Sicherheitsprodukt, das direkt auf dem Hypervisor läuft, bringt zudem den Vorteil mit sich, dass es des gesamten Festplattenspeicher des Hosts von einer zentralen Stelle aus im Blick behalten kann und nicht nur den, der gerade den einzelnen VMs zugewiesen wurden. Das macht das Einspielen gesonderter Lösungen auf den VMs überflüssig und ermöglicht es zudem, auch ausgeschaltete VMs in die Prüfung mit einzubeziehen.

Bei modernen Produkten ist die zentrale Überwachung des Speichers übrigens nicht mehr auf die Festplatten beschränkt: „Relativ neu, und bereits möglich für Citrix- und KVM-Umgebungen ist die Überwachung des Arbeitsspeichers des Hypervisors selbst“, erklärt Herbert Mayer, Sales Engineer bei Bitdefender. „Die Technologie wird Hypervisor Introspection (HVI) genannt und erkennt Manipulationen des Arbeitsspeichers und die rund zehn gebräuchlichsten Hacking-Techniken, die bei der Ausnutzung von Zero-Day-Exploits und bei APTs eingesetzt werden. Dies findet außerhalb des Betriebssystems statt, ist somit agentenlos und kompatibel mit jeder In-Guest-Sicherheitslösung.“

Zentrales Management sorgt für Durchblick

Von großer Bedeutung ist, dass sich die Sicherheitsumgebung von einer zentralen Stelle aus verwalten lässt, damit die zuständigen Mitarbeiter stets einen Überblick über den Sicherheitsstatus ihrer Systeme haben. Leistungsfähige Lösungen unterstützen dabei problemlos die Verwaltung mehrerer tausend Clients. Die Management-Lösung kommt zum Erstellen von Richtlinien, zum Starten von Scans und zum Überwachen der Installationen zum Einsatz.

Setzt die Sicherheitslösung Agenten ein, so sind diese dazu in der Lage, auf den betroffenen Clients eine Vielzahl von Informationen zu sammeln und diese an die Management-Konsole zu schicken. Da die Datensammlung dezentral erfolgt und auf den Clients gespeichert werden kann, erfasst das System in diesem Fall auch Aktionen, die stattfinden, wenn keine Verbindung zur Management-Umgebung existiert. Das gilt natürlich nicht nur für das Sammeln von Überwachungsdaten, die Agenten können bei Bedarf auch allein Aktionen starten und Regeln durchsetzen, die die Administratoren zuvor definiert haben.

Problemfall Snapshots

Ein Problem, das nur in virtuellen Umgebungen auftritt, sind Snapshots von VMs. Diese halten den Zustand eines Systems zu einem bestimmten Zeitpunkt fest und ermöglichen es, später zu diesem zurückzukehren und alle danach durchgeführten Aktionen und Änderungen rückgängig zu machen. Des ist vor allem in Test- und Schulungsumgebungen sinnvoll. Für Sicherheitslösungen ergeben sich durch dieses Vorgehen aber Schwierigkeiten, so hat es beispielsweise keinen Sinn, die Signaturen einer Anti-Virus-Lösung auf den Status von einer Woche zuvor zurückzusetzen. Deswegen bieten manche auf Virtualisierung spezialisierte Security-Tools die Möglichkeit, solche Signatur-Updates auf getrennten Pfaden zu sichern, wo sie auch nach dem Zurückrollen eines Snapshots erhalten bleiben.

Patches zentral verwaltet

Ein weiteres wichtiges Problem, mit dem sich Administratoren virtueller Umgebungen auseinandersetzen müssen: das Einspielen von Patches. Ähnlich wie bei den Antivirus-Scans ist es nicht effizient, jede VM getrennt zu patchen. Leistungsfähige Patch-Lösungen sind heute dazu in der Lage, die VMs unabhängig voneinander zu analysieren und die Patches bei Bedarf direkt auf den virtuellen Festplatten zu installieren. Auf diese Weise lassen sich sogar ausgeschaltete VMs auf den aktuellen Stand bringen.

Johannes Carl, Senior Presales Consultant bei Ivanti, erklärt diesen Vorgang folgendermaßen: „Die ausgeschalteten VMs werden dazu vorübergehend gemounted und dann gepatcht. Das ist nicht nur praktisch für Maschinen, die gerade nicht in Verwendung sind, sondern entbindet Administratoren von der Notwendigkeit, isolierte virtuelle Maschinen zum Aktualisieren mit dem Netzwerk oder gar dem Internet zu verbinden. Das Patchen ausgeschalteter Maschinen funktioniert sogar für VM-Templates, sodass neue VMs stets alle aktuellen Updates installiert haben.“

Fazit

Das Absichern virtueller Umgebungen stellt eine anspruchsvolle Aufgabe dar. Administratoren müssen sich um die Zugriffskontrolle kümmern, die einzelnen VMs voneinander getrennt halten, Schutzfunktionen gegen Viren und Malware implementieren, die Datenübertragungen zwischen den beteiligten Komponenten im Auge behalten und ihre Systeme überwachen. All das muss geschehen, ohne dass darunter die Leistung der gesamten Installation leidet. Um diese Aufgaben zu erfüllen, stehen eine Vielzahl leistungsfähiger Werkzeuge zur Verfügung, die entweder einen Großteil der genannten Aspekte abdecken oder nur einzelne Funktionen dafür bereitstellen. Mit ihnen kann sich jeder eine Sicherheitsumgebung aufbauen, die genau auf seine Bedürfnisse zugeschnitten ist.

(ID:46266813)

Über den Autor

Dr. Götz Güttich

Dr. Götz Güttich

Journalist, IAIT