Sicherheit für VM, Hypervisor und Co.

Datensicherheit in Virtualisierungsumgebungen

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Das Absichern virtueller Umgebungen stellt eine anspruchsvolle Aufgabe dar, die Administratoren nicht vernachlässigen dürfen.
Das Absichern virtueller Umgebungen stellt eine anspruchsvolle Aufgabe dar, die Administratoren nicht vernachlässigen dürfen. (Bild: gemeinfrei / Pixabay)

Virtualisierungsumgebungen stellen in vielen IT-Infrastrukturen wichtige Funktionen bereit. Dabei kann es sich unter anderem um virtuelle Desktops, Datenbanken oder auch Web-Server handeln. Diese Installationen sind oft unver­zicht­bar für die tägliche Arbeit , umso wichtiger, dass ihre Sicherheit gewährleistet ist. Wir zeigen, welche Punkte für die Sicherheit in Virtualisierungs­umgebungen eine wichtige Rolle spielen.

Virtualisierungsumgebungen stellen gewisse Anforderungen an die IT-Sicherheit, die in traditionellen Installationen nicht anfallen. Die genannten Installationen bestehen aus dem Hypervisor, also dem System, das auf der eigentlichen Hardware läuft und den so genannten Gastbetriebssystemen, die "unterhalb" des Hypervisors in den einzelnen Virtuellen Maschinen (VMs) arbeiten. Eine Security-Lösung in diesem Bereich muss sich sowohl um die Sicherheit des Hypervisors, als auch um die der Gastbetriebssysteme kümmern. Die Überwachung der Kommunikation der Gäste nach außen, untereinander und mit dem Hypervisor gehört ebenfalls zu ihrem Aufgabengebiet.

Im Betrieb virtueller Umgebungen müssen die IT-Verantwortlichen unter anderem sicherstellen, dass die Trennung zwischen mehreren Virtuellen Maschinen auf einem Hypervisor nicht umgangen werden kann, da sonst eine Infektion einer Maschine auf dem Host sofort zur Infektion aller anderen VMs auf demselben Host führen könnte. Außerdem gilt es wie gesagt auch, die virtuellen Netze mit Hilfe von IPS-Funktionen zu überwachen, um verdächtiges Verhalten aufzuspüren. Gleichzeitig müssen die Verantwortlichen dafür sorgen, dass nur die Anwender Zugriff auf die VMs erhalten, die das auch wirklich müssen und dass die Authentifizierung sicher abläuft. Es gibt auf dem Markt leistungsfähige Sicherheitslösungen, die sich speziell auf virtuelle Umgebungen spezialisiert haben. Diese können mit Agenten oder agentenlos arbeiten und kommen als Software oder Appliance beziehungsweise als virtuelle Appliance, die direkt auf dem zu schützenden Hypervisor läuft.

Die Systemleistung muss gewährleistet bleiben

Bei der Auswahl eines solchen Produkts sollten die Administratoren darauf achten, dass die Performance der Hypervisoren auch mit aktiver Security-Lösung gewährleistet bleibt. Bremst das Sicherheitsprodukt die virtuellen Maschinen (VMs) nämlich aus, so leidet die Produktivität der Mitarbeiter darunter. In diesem Zusammenhang ergibt es beispielsweise Sinn, Dateiüberprüfungen über einen zentralen Scanner auf der Sicherheits-Appliance auszulagern und sie nicht auf den einzelnen VMs durchzuführen.

Außerdem ist es in der Praxis oft so, dass viele VMs identisch aufgebaut wurden, also auf ähnliche Software-Installationen und das gleiche Betriebssystem aufsetzen. Deswegen sind bei den einzelnen VMs mehrfach vorhandene Daten verhältnismäßig häufig. Eine intelligente Sicherheitslösung erkennt dies und prüft die Daten nur einmal. Auf diese Weise verbessert sich die Performance des Gesamtsystems und die Scans laufen schneller ab.

Leistungsfähige Produkte bieten den zuständigen Mitarbeitern zudem die Option, Prozesse festzulegen, die der Echtzeitschutz des Sicherheitslösung ignoriert. Das führt dazu, dass überflüssige Scans entfallen, etwa beim Verschieben von VMs auf andere Hypervisoren oder auch bei Backups.

Ein Sicherheitsprodukt, das direkt auf dem Hypervisor läuft, bringt zudem den Vorteil mit sich, dass es des gesamten Festplattenspeicher des Hosts von einer zentralen Stelle aus im Blick behalten kann und nicht nur den, der gerade den einzelnen VMs zugewiesen wurden. Das macht das Einspielen gesonderter Lösungen auf den VMs überflüssig und ermöglicht es zudem, auch ausgeschaltete VMs in die Prüfung mit einzubeziehen.

Bei modernen Produkten ist die zentrale Überwachung des Speichers übrigens nicht mehr auf die Festplatten beschränkt: „Relativ neu, und bereits möglich für Citrix- und KVM-Umgebungen ist die Überwachung des Arbeitsspeichers des Hypervisors selbst“, erklärt Herbert Mayer, Sales Engineer bei Bitdefender. „Die Technologie wird Hypervisor Introspection (HVI) genannt und erkennt Manipulationen des Arbeitsspeichers und die rund zehn gebräuchlichsten Hacking-Techniken, die bei der Ausnutzung von Zero-Day-Exploits und bei APTs eingesetzt werden. Dies findet außerhalb des Betriebssystems statt, ist somit agentenlos und kompatibel mit jeder In-Guest-Sicherheitslösung.“

Shielded-VMs und Host Guardian Service in Hyper-V

Video-Tipp: Shielded-VMs – Teil 1

Shielded-VMs und Host Guardian Service in Hyper-V

12.11.19 - Microsoft ermöglicht mit Hyper-V einen besonderen Schutz für virtuelle Maschinen (VM). Dazu werden Shielded-VMs eingeführt, die durch einen internen Serverdienst überwacht und geschützt werden. Wir zeigen in diesem Video-Tipp, wie man den Dienst einrichtet und dazu den Host Guardian Service aufsetzt. lesen

Zentrales Management sorgt für Durchblick

Von großer Bedeutung ist, dass sich die Sicherheitsumgebung von einer zentralen Stelle aus verwalten lässt, damit die zuständigen Mitarbeiter stets einen Überblick über den Sicherheitsstatus ihrer Systeme haben. Leistungsfähige Lösungen unterstützen dabei problemlos die Verwaltung mehrerer tausend Clients. Die Management-Lösung kommt zum Erstellen von Richtlinien, zum Starten von Scans und zum Überwachen der Installationen zum Einsatz.

Setzt die Sicherheitslösung Agenten ein, so sind diese dazu in der Lage, auf den betroffenen Clients eine Vielzahl von Informationen zu sammeln und diese an die Management-Konsole zu schicken. Da die Datensammlung dezentral erfolgt und auf den Clients gespeichert werden kann, erfasst das System in diesem Fall auch Aktionen, die stattfinden, wenn keine Verbindung zur Management-Umgebung existiert. Das gilt natürlich nicht nur für das Sammeln von Überwachungsdaten, die Agenten können bei Bedarf auch allein Aktionen starten und Regeln durchsetzen, die die Administratoren zuvor definiert haben.

Problemfall Snapshots

Ein Problem, das nur in virtuellen Umgebungen auftritt, sind Snapshots von VMs. Diese halten den Zustand eines Systems zu einem bestimmten Zeitpunkt fest und ermöglichen es, später zu diesem zurückzukehren und alle danach durchgeführten Aktionen und Änderungen rückgängig zu machen. Des ist vor allem in Test- und Schulungsumgebungen sinnvoll. Für Sicherheitslösungen ergeben sich durch dieses Vorgehen aber Schwierigkeiten, so hat es beispielsweise keinen Sinn, die Signaturen einer Anti-Virus-Lösung auf den Status von einer Woche zuvor zurückzusetzen. Deswegen bieten manche auf Virtualisierung spezialisierte Security-Tools die Möglichkeit, solche Signatur-Updates auf getrennten Pfaden zu sichern, wo sie auch nach dem Zurückrollen eines Snapshots erhalten bleiben.

Shielded-VMs in Windows Server 2019

Video-Tipp: Shielded-VMs – Teil 2

Shielded-VMs in Windows Server 2019

19.11.19 - Geschützte VMs, auch Shielded-VMs genannt, bieten in Windows Server 2019 die Möglichkeit Serverdienste und deren Daten in Hyper-V-VMs abzuschirmen und zu verschlüsseln. Wir zeigen in diesem Video-Tipp, wie man Hosts an den Host Guardian Service anbindet und Shielded-VMs bereitstellt. lesen

Patches zentral verwaltet

Ein weiteres wichtiges Problem, mit dem sich Administratoren virtueller Umgebungen auseinandersetzen müssen: das Einspielen von Patches. Ähnlich wie bei den Antivirus-Scans ist es nicht effizient, jede VM getrennt zu patchen. Leistungsfähige Patch-Lösungen sind heute dazu in der Lage, die VMs unabhängig voneinander zu analysieren und die Patches bei Bedarf direkt auf den virtuellen Festplatten zu installieren. Auf diese Weise lassen sich sogar ausgeschaltete VMs auf den aktuellen Stand bringen.

Johannes Carl, Senior Presales Consultant bei Ivanti, erklärt diesen Vorgang folgendermaßen: „Die ausgeschalteten VMs werden dazu vorübergehend gemounted und dann gepatcht. Das ist nicht nur praktisch für Maschinen, die gerade nicht in Verwendung sind, sondern entbindet Administratoren von der Notwendigkeit, isolierte virtuelle Maschinen zum Aktualisieren mit dem Netzwerk oder gar dem Internet zu verbinden. Das Patchen ausgeschalteter Maschinen funktioniert sogar für VM-Templates, sodass neue VMs stets alle aktuellen Updates installiert haben.“

Fazit

Das Absichern virtueller Umgebungen stellt eine anspruchsvolle Aufgabe dar. Administratoren müssen sich um die Zugriffskontrolle kümmern, die einzelnen VMs voneinander getrennt halten, Schutzfunktionen gegen Viren und Malware implementieren, die Datenübertragungen zwischen den beteiligten Komponenten im Auge behalten und ihre Systeme überwachen. All das muss geschehen, ohne dass darunter die Leistung der gesamten Installation leidet. Um diese Aufgaben zu erfüllen, stehen eine Vielzahl leistungsfähiger Werkzeuge zur Verfügung, die entweder einen Großteil der genannten Aspekte abdecken oder nur einzelne Funktionen dafür bereitstellen. Mit ihnen kann sich jeder eine Sicherheitsumgebung aufbauen, die genau auf seine Bedürfnisse zugeschnitten ist.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46266813 / Cloud und Virtualisierung)