:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Virtualization Security Hypervisor und Cloud-Umgebungen vor unerwünschtem Zugriff schützen
Cloud Computing wäre ohne Virtualisierung nicht möglich. Doch die Kerntechnologie bringt einige neue Sicherheitsrisiken mit sich, die in der physischen Netzwerk-Infrastrukturen noch keine Rolle spielten. Dieser Artikel beleuchtet die vier gängigsten Probleme der Virtualisierung und wie das Unternehmen sie in den Griff bekommt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Beim Aufbau von Sicherheitsmechanismen gegen Risiken der Virtualisierung sollte man immer eine konzeptionelle Besonderheit im Hinterkopf behalten: Der Hypervisor und seine Gast-Maschinen sind nichts anderes, als ein einziger Haufen Code auf einem physischen Rechner.
Leider gibt es keine Garantie dafür, dass der Hypervisor sicherer oder weniger fehlerbehaftet ist, als eine andere Software vergleichbarer Größe. Die physische Isolation bzw. Abgrenzung als Sicherheitsfaktor ist hinfällig – und dies sollte man beim Abwägen der Gefahren berücksichtigen.
Virtuelle Systeme
Als erstes Sicherheitsrisiko der Virtualisierung sollte man nicht vertrauenswürdige VMs (virtuelle Maschinen) oder als Trojaner missbrauchte virtuelle Appliances angehen. Eine nicht vertrauenswürdige Virtual Machine kann sich unter Umständen in einer öffentlichen Cloud-Umgebung (Public Cloud) aufhalten. Mit ihr wird ein bösartiges System gestartet, das in „benachbarten“ Systemen nach Schwachstellen sucht.
Das eigentliche Problem besteht darin, dass die gefährliche VM auf demselben Hypervisor oder in der gleichen Cloud-Umgebung läuft, wie die anderen VMs. Räumt der Cloud Provider nun ein gewisses Vertrauensverhältnis zwischen den Maschinen ein, dann steigt die Wahrscheinlichkeit einer erfolgreichen Attacke dramatisch an.
Vorgefertigte virtuelle Appliances, die man einfach herunterlädt und als VM startet, stellen sowohl in der öffentlichen als auch in der privaten Cloud eine Gefahr dar. Sobald man eine virtuelle Appliance installiert bzw. verwendet, räumt man ihr gewisse Rechte ein. Dadurch lassen sich Schwachstellen auf dem Host-Rechner identifizieren und ausnutzen. Der Einbruchsversuch wäre damit gelungen.
Um dieser Gefahr zu begegnen, sollte man nur verifizierte und getestete Appliances bzw. System-Abbilder (Images) verwenden. In der öffentlichen Cloud sollte der Provider dafür garantieren können, dass sowohl Hypervisor als auch Netzwerk-Strukturen sicher konfiguriert sind und keine unerwünschten Zugriffe ermöglichen. Letztlich geht es darum, die räumliche Trennung physischer Systeme auch virtuell abzubilden.
Unsicher konfigurierte Netzwerk-Komponenten
Vor nicht allzu langer Zeit musste sich noch das Networking-Team und die Konfiguration von Firewalls und Netzwerk-Komponenten kümmern. Genau diese Mitarbeiter verstehen die Feinheiten und Sicherheitsauswirkungen von VLANs, Tagging, Routing, zustandsorientierten Verbindungen, ein- und ausgehender Schnittstellen-Belegung usw. Dies trifft aber nicht zwingend auf den Host-Administrator zu.
In virtuellen Umgebungen konfigurieren und verwalten eben diese Host-Administratoren plötzlich die Netzwerk-Verbindungen und -Sicherheitsmechanismen. Bei Fehlkonfigurationen könnte es beispielsweise dazu kommen, dass der an eine VM adressierte Traffic einer anderen Maschine zugestellt wird.
Natürlich gibt es auch Tools, die dabei helfen – nichtsdestotrotz bleibt es ein von Menschenhand gemachtes Problem, wenn Administratoren Sicherheitsmechanismen verwalten sollen, die sie gar nicht verstehen. Deshalb sollte sich auch in der virtuellen Welt das Networking-Team um die Netzwerk-Verbindungen kümmern. Als letzten Ausweg kann man auch den Host-Administrator in den Sicherheitsaspekten der Netzwerk-Konfiguration schulen.
Seite 2: Schlecht konfigurierter Hypervisor
Schlecht konfigurierter Hypervisor
Die Sicherheit der virtuellen Umgebung hängt untrennbar mit der Sicherheit des Hypervisor zusammen, jeder unauthorisierte Zugriff auf den Hypervisor kompromittiert die Infrastruktur. Das Grundproblem sind fehlende Kontrollen, wer Zugriff erhält und was er anschließend tun darf.
Zunächst einmal zum offensichtlichen Risiko: Durch den uneingeschränkten Zugriff auf den Hypervisor steigt die Gefahr signifikant – insbesondere wenn dieser über unsichere Netzwerke wie das Internet erreichbar ist. Dagegen kann man recht einfach vorgehen, indem geregelt wird, welche Systeme auf die Management-Infrastruktur (Graphical User Interface, Application Programming Interface, Log-in usw.) zugreifen dürfen.
Schwieriger wird es, wenn man Einfluss darauf nehmen möchte, was ein authentifizierter Nutzer tun darf. Hierfür benötigt man zunächst einen widerstandsfähigen Kontroll-Mechanismus, der den Zugriff und die Verwaltung zwar für virtuelle Maschinen erlaubt, nicht aber für das Host-System. Darüber hinaus benötigt manch ein Nutzer einige spezielle, möglicherweise administrative Funktionen. Der Zugriffskontroll-Mechanismus sollte solche Ausnahmen unterstützen.
Datenverlust durch Offline-Abbilder
Sobald ein virtuelles System in den Ruhezustand geschickt wird, speichert es den Inhalt des Arbeitsspeichers in einer Datei ab, die sich im Zweifel nach interessanten Inhalten durchsuchen lässt. Bei einem physischen Rechner benötigte man hierfür schon direkten Zugriff auf den Arbeitsspeicher.
Nehmen wir uns eine Anwendung als Beispiel, die Sozialversicherungsnummern oder Kreditkartendaten schützen soll. Die VM kann noch so robust und sicher sein – jede im Arbeitsspeicher abgelegte Information wird übergangsweise nicht geschützt und im Maschinen-Abbild gespeichert. Man muss sich bei der Virtualisierung zumindest teilweise von der Vorstellung des flüchtigen Arbeitsspeichers verabschieden.
(ID:2051658)
:quality(80)/images.vogel.de/vogelonline/bdb/1938900/1938990/original.jpg "Unternehmen kämpfen noch immer mit den grundlegendsten Aspekten der Sicherheit von ihren genutzten Cloud-Diensten. Das Thema Cloud Security wird wohl noch lange ein Problemfeld bleiben. (stnazkul - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1922100/1922143/original.jpg "Mit diesen 10 Tipps lassen sich virtuelle Maschinen (VMs) in Microsoft Azure sicherer betreiben. (greenbutterfly - stock.adobe.com)")