Suchen

Virtuelle Umgebungen Patch-Verwaltung und SIEM für VMs etablieren

Autor / Redakteur: Mav Turner* / Stephan Augsten

Jeden Tag produzieren Unternehmen ganze Berge an möglicherweise vertraulichen Daten. Die Informationssicherheit muss bei jedem Schritt höchste Priorität haben. Ein solcher Schritt ist die großflächige Implementierung virtueller Umgebungen in Rechenzentren weltweit.

Firmen zum Thema

Bei virtuellen Systemen ist es essenziell, einen Wildwuchs zu vermeiden und Patches zeitnah an alle Systeme zu verteilen.
Bei virtuellen Systemen ist es essenziell, einen Wildwuchs zu vermeiden und Patches zeitnah an alle Systeme zu verteilen.
(Bild: Archiv)

Die Virtualisierung ist sehr ausgereift, erscheint durch den rasanten Anstieg der Nutzung in den letzten fünf bis zehn Jahre einigen noch sehr neu. Daher versuchen viele noch herauszufinden, wie sie die Sicherheitsrisiken in ihrer virtuellen Umgebung richtig angehen können.

Dafür ist jetzt der beste Zeitpunkt, denn auch Angreifer versuchen, die Gelegenheit zu nutzen. So hatte Ende 2014 ein mutmaßlicher Angreifer den Benutzern des browserbasierten Testanbieters BrowserStack eine E-Mail gesendet. Angeblich gebe es eine Sicherheitslücke in der virtuellen Umgebung des Unternehmens.

In der E-Mail, die den Eindruck erweckte, sie stamme vom Unternehmen selbst, war zu lesen: „Wir nutzen keine Firewalls und unsere Kennwortrichtlinien sind miserabel. Alle aktiven virtuellen Maschinen sind öffentlich zugänglich [...] Es kann fast sicher davon ausgegangen werden, dass alle Ihre Daten nicht mehr sicher sind.“

Auch wenn BrowserStack den Anschuldigungen jeden Wahrheitsgehalt abspricht, führte der Vorfall natürlich zu der häufig geäußerten Frage, ob das Unternehmen alle notwendigen Maßnahmen ergriffen hatte, um für eine sichere virtuelle Umgebung zu sorgen. Und leider wird BrowserStack auch nicht das einzige Unternehmen bleiben, dessen virtuelle Umgebung Angriffen ausgesetzt sein wird.

Es ist daher von großer Wichtigkeit, dass sich Organisationen ein besseres Verständnis der mit virtuellen Umgebungen einhergehenden Sicherheitsrisiken aneignen und über Strategien verfügen, um diesen Bedrohungen entgegenzuwirken. Zwei der wichtigsten Strategien sind die Patch-Verwaltung und das Security Information and Event Management (SIEM).

Patch Management schützt vor VM-Zombies

Zu den größten Sicherheitsrisiken bei der Virtualisierung gehören virtuelle Zombie-Maschinen (Zombie-VMs). Das klingt vielleicht wie das Produkt des Alptraums eines Systemadministrators. Aber jeder, der sich schon einmal mit der VM-Administration beschäftigt hat, kennt Zombie-VMs nur zu gut und weiß, dass sie ein echtes Problem darstellen.

Als Zombie-VM wird eine VM bezeichnet, die in einer virtuellen Umgebung untätig im Hintergrund aktiv bleibt, ohne einen nennenswerten Workload zu übernehmen, und daher oft in Vergessenheit gerät. Wenn diese VMs unbemerkt bleiben und sich mit der Zeit vervielfältigen, führt dies zum Phänomen des VM-Wildwuchses. Das heißt, dass es zu einem unkontrollierten Zuwachs von virtuellen Maschinen in einer virtuellen Umgebung kommt.

Wildwuchs ist heutzutage für viele Organisationen ein alltägliches Ereignis und ist auf die im Vergleich zu physischen Umgebungen relativ einfache Erstellung und Bereitstellung von VMs zurückzuführen. Noch schlimmer ist, dass Wildwuchs sich üblicherweise über einen längeren Zeitraum hinweg langsam entwickelt, so dass es nicht einfach ist, das Problem schon bei der Entstehung zu erkennen.

Hierdurch wird es extrem schwierig, den Überblick darüber zu behalten, welche Elemente online oder offline sind und welche Sicherheitslücken möglicherweise entstehen. Insbesondere ungepatchte VMs können als Einfallstor in die Systeme eines Unternehmens missbraucht werden. Dies kann zu Datensicherheitsverletzungen oder mindestens zu Compliance-Verstößen führen.

Um dieses Risiko im Kern anzugehen, ist es wichtig, virtuelle Umgebungen aktiv zu verwalten und genau zu wissen, was verwendet und was benötigt oder nicht benötigt wird. Allerdings entsteht Wildwuchs, wie bereits erwähnt, oft unbemerkt im Laufe der Zeit. Daher sollte ein ordnungsgemäßes Patch Management etabliert werden, um sicherzustellen, dass eventuell in der Umgebung befindliche Zombie-VMs mit Sicherheitslücken nicht zu einem Einfallstor für Angreifer werden.

Die meisten Organisationen verfügen nicht über die nötige Zeit und Ressourcen, um Hunderte oder Tausende mögliche Systeme in virtuellen Umgebungen zu patchen – insbesondere wenn Wildwuchs außer Kontrolle gerät. Automatisierte Patch-Tools und Prozesse helfen sicherzustellen, dass sämtliche VMs – ob Zombie oder nicht – alle aktuellen kritischen Sicherheitsaktualisierungen erhalten.

Über die Dynamik der virtuellen Maschinen

Die Virtualisierung hat viele Vorteile: Flexibilität, Skalierbarkeit, Qualitätssicherung und Kosteneinsparungen. Allerdings erhöht sie naturgemäß auch die Komplexität der Infrastruktur. Demzufolge wird auch die Überwachung auf ungewöhnliche Ereignisse und Anomalien komplexer, so dass es noch schwieriger wird, Sicherheitsprobleme wie beispielsweise erweiterte dauerhafte Bedrohungen zu identifizieren.

Außerdem sind VMs und deren Workloads sehr dynamisch und können sich häufig schnell verändern. Auch dies stellt ein Sicherheitsrisiko dar. So werden VMs beispielsweise häufig in Laborumgebungen eingesetzt, damit Entwickler Anwendungen testen und bereitstellen können.

Diese Labor-VMs werden jedoch gelegentlich von der Testumgebung in die Produktionsumgebung übernommen. Das Problem dabei ist, dass Labor-VMs oft nicht über die angemessenen Sicherheitsmaßnahmen für Produktions-Workloads verfügen, da das in der ursprünglichen Laborumgebung nicht benötigt wurde.

Genauso erfordern manche Workloads möglicherweise eine hohe Sicherheitsstufe, die von der virtuellen Maschine gewährleistet werden kann, an die der Workload zugewiesen wurde. Wenn nun aber Raum für erfolgsentscheidendere Workloads geschaffen werden muss, wird der Workload möglicherweise auf eine andere virtuelle Maschine mit einer niedrigeren Sicherheitsstufe verschoben. So entsteht eine potentielle Sicherheitslücke.

Einige der Sicherheitsbedenken bezüglich der dynamischen Natur von VMs werden durch das Patch Management gelöst, für den Rest ist SIEM zuständig. Mit SIEM kann die Überwachung unsicherer VMs und ungewöhnlicher sicherheitsbezogener Ereignisse oder Anomalien, die oft aufgrund der schnellen Änderung virtueller Umgebung auftreten, automatisiert werden. Eine gute SIEM-Lösung bietet vollständige Transparenz der Sicherheitsrisiken einer virtuellen Umgebung und gibt Warnungen aus, falls etwas nicht stimmt.

Über Patch-Verwaltung und SIEM hinaus

Auch wenn Patch-Verwaltung und SIEM zu den wichtigsten Bestandteilen der Virtualisierungssicherheit gehören, sind sie fraglos nicht die einzigen Elemente eines umfassenden Verteidigungsplans zur Sicherung virtueller Umgebungen. Unter anderem sind die folgenden Punkte zu beachten:

  • Definierte Prozesse: Eine gut geführte Umgebung verfügt über relevante und effiziente Sicherheitsprozesse sowie über die notwendigen Tools, um diese Prozesse zu unterstützen und den manuellen Arbeitsaufwand so weit wie möglich zu minimieren.
  • Regelmäßige Prüfungen: Regelmäßige Scans und Prüfungen der virtuellen Umgebung ermöglichen einen besseren Überblick über die zugewiesenen und genutzten Ressourcen, so dass dadurch Zombie-VMs beseitigt werden können. Admins sollten daher nach Möglichkeit Tools zum Automatisieren von Sicherheitsprüfungen, Kontrollen und Prozessen nutzen.
  • Trennen: Es ist wichtig zu ermitteln, wie und an welcher Stelle virtuelle Maschinen für Entwicklung, Test und Produktion getrennt werden können.

Mav Turner
Mav Turner
(Bild: Solarwinds)

Mit dem notwendigen Wissen darüber, welche Sicherheitsrisiken durch die Virtualisierung entstehen und wie man diesen Risiken insbesondere durch effektive Patchverwaltung sowie SIEM-Lösungen und Strategien begegnen kann, kann eine Organisation die Vorteile der Virtualisierung nutzen und gleichzeitig für die Sicherheit ihrer vertraulichen Daten sorgen.

* Über den Autor

Mav Turner ist Director IT Security Business bei SolarWinds.

(ID:43749848)