Suchen

Nur ein Trend oder die Lösung? Sicherheit durch Virtualisierung

| Autor / Redakteur: Jochen Koehler / Peter Schmitz

Mit klassischen Lösungen können Sicherheitsrisiken nicht zuverlässig ausgeschlossen werden. Isolation statt Detektion von Gefahren lautet deshalb ein neuer Ansatz. Die technische Basis hierfür liefert die Virtualisierung.

Firmen zum Thema

Virtualisierung kann zwar die Begrenztheit klassischer Sicherheitslösungen überwinden, überflüssig werden sie dadurch aber nicht.
Virtualisierung kann zwar die Begrenztheit klassischer Sicherheitslösungen überwinden, überflüssig werden sie dadurch aber nicht.
(Bild: gemeinfrei / Pixabay )

Der Siegeszug der Virtualisierung ist nicht aufzuhalten. Im Server- und Storage-Bereich ist sie bereits seit Langem Standard, und auch die Client- und Applikations­virtualisierung wird zur Reduzierung von Administrationsaufwand und Kosten häufig genutzt. Aktuell steht zudem die Virtualisierung von Netzwerken auf der IT-Agenda vieler Unternehmen; dabei geht es um Software-Defined Networking (SDN) und Network Functions Virtualization (NFV). Der Virtualisierungstrend geht aber noch weiter. Er wird vor allem auch das Thema Sicherheit maßgeblich prägen, denn Virtualisierung markiert einen neuen Meilenstein in der IT-Sicherheit: Isolation statt Detektion.

Die zunehmende Einführung von Virtualisierungslösungen wird auch dadurch begünstigt, dass sie kaum mehr mit zusätzlichen Sicherheitsrisiken in Verbindung gebracht werden. Im Gegenteil: Inzwischen hat sich eher die Meinung durchgesetzt, dass in virtuellen Architekturen sogar eine höhere Sicherheit umsetzbar ist als in physischen Infrastrukturen. Im Netzwerkbereich etwa ermöglicht die softwaregestützte Micro-Segmentierung, das heißt die Bildung kleinerer Netzsegmente, einen Sicherheitsgewinn.

Herkömmliche Lösungen sind unzureichend

Und auch im Client-Bereich kann gerade durch den Einsatz von Virtualisierungslösungen ein höheres Maß an Sicherheit realisiert werden, als es mit traditionellen Applikationen möglich ist. Die Begrenztheit herkömmlicher Sicherheitsmaßnahmen ist inzwischen mehr als deutlich zutage getreten. Sie betrifft gleichermaßen Intrusion-Prevention-Systeme, Antiviren-Tools und ihre Weiterentwicklungen, die sogenannten Next-Generation-Antiviren-Produkte, sowie Next-Generation-Firewalls. Diese Lösungen können neue Zero-Day-Attacken, Advanced Persistent Threats oder immer raffiniertere Ransomware-Trojaner nicht zuverlässig aufspüren. Der Grund: Sie sind auf die Erkennung von Schadsoftware angewiesen und bei bisher unbekannter, neuer Malware stoßen sie an ihre Grenzen.

Virtualisierung überwindet das Dilemma

Neue Sicherheitskonzepte sind deshalb nötiger denn je. In der Virtualisierung sehen inzwischen viele Softwareanbieter einen Ausweg aus dem Sicherheitsdilemma. Mit Virtualisierung und Isolation aller Aktivitäten, die das Unternehmensnetz potenziell gefährden, können die Sicherheitslücken, die prinzipbedingt bei traditionellen Lösungen vorhanden sind, geschlossen werden.

Diesen Weg schlägt zum Beispiel Microsoft ein. Die Redmonder bieten bei der Enterprise-Edition ihres aktuellen Betriebssystems Windows 10 den Device Guard an, der Hardware- und Softwaresicherheitsfeatures kombiniert. Zentrale Komponente ist dabei die Virtualization-Based Security (VBS). Damit werden zentrale Betriebssystem-Services isoliert, so dass im Falle einer Kompromittierung des Betriebssystems kein Diebstahl von unternehmenskritischen Daten erfolgen kann.

Ein weiteres Beispiel für den zunehmenden Virtualisierungstrend sind virtuelle „Surfumgebungen“, das heißt Secure-Browsing-Lösungen, die auf einem getrennten dedizierten Webbrowser basieren. Solche Lösungen, die den Browser vom Betriebssystem vollständig abkapseln, decken allerdings nur das Thema Browsing ab. Andere Client-typische Sicherheitsgefahren, die durch E-Mails, Downloads oder USB-Speichermedien bestehen, bleiben unberücksichtigt. Die Notwendigkeit, dedizierte anstatt Standard-Browser zu verwenden, führt zudem zu Performanceeinbußen und einer niedrigen Benutzerfreundlichkeit.

Auch Bromium verfolgt mit seinen Hardware-isolierten Micro-VMs einen Virtualisierungsansatz. Zentrale Komponenten dabei sind ein Xen-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen. Durch Micro-Virtualisierung kann das Ausführen potenziell gefährlicher Anwendungen gekapselt werden. Die Bromium-Lösung erzeugt Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM – und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk.

Virtualisierung ist ein Add-on

Auch wenn Virtualisierung die Begrenztheit klassischer Sicherheitslösungen überwindet, überflüssig werden sie dadurch nicht. Natürlich müssen etwa Antiviren-Tools elementarer Bestandteil jeder Sicherheitsarchitektur bleiben. Aber – und das ist das Entscheidende – sie müssen komplementär ergänzt werden, und zwar durch Lösungen, die nicht auf die Erkennung von Schadsoftware oder das Aufspüren von Angriffen angewiesen sind, also durch Lösungen, die einen gezielten Schutz vor Malware durch Isolation bieten. Cyber-Angriffe – wie neu oder „sophisticated“ sie auch immer sein mögen – laufen damit zwangsläufig ins Leere. Und in technologischer Hinsicht ist dabei die Virtualisierung das Mittel der Wahl.

Über den Autor: Jochen Koehler ist Regional VP Sales Europe bei Bromium in Heilbronn.

(ID:46193137)