Nur ein Trend oder die Lösung?

Sicherheit durch Virtualisierung

| Autor / Redakteur: Jochen Koehler / Peter Schmitz

Virtualisierung kann zwar die Begrenztheit klassischer Sicherheitslösungen überwinden, überflüssig werden sie dadurch aber nicht.
Virtualisierung kann zwar die Begrenztheit klassischer Sicherheitslösungen überwinden, überflüssig werden sie dadurch aber nicht. (Bild: gemeinfrei / Pixabay)

Mit klassischen Lösungen können Sicherheitsrisiken nicht zuverlässig ausgeschlossen werden. Isolation statt Detektion von Gefahren lautet deshalb ein neuer Ansatz. Die technische Basis hierfür liefert die Virtualisierung.

Der Siegeszug der Virtualisierung ist nicht aufzuhalten. Im Server- und Storage-Bereich ist sie bereits seit Langem Standard, und auch die Client- und Applikations­virtualisierung wird zur Reduzierung von Administrationsaufwand und Kosten häufig genutzt. Aktuell steht zudem die Virtualisierung von Netzwerken auf der IT-Agenda vieler Unternehmen; dabei geht es um Software-Defined Networking (SDN) und Network Functions Virtualization (NFV). Der Virtualisierungstrend geht aber noch weiter. Er wird vor allem auch das Thema Sicherheit maßgeblich prägen, denn Virtualisierung markiert einen neuen Meilenstein in der IT-Sicherheit: Isolation statt Detektion.

Die zunehmende Einführung von Virtualisierungslösungen wird auch dadurch begünstigt, dass sie kaum mehr mit zusätzlichen Sicherheitsrisiken in Verbindung gebracht werden. Im Gegenteil: Inzwischen hat sich eher die Meinung durchgesetzt, dass in virtuellen Architekturen sogar eine höhere Sicherheit umsetzbar ist als in physischen Infrastrukturen. Im Netzwerkbereich etwa ermöglicht die softwaregestützte Micro-Segmentierung, das heißt die Bildung kleinerer Netzsegmente, einen Sicherheitsgewinn.

Herkömmliche Lösungen sind unzureichend

Und auch im Client-Bereich kann gerade durch den Einsatz von Virtualisierungslösungen ein höheres Maß an Sicherheit realisiert werden, als es mit traditionellen Applikationen möglich ist. Die Begrenztheit herkömmlicher Sicherheitsmaßnahmen ist inzwischen mehr als deutlich zutage getreten. Sie betrifft gleichermaßen Intrusion-Prevention-Systeme, Antiviren-Tools und ihre Weiterentwicklungen, die sogenannten Next-Generation-Antiviren-Produkte, sowie Next-Generation-Firewalls. Diese Lösungen können neue Zero-Day-Attacken, Advanced Persistent Threats oder immer raffiniertere Ransomware-Trojaner nicht zuverlässig aufspüren. Der Grund: Sie sind auf die Erkennung von Schadsoftware angewiesen und bei bisher unbekannter, neuer Malware stoßen sie an ihre Grenzen.

Virtualisierung überwindet das Dilemma

Neue Sicherheitskonzepte sind deshalb nötiger denn je. In der Virtualisierung sehen inzwischen viele Softwareanbieter einen Ausweg aus dem Sicherheitsdilemma. Mit Virtualisierung und Isolation aller Aktivitäten, die das Unternehmensnetz potenziell gefährden, können die Sicherheitslücken, die prinzipbedingt bei traditionellen Lösungen vorhanden sind, geschlossen werden.

Diesen Weg schlägt zum Beispiel Microsoft ein. Die Redmonder bieten bei der Enterprise-Edition ihres aktuellen Betriebssystems Windows 10 den Device Guard an, der Hardware- und Softwaresicherheitsfeatures kombiniert. Zentrale Komponente ist dabei die Virtualization-Based Security (VBS). Damit werden zentrale Betriebssystem-Services isoliert, so dass im Falle einer Kompromittierung des Betriebssystems kein Diebstahl von unternehmenskritischen Daten erfolgen kann.

Mehr Sicherheit mit der Windows-Sandbox

Video-Tipp: Windows-Sandbox

Mehr Sicherheit mit der Windows-Sandbox

13.08.19 - Mit Windows 10 Version 1903 führt Microsoft die Windows-Sandbox ein. Mit dieser lassen sich Programme gegen das darunterliegende Betriebssystem abschotten. So kann man bei unbekannten Anwendungen und Dateien verhindern, dass Windows beeinträchtigt wird. In diesem Video-Tipp zeigen wir die Vorgehensweise und Möglichkeiten. lesen

Ein weiteres Beispiel für den zunehmenden Virtualisierungstrend sind virtuelle „Surfumgebungen“, das heißt Secure-Browsing-Lösungen, die auf einem getrennten dedizierten Webbrowser basieren. Solche Lösungen, die den Browser vom Betriebssystem vollständig abkapseln, decken allerdings nur das Thema Browsing ab. Andere Client-typische Sicherheitsgefahren, die durch E-Mails, Downloads oder USB-Speichermedien bestehen, bleiben unberücksichtigt. Die Notwendigkeit, dedizierte anstatt Standard-Browser zu verwenden, führt zudem zu Performanceeinbußen und einer niedrigen Benutzerfreundlichkeit.

Auch Bromium verfolgt mit seinen Hardware-isolierten Micro-VMs einen Virtualisierungsansatz. Zentrale Komponenten dabei sind ein Xen-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen. Durch Micro-Virtualisierung kann das Ausführen potenziell gefährlicher Anwendungen gekapselt werden. Die Bromium-Lösung erzeugt Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM – und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk.

Sicherer Browser mit Windows Defender Application Guard

Video-Tipp: WDAG

Sicherer Browser mit Windows Defender Application Guard

24.09.19 - Mit der neuen Sicherheitsfunktion „Windows Defender Application Guard“ (WDAG) in Windows 10 lassen sich in Microsoft Edge Browsersitzungen isolieren und sicherer betreiben. Der Einsatz im Unternehmen ist auf jeden Fall überlegenswert. Wie sich der Edge-Browser mit Hyper-V für mehr Sicherheit isolieren lässt, zeigen wir in diesem Video-Tipp! lesen

Virtualisierung ist ein Add-on

Auch wenn Virtualisierung die Begrenztheit klassischer Sicherheitslösungen überwindet, überflüssig werden sie dadurch nicht. Natürlich müssen etwa Antiviren-Tools elementarer Bestandteil jeder Sicherheitsarchitektur bleiben. Aber – und das ist das Entscheidende – sie müssen komplementär ergänzt werden, und zwar durch Lösungen, die nicht auf die Erkennung von Schadsoftware oder das Aufspüren von Angriffen angewiesen sind, also durch Lösungen, die einen gezielten Schutz vor Malware durch Isolation bieten. Cyber-Angriffe – wie neu oder „sophisticated“ sie auch immer sein mögen – laufen damit zwangsläufig ins Leere. Und in technologischer Hinsicht ist dabei die Virtualisierung das Mittel der Wahl.

Über den Autor: Jochen Koehler ist Regional VP Sales Europe bei Bromium in Heilbronn.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46193137 / Cloud und Virtualisierung)