Sicherheit für die virtuelle Desktop-Infrastruktur VDI-Umgebungen absichern

Von Prashant Ketkar

Anbieter zum Thema

Unser Arbeitsumfeld hat sich in letzter Zeit dramatisch verändert. Wir arbeiten immer mehr von zu Hause aus und nutzen hybride Cloud-Umgebungen. Diese Entwicklung bietet allerdings nicht nur Vorteile. Sie führt auch zu einer Diversität der IT-Umgebungen, die dadurch für Administratoren schwer zu verwalten, zu sichern und am Laufen zu halten sind.

Auch VDI ist nicht zu 100 Prozent resistent gegenüber modernen Cyberattacken, die zentrale Verwaltung von Netzwerkressourcen ermöglicht aber dennoch einen sichereren Zugang und ein effektives Arbeiten aus der Ferne.
Auch VDI ist nicht zu 100 Prozent resistent gegenüber modernen Cyberattacken, die zentrale Verwaltung von Netzwerkressourcen ermöglicht aber dennoch einen sichereren Zugang und ein effektives Arbeiten aus der Ferne.
(Bild: Miha Creative - stock.adobe.com )

Abhilfe schafft eine virtuelle Desktop-Infrastruktur (VDI). Damit können die Nutzer mit Anwendungen arbeiten, die auf virtuellen Maschinen (VMs) laufen und entweder auf physischen Servern oder in der Cloud gehostet werden. Das versetzt die Mitarbeiter in die Lage, überall mit jedem Gerät auf virtuelle Desktops, Anwendungen und Dateien auf den Firmenserver zuzugreifen. Dabei können sie genau die gleichen Aktionen ausführen wie mit ihrem PC im Büro. Eine VDI-Lösung erhöht also die Mobilität und erleichtert das sichere Arbeiten von zu Hause.

Die Sicherheit von VDI

Neben dem mobilen Zugriff bietet VDI zudem viele Vorteile in Bezug auf die Sicherheit der Arbeitsumgebung. Dazu zählt vor allem die Zentralisierung des Konfigurationsmanagements. Dadurch können Administratoren im Falle einer Bedrohung Software-Patches einspielen und gleichzeitig andere Maßnahmen auf allen virtuellen Desktops durchführen. Bei einem Cyber-Angriff können sie die Konfiguration zentral ändern, um das Risiko für andere virtuelle Workloads zu verringern. Sitzungen lassen sich mit einem Klick abbrechen und für den betroffenen Nutzer ein neuer virtueller Desktop erstellen. Ein weiterer wichtiger Vorteil: Die Daten verlassen nie das Rechenzentrum. Dadurch ist die Wahrscheinlichkeit von Datenverlusten durch verlorengegangene oder gestohlene Geräte sehr gering. Da sich die virtualisierten Daten zentral in einer On-Premises- oder Cloud-Umgebung und nicht auf den Endgeräten befinden, kann das Unternehmen zudem die Anforderungen an die Datenverwaltung und Datensicherheit besser erfüllen.

VDI bietet auch eine Alternative zum virtuellen privaten Netzwerk (VPN), mit dem Remote-Anwender eine sichere Verbindung zwischen dem Desktop einer virtuellen Maschine (VM) und anderen Diensten innerhalb des externen Unternehmensnetzes herstellen können. Bei einer Verbindung über das Heimnetzwerk gilt VDI als sicherer als VPN, da keine Daten zu und von Geräten außerhalb des Netzwerks gesendet werden. Stattdessen wird eine sichere, in sich abgeschlossene Geschäftsumgebung bereitgestellt, die über ein einziges Browserfenster verfügbar ist. Darüber hinaus stellt VDI keine hohen Anforderungen an die Endgeräte. Die Anwender können praktisch mit jedem Gerät, das über einen Browser und eine Internetverbindung verfügt, sicher auf Geschäftsanwendungen und -daten zugreifen. Ein Restrisiko bleibt allerdings: Cyber-Kriminelle können immer noch Schwachstellen im Remote-Desktop-Protokoll ausnutzen.

Sicherheitsschwachstellen von VDI

Zudem gibt es noch weitere Herausforderungen in Sachen Sicherheit. Dazu gehört, dass sich jeder Anwender, der Zugriff auf den Benutzernamen und das Passwort hat, auf jedem beliebigen Gerät anmelden und auf Unternehmensdaten zugreifen kann. Daher empfiehlt sich eine Multi-Faktor-Authentifizierung (MFA). Damit müssen die Anwender zusätzlich zu Benutzername und Passwort bei jeder Anmeldesitzung einen neuen Code eingeben, den sie per SMS erhalten. Wichtig ist zudem ein starkes Passwort, das mindestens zehn Zeichen umfasst – am besten zufällige Kombinationen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Eine praktische Lösung ist ein Passwort-Manager. Dabei handelt es sich um ein Programm, das sichere Kennwörter für alle Konten erstellt und die Anmeldedaten verschlüsselt. Diese sind dann in einem digitalen Tresor gespeichert und mit einem Masterpasswort zugänglich.

Ein Risiko stellt der Hypervisor der VDI-Umgebung dar. Diese Rechenzentrumskomponente ermöglicht es, mehrere Betriebssysteme gleichzeitig auf einem Host-Computer auszuführen. Mit sogenannten Hyperjacking-Taktiken können Cyber-Kriminelle die Kontrolle über den Hypervisor übernehmen, indem sie einen Fake-Hypervisor installieren. Solche schwer zu entdeckenden Angriffe verschaffen ihnen Zugriff auf alles, was mit dem Server verbunden ist – von Zugriffsberechtigungen bis zu Speicherressourcen. Um dies zu vermeiden, sollten die IT-Admins Sicherheitsprotokolle mit zeitabhängigen Überprüfungen einrichten. Auf diese Weise lässt sich ein Gerät automatisch herunterfahren, wenn es nicht innerhalb eines bestimmten Zeitintervalls synchronisiert wird. Wichtig sind außerdem ein Monitoring-Tool zur kontinuierlichen Netzwerküberwachung und eine zentral verwaltete Endpunktlösung. Diese Maßnahmen erhöhen das Sicherheitsniveau und die Qualität der Rechteverwaltung.

Ein weiteres Risiko von VDI-Umgebungen besteht darin, dass sie physische Ressourcen nutzen. Dadurch kann ein Sicherheitsvorfall die Router und Links von anderen virtuellen Netzwerken gefährden. Eindringlinge sollten mithilfe von Mikrosegmentierung sofort isoliert werden, damit sie sich nicht im Netzwerk ausbreiten können.

Die größte Bedrohung für das Netzwerk ist jedoch der Mensch. Unternehmen benötigen daher eine umfassende Sicherheitskultur und regelmäßige Schulungen. Jeder Mitarbeiter muss sich der bestehenden Risiken bewusst und bereit sein, sein Verhalten im Interesse der Sicherheit zu ändern.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Den "Schlüssel" zum virtuellen Büro sichern

Auch VDI ist nicht zu 100 Prozent resistent gegenüber modernen Cyber-Kriminellen. Doch im Gegensatz zu VPN ermöglicht die zentrale Verwaltung von Netzwerkressourcen einen sichereren Zugang und ein effektives Arbeiten aus der Ferne. Und sie macht es relativ einfach, Compliance- und Datenschutzprobleme zu lösen. Obwohl die meisten VDI-Anbieter gute Sicherheitsoptionen anbieten, sollten vor der Implementierung eines VDI-Netzwerks alle Security-Fragen geklärt sein. Wichtig ist, dass Cyber-Kriminelle keinen "Schlüssel" zum virtuellen Büro und damit die Gelegenheit zum Diebstahl von Firmen- oder Kundendaten erhalten.

Über den Autor: Prashant Ketkar ist CTO bei Corel.

(ID:48407521)