Datensicherheit für virtuelle Umgebungen Verschlüsselung für virtuelle Maschinen

Autor / Redakteur: Michael Matzer / Peter Schmitz

Viele Unternehmen haben ihre IT weitgehend virtualisiert, wissen aber oft nicht, wie sie die Verschlüsselung handhaben sollen, um ihre Daten zu schützen. Dabei gibt es vieles in einer virtuellen Umgebung, das mit Verschlüsselung zu schützen wäre und etliche Anbieter, mit deren Produkten das funktionieren soll.

Die virtuellen Maschinen (VMs) sind in einer virtualisierten Umgebung längst nicht alles, was es wert ist zu verschlüsseln, auch der Traffic zum System und die gespeicherten Daten sind wichtig.
Die virtuellen Maschinen (VMs) sind in einer virtualisierten Umgebung längst nicht alles, was es wert ist zu verschlüsseln, auch der Traffic zum System und die gespeicherten Daten sind wichtig.
(Bild: agsandrew, Fotolia.com)

Die Verschlüsselung in virtuellen Umgebungen ist eine Funktion, die VMware durch eine Schnittstelle in der Vshield-Produktfamilie ermöglicht. Über die Schnittstelle ist die Integration externer Lösungen in eine VMware-basierte Umgebung möglich. Auch andere Hypervisor-gestützte Umgebungen lassen sich verschlüsseln.

Es gibt vieles in einer virtuellen Umgebung, das zu schützen wäre: die VMs selbst, die Apps darin, der Traffic von und zur Cloud, die Storage-Geräte (Festplatten usw.), Netzwerklaufwerke (File Shares) und sowie mobile Geräte, die ihre Daten in der Cloud speichern bzw. von dort abrufen, etwa auf iTunes oder in Dropbox.

Bildergalerie
Bildergalerie mit 14 Bildern

Es gibt mehrere Voraussetzungen, um Verschlüsselungslösungen erfolgreich zu implementieren und zu nutzen. Die Verschlüsselung an sich ist ein Vorgang, der vom System verarbeitet werden muss, und das kann zu Lasten der Performance gehen.

Wer möglichst große Akzeptanz bei den Nutzern erreichen möchte, hält diese Verzögerung so gering wie möglich. Er hat sich zu entscheiden, ob er die Verschlüsselung auf dem allgemeinen Server erledigen lässt, auf einem dedizierten Server mit einer Software-Appliance oder auf einer Hardware-Appliance. In Mainframes von IBM gibt es sogar einen eigenständigen Kryptografie-Prozessor. In jedem Fall ist auf Performance, Preis und Skalierbarkeit zu achten.

Bei der Verschlüsselung werden Schlüssel erzeugt, gespeichert und vergeben bzw. entzogen. Sie müssen deshalb ganz besonders geschützt werden. "Bei der Verschlüsselung ist das Schlüsselmanagement der essentielle Teil einer guten Lösung", unterstreicht Robert Zeh, Product Manager beim Hersteller Sophos.

Damit sowohl die Keys als auch die Prozesse für die Verschlüsselung sicher wie auch übersichtlich und leicht verwaltet werden können, eignet sich eine integrierte Managementlösung am besten für den Administrator, der die Einstellungen vornimmt und bei Störfällen benachrichtigt wird. Daher dürfte es kaum verwundern, wenn die folgende Auswahl überwiegend integrierte Enterprise-Lösungen vorstellt.

Symantec PGP Universal

Seit Antivirenexperte Symantec den Pionier der Verschlüsselung, nämlich PGP (Pretty Good Privacy) geschluckt hat, bildet Verschlüsselung einen rasch wachsenden Produktionszweig. PGP Universal ist das Hauptprodukt, mit dem sich alle anderen PGP-basierten Tools für den Schutz von Endgeräten, E-Mails, Dateien und Schlüsseln in einer einzigen Konsole verwalten lassen.

Die Verwaltung von Schlüsseln und dazugehörigen Zertifikaten für Anwendungen erfolgt auf dem separaten Key Management Server. PGP Universal ist in Symantec Protection Center integriert. Das ermöglicht nicht nur lösungsübergreifendes Reporting, sondern auch ein Korrelieren des Status'' von Endgeräten, um ungeschützte Systeme zu identifizieren.

"Grundsätzlich sind die PGP-Lösungen von Symantec auch in virtuellen Umgebungen in vollem Umfang einsetzbar", versichert Thomas Hemker, Sicherheitsstratege bei Symantec. "PGP Universal Server unterstützt auch VMware vSphere und lässt sich mit anderen Symantec-Lösungen, wie etwa Data Loss Prevention Technologien, integrieren."

Trend Micro SecureCloud

Auf der Webseite von Trend Micro muss der Interessierte genau hinschauen, um das richtige Produkt für die Absicherung virtueller Umgebungen identifizieren zu können: SecureCloud, also weder Deep Security noch Endpoint Encryption. Nur SecureCloud beherrscht die nötige Verschlüsselung. Der Hersteller hat die Bedeutung des Key Managements erkannt und seine richtliniengesteuerte Technik dafür zum Patent anmelden lassen. So lassen sich Keys für Private und Public Clouds zentral erstellen, verwalten und löschen.

Das Besondere an Secure Cloud im Vergleich sind mehrere Funktionen. Dazu gehörte die Serverauthentifizierung, damit nur autorisierte virtuelle Maschinen Kodierungsschlüssel erhalten. Kodierungsschlüssel werden remote verwaltet, also auch in einer Cloud selbst. Der Wechsel eines Cloud-Anbieters fällt auf diese Weise leichter, zudem sind die Schlüssels besser dem Zugriff Unbefugter entzogen. Aber auch die hausinterne Implementierung der Lösung ist möglich.

Sophos SafeGuard Enterprise

Das umfassende Paket SafeGuard Enterprise von Sophos kombiniert die Funktionalität von Symantec PGP Universal Server und Trend Micro SecureCloud, lässt aber nicht in einer Cloud, sondern im Netzwerk installieren. Dafür bietet zentrale Schlüsselverwaltung über nur eine Konsole die Möglichkeit, auch gemischte IT-Umgebungen zu überwachen, also On-premise-, Endpoint- und Cloud-Storage-Elemente: Geräte, Traffic und schließlich Files auf Dropbox oder SkyDrive. " Das zentrale Schlüsselmanagement erlaubt einfaches Wiederherstellen von vergessenen Passwörtern oder Crash-Szenarien", erläutert Robert Zeh von Sophos. Für die Performance bei der Verschlüsselung soll die Unterstützung jüngster Intel-CPUs sorgen.

Der Produktmanager vertritt einen Standpunkt, der der Integration mit VMware-Umgebungen entgegenzustehen scheint. "SafeGuard-Produkte verschlüsseln auf dem Endpoint, da dies den Vorteil hat, dass das Schlüsselmaterial nie das Unternehmen verlässt." Zu solchen Endpoint zählen demnach auch VMs. Die am Endpoint verschlüsselten Daten werden somit sicher in die Cloud übertragen und dort abgelegt." Eine weitergehende Integration oder Installation in der Cloud sei dadurch nicht erforderlich.

SafeNet ProtectV

Noch umfassender als die Sophos-Lösung ist jedoch ProtectV des US-Herstellers SafeNet. Die Funktionen für Schutz und Verwaltung sind zentralisiert, selbst aber auch gegen Manipulation und Einbruch geschützt. Die Integration mit VMware-Modulen reicht weiter als bei den anderen Vertretern in dieser Übersicht. SafeNet ProtectV ist mit dem VMware vCenter ab v4.1 und den virtuellen Infrastrukturen von VMware vShield ebenso kompatibel wie mit AWS EC2- und VPC-Umgebungen (VPC: Virtual Private Cloud), in denen sie eingerichtet werden kann. „Die Unterstützung für vCloud kommt im nächsten Release, also nächstes Jahr", erklärt Thorsten Krüger, Director Regional Sales bei SafeNet.

In VMware-Umgebungen lassen sich ganze VMs granular ebenso verschlüsseln wie ganze Speichervolumina. Sogar Daten, die auf der OS-Partition liegen, werden verschlüsselt. Das Starten einer geschützten VM ist nur befugten und authentifizierten Usern (über eine Preboot-Authentifizierung) möglich. Dafür sorgt die rollenbasierte Policy. „ProtectV kommuniziert derzeit über vCenter, um alle VMs zu ‚sehen‘", so Krüger. „Die eigentliche Kommunikation findet direkt zwischen ProtectV Manager und ProtectV Client statt."

Als einzige Lösung im Vergleich nutzt ProtectV ein Key Management, das auf einer abgetrennten, on-premise installierten SafeNet-Appliance basiert. Die KeySecure Appliance, die SafeNet entwickelte, erlaubt die Erzeugung asymmetrischer Schlüssel mit einer Länge von bis zu 4096 Bit und von symmetrischen mit bis zu 256 Bit (AES-256 ist laut Krüger die Voreinstellung für ProtectV) in verschiedenen Standards wie AES. Für die Implementierung ist KeySecure eine zwingende Voraussetzung und wird damit dem Anspruch von SafeNet gerecht, Schlüsselmaterial in Hardware gesichert abzuspeichern. Dies erlaube den Unternehmen, die Schlüssel physikalisch zu sichern und eine vollständige Kontrolle über die Verschlüsselung zu behalten. Die Appliances sind ab einem Einstiegspreis von 16.700 Euro pro Stück zu erhalten.

(ID:37064640)