Sicherheit für virtualisierte Systeme:
Wie man virtualisierte Systeme schützt
Die Virtualisierung von Servern liegt im Trend. Die IT-Entscheider versprechen sich von dieser Maßnahme Kosteneinsparungen sowie eine dynamische Zuordnung von Verarbeitungs- und Speicherkapazitäten. Was bei der Planung und Umsetzung meist fehlt, ist ein hinreichender Schutz vor Attacken.
(Fortsetzung des Artikels von Seite 1)
Vor allem die Optimierung von Geschäftsprozessen in den Unternehmen treibt die Virtualisierung von Servern und - damit verbunden - die der Speichersysteme voran. Damit wächst die Abhängigkeit von stets verfügbaren Server- und Speicher-Kapazitäten.
Virtualisierunglösungen wie Xen Server bieten unter anderem Funktionen wie den Lastausgleich zwischen virtualisierten und "echten" Servern. Wegen dieser engen Verzahnung ist eine stringente Sicherheitsstrategie unabdingbar.
Denn an den einzelnen Ablaufketten sind in der Regel mehre virtualisierte Systeme beteiligt, die gegebenenfalls auf mehreren physischen Systemen installiert sind. Wird eine der virtuellen Instanzen oder das physische System attackiert, kann das gleich einem Dominoeffekt die komplette Prozesskette zu Fall bringen. Die möglichen Attacken reichen vom Einschleusen von Malware bis hin zu unberechtigten Zugriffen.
Aber nicht nur die wachsende Abhängigkeit von einer stets verfügbaren Ressourcen-Zuweisung schreit förmlich nach einer besseren Abschottung vor Angriffen. Durch die Virtualisierung wird eine zusätzliche Verbindungs- und Ausführungsschicht etabliert. Sie trennt die virtuellen Instanzen vom physischen Server und sorgt für die notwendige Koordination.
Durchgriff bis auf das Host-System möglich
Genau diese logische Schicht birgt für die Unternehmen zusätzliche Angriffslöcher. Penetriert der Angreifer ein virtualisiertes System, kann er bis zum Host-System und von hier in alle darauf laufenden virtuellen Instanzen vordringen.
Besonders bei einer Server-Teilvirtualisierung mittels Vmware [1]-Tools oder Xens [2] Paravirtualisierung ist Gefahr im Verzug. Sie regeln den direkten Zugriff der virtuellen Maschinen auf Host-Ressourcen wie Speichermedien sowie Netzwerk- und USB-Geräte.
Auf diese Weise werden Zugriffe beschleunigt, aber auch Löcher innerhalb der Virtualisierungsschicht aufgerissen. Darüber können Angreifer Zugang zum Host-System erlangen.
Angesichts dieser Lage hilft nur eins: der Einsatz von zusätzlicher Hardware wie AMD-V/Pacifica oder Intel-VT. Mit deren Unterstützung können die virtuellen Instanzen verhältnismäßig angriffssicher gekapselt werden.
Virtualisierungsschicht Ansatzpunkt für DoS-Attacken
Zudem droht über die eingeschobene Virtualisierungsschicht Gefahr durch Denial-of-Service-Attacken (DoS). Diese Ebene ist für eine »gerechte« Verteilung der Ressourcen zuständig– und somit eine ideale Angriffsfläche für DoS-Attacken. Diese Gefahr ist besonders groß, weil die bisher angebotenen Server-Virtualisierungslösungen keinen hinreichenden Schutz bieten.
Nicht zu unterschätzen ist der Zuwachs an Komplexität, der durch die zusätzliche Virtualisierungsschicht in Server- und Speicherinfrastrukturen einkehrt. Eine höhere Komplexität geht immer zu Lasten der Übersichtlichkeit und damit auch der Sicherheit.
Die größte Fehlerquelle ist der Mensch, der falsch konfiguriert und notwendige Aktualisierungen nicht »in time« durchführt. Dadurch schwingt immer die Gefahr potenzieller Einstiegslöcher innerhalb virtueller Server- und Speicherumgebungen mit.
Gegenmaßnahmen
Was also tun, um die logischen Kapazitätsverbünde soweit wie möglich abzusichern?
1. Systeme kapseln: Jedes virtuelle System – Server oder Speichersystem – sollte so gekapselt werden, als handle es sich um ein physisches System.
2. Konsequente Systemverwaltung: Dementsprechend konsequent sollte auch ihre Administration durchgeführt werden. Die gängigen Administrationsfehler im virtuellen Umfeld sind die gleichen wie bei physisch angebundenen Systemen: Netzwerk falsch verkabelt, Standard-Passwörter unverändert übernommen, SAN-LUNs (Storage Area Network – Logical Units) in der falschen Zone et cetera.
3. Host absichern: Der Host, also das Hypervisor-System, muss verlässlich gehärtet sein. Das bedeutet unter anderem, dass Dienste, die auf dem Host nicht benötigt werden, automatisch abgeschaltet werden.
4. Patches einspielen: Zudem ist es notwendig, Patches im virtuellen Verbund lückenlos und zeitnah zu laden sowie parallel zu dokumentieren.
Das gleiche gilt für die Rechtevergabe, in diesem Fall immer mit Blick auf ihre potenziellen Auswirkungen. Die meisten Angriffe auf Server- und Speichersysteme sind nur deshalb erfolgreich, weil Patches nicht eingespielt oder Rechte nicht aktualisiert beziehungsweise zu weitreichend vergeben wurden.
5. Sicherheitssysteme abschotten: Angesichts des Unsicherheitsfaktors »Virtualisierungsschicht« sollten insbesondere diejenigen Systeme, die für die innere Sicherheit verantwortlich sind, konsequent abgeschottet werden. Das gilt vor allem für Firewalls, Intrusion-Prevention-Systeme (IPS), Administrations- Server, Verschlüsselungs-Server und Login-Gateways.
Im Zweifelsfall sollte bei diesen Servern im eigenen Sicherheitsinteresse besser auf eine Virtualisierung verzichtet werden.
Zum Autor: Andreas Neumann ist Practice Manager Security bei Logica [3].
[1] http://www.vmware.com/
[2] http://www.citrix.de/produkte/schnellsuche/xenserver/
[3] http://www.logica.com
- 1. Seite: Wie man virtualisierte Systeme schützt
- 2. Seite: Wie man virtualisierte Systeme schützt (Fortsetzung)
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.