Sergey Nivens - Fotolia

F

Sind Open-Source-Hypervisoren weniger sicher als proprietäre Lösungen?

Immer wieder gerät Open-Source-Software in den Verdacht, weniger sicher zu sein als proprietäre Software. Belege dafür gibt es aber nicht.

Für das Xen Project wurden in den letzten Jahren immer wieder schwerwiegende Bugs gefunden, sollte man bei der Virtualisierung also besser auf Open-Source-Software verzichten?

Jede schwerwiegende Anfälligkeit in jeder Software sollte von Unternehmen sorgfältig auf die Folgen für die eigene Umgebung untersucht werden. Durch einen Heap-Overflow in Xen kann ein privilegierter Gast beispielsweise erweiterte Rechte erhalten, wenn ein emuliertes IDE CD-ROM aktiviert ist. Wenn aber keines der installierten Gast-Betriebssysteme virtuelle CD-ROM-Treiber aktiviert hat, kann diese Schwachstelle auch keinen Schaden anrichten.

Während man im Fall der Fälle auf einen Patch wartet, empfiehlt es sich, die betroffenen virtuellen Server auf dedizierten Hosts auszuführen. Auf diese Weise können von der Sicherheitslücke nicht auch andere virtuelle Maschinen des gleichen Hosts in Mitleidenschaft gezogen werden. Auch die meisten großen Cloud-Anbieter wie etwa AWS bieten entsprechende Optionen zur Nutzung dedizierter Hardware, allerdings natürlich für einen gewissen Preisaufschlag. Als Gegenleistung erhält man auf diese Weise aber auch in der Cloud die Möglichkeit, Workloads mit einer starken Isolierung auf Hardwareebene auszuführen.

Die Frage, ob man bei Virtualisierungs-Lösungen und Hypervisoren auf Open-Source-Software verzichten sollte, impliziert, dass die Wahrscheinlichkeit für Sicherheitslücken vom Distributionsmodell abhängt. Hierfür gibt es aber keinerlei Anhaltspunkte. Schwachstellen gibt es sowohl in Open-Source-Software als auch in proprietären Systemen, und das aus vielerlei Gründen.

Manchmal unterlaufen Entwicklern einfach Fehler, die sich aber durch Code-Reviews oder Analyse-Tools und vielleicht auch einfach durch andere Entwicklungssprachen, die weniger fehleranfällig sind, vermeiden oder doch zumindest vor dem Release der Software finden lassen sollten. In diesem Fall geht es bei Sicherheitslücken also eher um Designfragen und Best Practices bei der Softwareentwicklung, und weniger um kommerzielle gegenüber Open-Source-Software.

Die Komplexität der Software ist sicherlich ein weiterer Faktor, der zu Sicherheitslücken führen kann. OpenSSL beispielsweise enthält hunderttausende Code-Zeilen für TLS und die Kryptographieservices. Die inzwischen als Heartbleed berühmt gewordene Schwachstelle war eine der kritischsten Sicherheitslücken der vergangenen Jahre, aber es gibt keinen Grund dafür, die Ursache des Bugs in der Natur von Open-Source-Software zu suchen.

Amazon geht vielmehr davon aus, dass die Ursache von Heartbleed in der jahrelangen Weiterentwicklung von OpenSSL zu suchen ist, die letztendlich zu einer nicht mehr handhabbaren Komplexität geführt hat. Als Lösungsvorschlag für dieses Problem hat Amazon s2n veröffentlicht, eine Open-Source-Alternative für die TLS-Komponente von OpenSSL, die lediglich einige Tausend Code-Zeilen benötigt. Die Reduzierung der Komplexität, auch wenn dabei einige Funktionen auf der Strecke bleiben mögen, ist also eine weitere Möglichkeit, die Wahrscheinlichkeit für das Auftreten einer Sicherheitslücke zu senken.

Damit kann man kommerzielle und Open-Source-Software also aus verschiedensten Business-Gründen gegeneinander abwägen, für die Sicherheit der Software gibt es allerdings wesentlich wichtigere Faktoren, wie das Anwendungsdesign oder die Einhaltung von Best Practices.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Virtualisierungssicherheit: Probleme und Bedrohungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close