07.06.2010 | Redakteur: Ulrich Roderer
Virtuelle Server und Speichersysteme nutzen die in den Unternehmen vorhandenen Ressourcen besser aus. Die erhöhte Komplexität kann jedoch Sicherheitslücken schaffen – immerhin entsteht eine weitere logische Schicht zwischen Hardware und Applikation. Moderne Security-Konzepte sind in der Lage, diese Lücken zu schließen, und zwar grundsätzlich ohne einen finanziellen Mehraufwand.
Wenn es eine Technik gibt, die im Moment absolut „en vogue“ ist, dann ist es die Virtualisierung von Servern und Speicher im Rechenzentrum. Triebfedern für die Einführung von Virtualisierungstechniken sind unter anderem die bessere Ausnutzung der vorhandenen Ressourcen – vor allem der Hardware – und damit signifikante Budgeteinsparungen.
Die RZs unterliegen in den allermeisten Fällen besonderen Sicherheitsanforderungen, bergen sie doch einen großen Teil des geistigen Kapitals von Betreiber- und/oder Kundenunternehmen. Dazu gehören Geschäftsdaten und Kundeninformationen ebenso wie beispielsweise Transaktionsdaten oder das archivierte Unternehmens-„Wissen“. Folgerichtig gebührt sowohl den Servers als auch den Speicherlösungen im RZ ein besonderer Schutz.
Eine Konsequenz der Argumentation ist, dass Server sowohl einen „klassischen“ Schutz im Sinne physischer Geräte benötigen als auch speziell auf ihren virtuellen Einsatz abgestimmte Security-Maßnahmen.
Eine gute Nachricht vorweg: Dieses Engagement muss entgegen der gängigen Vorurteile den Einsatz von Virtualisierungstechnik nicht zwangsläufig verteuern, wie zum Beispiel die Experten von IDC herausgefunden haben (Quelle: IDC, Executive Brief: Virtualisation - The „Black Hole“ of Security?, Dezember 2009). Zum Nulltarif gibt es die geforderte Sicherheit selbstverständlich jedoch auch nicht, denn das A und O für sicherer virtuelle Umgebungen ist – ebenfalls laut IDC – ein umfassendes und strenges Security-Management.
Dass dies nicht trivial ist, machen die Beispiele des so genannten Vulnerability-Managements und die Patch-Versionierung deutlich. In einer virtuellen Umgebung kann beides beliebig komplex werden. Abhilfe ist nur durch eine strikte Kontrolle der virtuellen Maschinen (VMs) möglich, und zwar in jedem Einsatzstatus und über den gesamten Lebenszyklus der VM hinweg. Daraus folgt den IDC-Experten zufolge, dass alle Virtualisierungsimplementierungen „kontrolliert“ ablaufen müssen, und zwar mit einem klaren Verständnis dafür, wem die relevanten Daten „gehören“. Eine Mahnung fügen die IDC-Fachleute an dieser Stelle an: Nur weil es technisch möglich ist, bestimmte IT-Abläufe zu virtualisieren, muss es noch lange nicht sinnvoll sein.
Die grundlegenden Sicherheitsapplikationen und -Policies lassen sich in den meisten Fällen von einer physischen auf eine virtuelle Umgebung übertragen. In diese Gruppe stuft IDC beispielsweise Firewalls oder Antiviruslösungen ein, letztere vorzugsweise per sicherem API an die virtuelle Maschine „angedockt“. Dennoch gibt es besondere Security-Herausforderungen für virtuelle Umgebungen, in denen speziell darauf ausgerichtete Lösungen nötig sind.
Einer der wichtigsten Punkte ist die sichere Kapselung der virtuellen Maschinen. Zu untersuchen ist dabei unter anderem die Frage, ob die Virtualisierungsschicht tatsächlich eine unüberwindbare Barriere zwischen verschiedenen Systemen darstellt, wenn die physische Trennung aufgehoben ist.
Hersteller wie beispielsweise Trend Micro bieten dazu spezielle Software an, die zum Beispiel in Form von Agenten in die virtuelle Maschinen eingebaut ist. Wichtig ist, dass dies schon zu einem frühen Punkt des Lifecycles der VM geschieht. Diese Maßnahmen greifen selbstverständlich umso besser, wenn sie sich mit möglichst wenig Aufwand realisieren lassen. Ein praktikables Beispiel dafür sind die Firewall- und IDP-Funktionen (Intrusion Detection/Prevention) ebenfalls von Trend Micro, die sich in der agentenlosen Variante für VMware und VM Safe ohne Softwareeinrichtung auf den Clients nutzen lassen.
»1 »2 »3 nächste Seite
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2045032)
