Virtuelle Appliance vShield schafft reale Sicherheit

Sicherheit für virtualisierte Umgebungen erfordert neue Ansätze und bringt neue Integrationsmöglichkeiten. (© Andrea Danti - Fotolia.com)

Die Produktfamilie vShield-5-Endpoint von VMware soll virtuelle Maschinen vor Malware schützen. Diese zweiteilige Artikelserie zeigt, wie das Sicherheitsframework für virtuelle Maschinen genau funktioniert, was es kann, und was es nicht ist.

Bei all den Vorteilen, die Virtualisierung bieten kann, sollten IT-Verantwortliche die Gefahren dabei nicht unterschätzen. Denn grundsätzlich gilt: Die gleichen Sicherheitsanforderungen, die an einen physischen Server gestellt werden, gelten auch dann, wenn dieses System virtualisiert aktiv ist. Wird beispielsweise nur eine einzige der virtuellen Maschinen samt ihrem Gastsystem durch einen Virus kompromittiert, ist die gesamte virtuelle Infrastruktur und damit auch die Grundlage der eigenen IT gefährdet.

Viele IT-Fachleute schützten die virtualisierten Gastsysteme zunächst auf die gleiche Art und Weise wie ihre „normalen“ Systeme: Jedes dieser virtuellen Systeme erhielt nach Möglichkeit eine Endpunkt-Sicherheitslösung, wie sie auch auf den anderen Maschinen zum Einsatz kommt. Doch dieser herkömmliche Ansatz stößt schnell an seine Grenzen.

Flaschenhälse und Blind Spots

In erster Linie wird die Verwaltung der vielen einzelnen Lösungen auf einer großen Zahl virtueller Systeme zum Flaschenhals. Zudem kommt es zu Ressourcenproblemen, wenn beispielsweise alle Antivirus-Lösungen in den virtuellen Maschinen auf einem physischen Host-System gleichzeitig damit beginnen, Updates einzuspielen, oder sie starten eine intensive Durchsuchung der virtualisierten Dateisysteme: der gefürchtete Antiviren-Sturm setzt ein und legt häufig die Host-Systeme lahm.

Last but not least können so genannte Blind Spots entstehen, denn traditionelle Firewalls sehen den Verkehr zwischen den virtuellen Maschinen auf derselben physischen Hardware nicht.

Lesen Sie auf der nächsten Seite über den Security-Ansatz von VMware.