Strategien für eine sichere Umgebung mit virtuellen Systemen

Virtualisierung erschüttert die IT-Sicherheit

Seite: 2/2

Firmen zum Thema

Herausforderung für ISPs

Besonders problematisch wird es bei den großen Hosting-Dienstleistern. Hier geht es nämlich in besonderem Maße darum, Kosten zu sparen und möglichst vielen Kunden ein dediziertes System anzubieten. Der wirtschaftliche Zwang, so viel Rechnerleistung wie möglich zu verkaufen, führt dazu, dass viele Hosting-Provider so viele virtuelle Systeme wie möglich auf einem Rechner laufen lassen wollen und müssen. Dabei wird einfach alles virtualisiert, ganz gleich ob es sich um Netzwerke, Datenbanken, Backup- oder Storage-Systeme handelt. Sie zerlegen einzelne IT-Funktion, virtualisieren sie und schieben sie je nach Kundenwunsch einfach wieder zusammen. Der Ärger mit Kunden ist dabei vorprogrammiert. Denn mit der steigenden Anzahl an virtuellen Systemen potenziert sich auch das Sicherheitsrisiko, da beispielsweise Fehlkonfigurationen nicht nur einen einzelnen Kunden, sondern ganze Gruppen beziehungsweise alle virtuellen Systeme des Hosts betreffen. Potenziellen Angreifern wird auf diese Weise Tür und Tor geöffnet.

Vorkehrungen

Gleichzeitig erhöht sich aber auch das Risiko der gewollten oder auch ungewollten Datenspionage unter den Kunden, die man generell nicht ausschließen kann. Unter dem Diktat der Wirtschaftlichkeit werden nicht nur so viele Kunden wie möglich in eine virtuelle Umgebung gepackt, sondern auch oftmals die unterschiedlichsten, manchmal sogar im Wettbewerb zueinander stehende Unternehmen. Zufälliges Lesen von Daten aus freigegebenem, gemeinsam genutztem Speicher ist genauso möglich wie das vorsätzliche Ausspähen von Daten anderer virtueller Systeme über das ebenfalls gemeinsam genutzte Netzwerk. Dazu bedarf es oft lediglich zweier Kommandos und dreier Mausklicks.

Schon aus rein administrativen Gründen verbietet es sich, virtuelle Systeme, die nicht zusammengehören, auf einem Rechner unterzubringen. Pro Host-System sollten deshalb, um den grundlegenden Sicherheitsanforderungen gerecht zu werden, nur Systeme eines Kunden in einer virtuellen Umgebung zusammengefasst werden.

Das heißt aber nicht, dass die Virtualisierung generell Teufelszeug ist, von dem man die Finger lassen sollte. Keineswegs. Am Anfang jedes Virtualisierungs-Vorhabens muss eben nur eine sorgfältige Analyse und Planung stehen, zu welchem Zweck die Virtualisierungstechnik eingesetzt werden soll. Dazu sollte man sich überlegen, in welchem Bereich Virtualisierung sinnvoll ist, wie sie organisiert und mit welchen Sicherungsmechanismen sie ausgestattet sein soll. Um bei der Integration nicht auf unerwartete Probleme zu stoßen, sollte klar sein, welche Prozesse dahinter stecken und wie mit den Daten umgegangen wird.

Fazit

Prinzipiell stehen bei virtuellen Systemen die gleichen Sicherheitstechnologien wie bei physischen Systemen zur Verfügung, nur die Lösungen und Vorgaben der Sicherheitsrichtlinien sind wesentlich komplexer. Je nach Anforderung müssen die erforderlichen kryptografischen Mittel und Methoden wie eine zertifikatsbasierte Verschlüsselung ausgewählt und die Systeme gehärtet werden.

Man kommt nicht umhin, sich die Mühe zu machen, verschiedene auf Situation und Anforderungen des betreffenden Kunden zugeschnittene Bedrohungsszenarien durchzuspielen. Unterschiedliche Systeme haben unterschiedlichen Schutzbedarf und eine fehlerhafte Implementierung und Konfiguration stellt auch in der virtuellen Welt das größte Sicherheitsrisiko dar.

(ID:2017996)