Ratgeber für Reseller

4 Sicherheitsregeln für virtualisierte Umgebungen

Datum:03.12.2009
Autor(en):Terry Noonan

Terry Noonan, Technikchef bei Shavlik Technologies

Auch virtualisierte Systeme müssen selbstverständlich mit geeigneten Schutzmechanismen versehen werden. Welche es sind, erklärt Resellern Terry Noonan, Technikchef bei Shavlik Technologies¹.

Es ist weithin bekannt, dass Virtualisierung² viele Vorteile für die Unternehmens-IT mitbringt. Es scheint aber bisher nicht ausreichend durchgedrungen zu sein, dass jedes virtuelle System fortlaufend individuell konfiguriert, gepatcht und gesichert³ werden muss. Das stellt die weit verbreitete Annahme, dass durch weniger physikalische Systeme der Wartungsaufwand⁴ sinkt in Frage. Wenn virtuelle Maschinen Zugang zum Firmennetz und zum Internet haben, besteht auch das Risiko dass diese gehackt, manipuliert oder durch Malware infiziert werden.

Hinzu kommt, dass virtuelle Systeme andere Dynamiken⁵ aufweisen. Sie werden beispielsweise je nach Bedarf deaktiviert und wieder reaktiviert, wodurch reaktivierte Systeme oftmals nicht den aktuellen Sicherheitsstandards entsprechen, da üblicherweise während der Stand-by-Schaltung keine Updates mehr installiert werden. Ohne adäquates Wartungsmanagement⁶ kann die Virtualisierung so schnell zum Sicherheitsalptraum werden. Das lässt sich aber verhindern⁷, wenn man die vier folgenden Regeln befolgt:

1. Klare Management-Richtlinien einführen

Die Rechteverteilung für die Erschaffung virtueller Systeme⁸ stellt ein großes Problem dar. Die Erfahrung zeigt, dass ein dezentrales Management-System, das jedem das Recht gibt, neue virtuelle Images ohne notwendige Sicherheitsvorkehrungen am Unternehmensnetz anzuschließen, sehr riskant ist.

Das bestätigt auch eine Umfrage der Gartner Group, die besagt, dass rund 60 Prozent der virtuellen Systeme über einen niedrigeren Sicherheitsstatus verfügen als physikalische Maschinen. Dieses Resultat wird auf mangelnde Management-Strategien bei der Virtualisierung von Unternehmensnetzen zurückgeführt. Wenn sich das nicht ändert, besteht die Gefahr⁹, dass die Fortschritte der letzten 15 Jahre im Bereich Sicherheit zunichte gemacht werden.

2. Routine-Prozesse automatisieren

Auch virtualisierte Systeme müssen gesichert werden.

Unternehmen müssen hinsichtlich Virtualisierung lernen, differenzierter zu denken und Prozesse anzupassen, da virtuelle Images einfach, schnell und kostengünstig überall erstellt und an den Sicherheitsverantwortlichen vorbei implementiert¹⁰ werden können. Die Zuständigen für die IT-Sicherheit sind aus diesem Grund noch mehr gezwungen, das Unternehmensnetz fortlaufend und umfassend zu überwachen. Nur so bleiben neue, unautorisierte Images, Server oder Prozesse nicht unentdeckt.

Die fortlaufende Überwachung des gesamten Netzwerks¹¹ bedarf allerdings einer Automatisierung der Prozesse, andernfalls ist diese Aufgabe ohne einen beträchtlichen Ressourcenverschleiß nicht zu bewältigen. Neben der Überwachung spielt Schwachstellen-Management, das Patch- und Konfigurations-Management beinhaltet, eine große Rolle. Auch wenn es erstmal hilft den Überblick zu haben, ist es genau so wichtig, dass Schwachstellen¹² schnell und effektiv behoben werden.

Bei dem Versuch diese Sicherheitsprozesse in der Vergangenheit zu automatisieren, ist es nicht selten zu einem wilden Tool-Mix gekommen, mit dem Ergebnis einer Semiautomatisierung, die immer noch eine zu starke manuelle Intervention benötigt. Damit lassen sich die Administrationsaufgaben für Unternehmensnetze, deren Volumen durch Virtualisierung¹³ stetig wächst, nicht mehr bewältigen.

3. Auch Offline-VMs sichern

Eine der größten Sicherheitsherausforderung stellen die offline geschalteten, inaktiven virtuellen Maschinen dar, die von vielen Unternehmen nur dafür unterhalten werden, um sie zum gegebenen Zeitpunkt für besondere Aufgaben¹⁴ einzusetzen. Diese Systeme müssen ebenso auf dem aktuellsten Sicherheitsstand gehalten werden, so dass sie den neuesten Update-Status vorweisen. So entsteht kein Risiko für die Unternehmenssicherheit.

Offline-geschaltete virtuelle Systeme¹⁵ zum Ausführen von Updates erst online schalten zu müssen, bedeutet einen zeit- und ressourcenintensiven Prozess zu durchlaufen. Es bedeutet auch, dass das Zeitfenster, in dem die Systeme ungeschützt online geschaltet sind, kritisch ist. Dieses Zeitfenster lässt sich komplett schließen, wenn die zu patchenden Systeme während des gesamten Update-Prozesses offline bleiben. Darüber hinaus können die bereits online gepatchten virtuellen Maschinen für ein System-Backup genutzt werden.

Und sollte der jeweils eingesetzte Patch zur endgültigen Installation das Neustarten des Systems verlangen, dann kann in der Zwischenzeit auf bereits offline gepatchte virtuelle Maschinen zurückgegriffen werden, um keine Ausfallzeiten zu haben. Die sich im Einsatz befindenden Computer müssen so nicht mehr ungepatcht laufen bis sich die Gelegenheit zum Updaten¹⁶ ergibt, sondern können auf dem neusten Sicherheitsstand gehalten werden, was die gesamte Unternehmenssicherheit verbessert.

4. Nicht "wild" implementieren

Es ist nicht von der Hand zu weisen, dass die wilde Implementierung virtueller Systeme¹⁷ ohne Berücksichtigung festgelegter Richtlinien und Prozesse auf Dauer die Unternehmenssicherheit schwächt. Dass die Virtualisierung Gefahren birgt, liegt aber nicht an der Technologie selbst, sondern an der Art und Weise, wie sie bisher eingesetzt und administriert wurde. Richtig ist, dass wenn virtualisierte Umgebungen kontrolliert geschaffen und effizient gesichert werden, die Unternehmenssicherheit nicht leiden muss, sondern im Gegenteil verbessert werden kann. (Computerwoche/rw)

Links im Artikel: