Schwachpunkt Nummer 2: Nicht autorisierte VMs
Ein Schwachpunkt, der oft in Unternehmensnetzwerken auftritt, entsteht aus nicht autorisierten virtuellen Maschinen. So können zum Beispiel die größeren Windows-7-Editionen schnell und kostenlos mit Virtual PC und dem dazugehörigen Virtual XP Mode versehen werden. Die Integration der Software geht dann soweit, dass die Anwendungen aus den virtuellen Maschinen direkt im Start-Menü von Windows 7 angezeigt werden. Die Anwender können auf diese Weise sehr schnell 16-Bit-Programme unter x64-Windows installieren und einsetzen. Welche Gefahren bestehen darin?
-
Oftmals ist ungeklärt, was mit den Daten passiert, die der Benutzer in den Speicherraum der virtuellen Maschine abgespeichert.
-
Solche Daten werden dann nicht wie üblich, im Home-Verzeichnis über das Profil gesichert. Es handelt sich also um ungesicherte Daten.
-
Zudem treten auf diese Weise schnell Lizenzverstöße auf: Die Nutzer installieren am Lizenzmanagement vorbei und ohne Wissen der IT-Abteilung dank vorhandener Administrationsrechte beliebige Anwendungen in den virtuellen Maschinen.
-
Weiß der IT-Administrator nicht um die Existenz der virtuellen Maschine, so kümmert er sich auch nicht um das Patch-Management und den Virenschutz. Die nicht autorisierte VM kann schnell zur stets aktiven "Virenschleuder" im Netzwerk werden.
-
Da die virtuellen Maschinen häufig Network AddressTranslation (NAT) verwenden, werden sie auch nicht durch Einträge auf dem DHCP-Server auffallen. Sie in diesem Fall auch für die Systemverwalter "unsichtbar".
- Vor dem Schritt in die Cloud
Bei Unternehmen, die gerade erst eine virtuelle Server-Landschaft aufgebaut haben, Augenmerk zuerst auf Automatisierung und Management legen, vor dem Schritt in die Cloud - Sicherheit
Virtuelle Infrastrukturen, Anwendungen und Desktops müssen mittels Firewalls, Access Policies und Virenscanner ebenso sorgfältig gegen Viren und Malware geschützt werden wie physikalische. - BYOD-Strategie
Strikte Trennung von privater und geschäftlicher Arbeitsumgebung muss gewährleistet sein, zum Beispiel mit Client-seitigem Hypervisor. Klare Betriebsvereinbarungen: Jeder Mitarbeiter muss wissen, was er darf und was nicht. - Software-Lizenzierung
Analyse der bestehenden Kundenumgebung - Backup & Disaster Recovery Strategie
Speicherstrategien, Datensicherung, Datenarchivierung, Multi-Tier-Speichertechnologien und vor allem Wiederherstellung und Migration berücksichtigen - Storage- und Netzwerk-Konzept
Um alle Features moderner Hypervisoren auszunutzen, sollten entsprechende Massenspeicherlösungen verwendet werden. Damit lässt sich die Verwendung von Service-Klassen automatisieren: Das Storage-Device informiert den Hypervisor automatisch über seine Leistungsklassen, sodass dieser entsprechend vorgegebener Regelwerke die Provisionierung von Workloads (VMs) automatisch nach vereinbarten SLAs vornehmen kann. - Organisation auf Kundenseite
Klärung und Definition: IT-Organisation (Aufbau- und Prozessorganisation, neue Rollen und Verantwortlichkeiten, neue Tools etc.) auf Kundenseite - Gesamtkonzept
Ganzheitlich Sicht über das Design und die Möglichkeiten der Implementierung behalten
Wer sich all diesen Risiken erst gar nicht auszusetzen will, sollte auch in den hier geschilderten Fällen die üblichen Sicherheitstipps beachten:
-
Außer den Mitarbeitern der IT-Administration sollte niemand über Administrationsrechte verfügen.
-
Benötigen Benutzer für ihre Arbeit virtuelle Maschinen, so müssen diese von den Administratoren wie andere Rechner in das Sicherheitskonzept des Unternehmens eingebunden werden.