Einige Unternehmen gehen davon aus, dass mit dem Einsatz virtueller Systeme die Sicherheit steigt, da die Konfiguration virtueller Netzwerke nur die Kommunikation bestimmter virtueller Maschinen miteinander erlaube. Das ist jedoch nur eine Seite der Medaille. Denn unter dem Strich bleibt Sicherheit beim Management einer virtualisierten Infrastruktur nach wie vor eine Herausforderung. Das sehen auch die meisten Anwender so: Laut einer Umfrage zum Management virtueller Umgebungen vom November 2007 bewerten die IT-Verantwortlichen den Sicherheitsbereich als ein Top-Herausforderung. Der Grund: In der virtuellen Welt steigt die Komplexität, da sich die Zahl der Komponenten durch zusätzliche Virtualisierungs-Server erhöht. Steigende Komplexität und zusätzliche Server aber erhöhen das Sicherheitsrisiko, weil sie im schlimmsten Fall ein weiteres Tor für Manipulationen öffnen. Die Crux dabei: Das Betriebssystem bietet keine geeigneten und durchgängig konzipierten Abwehrmaßnahmen.

Allmächtiger Root-Zugang
Sind Administratoren-Accounts nicht restriktiv ausgelegt, arbeitet der Administrator oft mit Root-Rechten des Betriebssystems, um das Host-System zu managen. Mit diesen Rechten ist er aber auch in der Lage, die angebundenen virtuellen Systeme zu manipulieren, selbst wenn diese mit internen Mechanismen wie beispielsweise Datenbank-Accounts gesichert sind. So kann er etwa eine virtuelle Maschine mit Hilfe seiner Root-Berechtigung löschen. Der Schutz auf den virtuellen Maschinen wird ausgehebelt, wenn sie vom übergeordneten System manipuliert werden können - beispielsweise durch ein Delete-Kommando, das ein Administrator mir Root-Rechten absetzt.

Vor allem Unix/Linux-Systeme arbeiten systembedingt mit dieser Sicherheitslücke, weil der mächtige Root-User kein personengebundener, sondern ein funktionsgebundener User ist - Root ist eine Funktion, die verschiedene Administratoren verwenden. Als Root eingeloggt, können sie dann über den su-Befehl (switch user) ohne Einschränkungen auch in virtuellen Umgebungen arbeiten.

Um eine Virtualisierungs-Plattform wasserdicht zu machen, ist eine gesonderte Schutzschicht notwendig. Diese muss Administratoren exakt identifizieren und dabei virtuelle Umgebungen auf verschiedenen Ebenen schützen:

• Betriebssysteme, die einen Hypervisor hosten;
• Betriebssysteme, die von sich aus eine Virtualisierung ermöglichen;
• privilegierte Partitionen, die eine Hypervisor-basierte Virtualisierung managen;
• kritische Ressourcen in virtuellen Maschinen, die auf diesen Betriebssystemen/Partitionen laufen.

Wirksame Zugangskontrolle mit Audit-Fähigkeit
Einen derartigen Schutz bieten Zugriffskontrollsysteme wie etwa Access Control von CA. Das Tool schaltet sich vor das Betriebssystem, um den Zugriff der Administratoren zu kontrollieren und zu verwalten. Es arbeitet mit Usern, die aufgrund ihrer Anmeldung am System eine bestimmte Rolle wahrnehmen. Diese Rolle erlaubt ihnen nur bestimmte Operationen. Das können Root-Funktionen sein - oder eben auch nicht.

Einen derartigen Schutz bietet das Betriebssystem nicht, weil es nur rudimentäre Mechanismen für eine Zugriffskontrolle besitzt: Wer das Root-Passwort kennt, kann ohne Einschränkungen arbeiten. Die Zugriffskontrolle dagegen fängt jeden Befehl (beispielsweise ein su- oder kill-Kommando) ab, noch bevor ihn das Betriebssystem ausführen kann. Dann prüft sie gegen ein vorher festgelegtes Regelwerk, ob der User zu der gewünschten Operation berechtigt ist. Zudem protokolliert sie für spätere Auswertungen, beispielsweise ein Security Audit, den gesamten Vorgang. So lässt sich nachweisen, dass beispielsweise Administrator Meier als Root gearbeitet hat und dass ein su-Root-Befehl von Meier am 25. Mai 2009 um 14:56 Uhr abgesetzt wurde.

                                                Seite 1 von 2                     Nächste Seite>>