Fachartikel

Sicherheitskonzepte für virtualisierte Server

Auf virtuellen Servern liegen unzählige vertrauliche Daten, die nicht in falsche Hände geraten sollten. In Zeiten von Cloud Computing und BYOD wird die Gewährleistung der Sicherheit jedoch immer komplizierter. Die Sicherung von virtuellen Servern stellt deshalb eine schwierige Aufgabe für die IT-Abteilung dar. Das Angebot an Sicherungs-Lösungen ist groß, aber unübersichtlich. Unser Beitrag stellt verschiedene Sicherheitskonzepte vor und wägt Chancen und Risiken der einzelnen Angebote ab.
Virtualisierte Server stehen besonderen Bedrohungen gegenüber und bedürfen deshalb auch eines speziellen Schutzes
Die Entscheidung für das richtige Security-Konzept virtueller Serverumgebungen stellt viele IT-Administratoren vor eine schwierige Aufgabe. An erster Stelle stellt sich vielen die Frage, ob das bisherige Sicherheitskonzept überhaupt für virtuelle Umgebungen ausreichend ist oder ob es Änderungen geben muss, um den virtuellen Sicherungsanforderungen gerecht zu werden. Dabei sind die Anforderungen an Sicherheitskonzepte von Unternehmen zu Unternehmen unterschiedlich – abhängig sind diese zum einen vom Schutzbedarf der verarbeiteten Daten, dem Industriezweig und von der Größe eines Betriebs.

Anforderungen abhängig von Unternehmensgröße
Kleinere Unternehmen sind aus Sicherheitssicht eventuell gut beraten, ihre Daten zu einem externen Cloud-Provider auszulagern. Denn dieser hat aufgrund der Datenmassen, die auf seinem virtuellen Servern lagern, oftmals viele Sicherheits- und organisatorische Maßnahmen getroffen. Schließlich haftet der Provider mittels SLA auch für Mängel. Aus gutem Grund investiert dieser Provider daher in gut geschultes Personal und verfügt über vielschichtige Gegenmaßnahmen – mit dem begrenzten IT-Budget kleiner Unternehmen sind diese oftmals nicht realisierbar. Die meisten Unternehmen investieren nur so viel Budget in ein Sicherheitskonzept, wie es Compliance und rechtliche Rahmenbedingungen sowie die Gewährleistung des Sicherheitsstandards bei bestem technischen Wissen und Gewissen erfordern, beispielsweise zum Schutz wichtiger immaterieller Werte vor Industriespionage.

In größeren Unternehmen setzen die Umsetzung und die Überwachung der Sicherheitsrichtlinien oft einen engen, operativen Rahmen, in welchem Sicherheitskonzepte entwickelt werden können. Diese Standards und Vorgaben helfen Fehler zu vermeiden und sind daher bei der Konzeptionierung unbedingt zu beachten. Ein schlüssiges Betriebskonzept lässt sich nur auf Grund einer Risikoanalyse erarbeiten, bei der die IT-Sicherheit schon frühzeitig eingebunden ist. Mit einem solchen Konzept kann die Stabilität gewährleistet und Datenverlust jeder Art vorgebeugt werden.

Veränderte Sicherheitskonzepte für virtualisierte Umgebungen und die Cloud
Prinzipiell benötigen virtuelle kritische Arbeitslasten oder IT-Dienste die gleichen administrativen Sicherheitsvorkehrungen wie physische Systeme. Gast-OS und dessen Applikationen sind regelmäßig zu patchen, Rechte zu verwalten, Kontenprivilegien zu überprüfen und administrative Zuständigkeiten festzulegen.

Auch das Zwiebelprinzip bleibt bestehen und mehrere Schichten von Sicherheitsmaßnahmen kommen zum Einsatz: Firewalls, Routing, Load Balancing, VPN-Terminierung, zwischen den Gästen unterschiedliche VLANs zur Separierung, IDS/ IPS im Netz, und im Gast agentenbasierende Maßnahmen wie AV-, DLP-, oder IAM (Identity and Access Management)-Agenten. Eine weitere Schicht kommt hinzu – der Hypervisor, für die Härtung und den Aufbau einer sicheren virtuellen Infrastruktur ist dieser sehr wichtig. Besonderes Augenmerk ist auf die Absicherung der Admin-Zone zu legen, in der sich die Management-Interfaces des Hypervisors und die zentralen Managementkomponenten befinden.

Auf den zweiten Blick gibt es aber doch einige Besonderheiten, die bei Security-Konzepten virtueller Server- und Cloud-Umgebungen zu berücksichtigen sind. Idealerweise integrieren sich Security-Lösungen in den Hypervisor-Stack und lassen sich mit diesem automatisieren. Die Integration in ein ganzheitliches Management ist der Schlüsselfaktor zur Kostenreduktion. Soll das Ganze in die Cloud integriert werden, ist bei der Auswahl des richtigen Konzepts verstärkt Wert auf Schnittstellen, wie die Rest API oder PowerShell, zu legen. Sicherheitskonfigurationen und Härtung lassen sich damit automatisiert in Arbeitsabläufe einbinden. Ein Werkzeug zur Automatisierung etwa ist der freie VMware vCenter Orchestrator, der über vorgefertigte Skripte verfügt, die sich zu Workflows zusammenbauen lassen.

Klassische physische Firewalls reichen nicht aus
Viele Sicherheitshersteller liefern bereits heute Ihre Firewalls, LB- und AV-Lösungen im virtuellen Format. Dies birgt weitere erhebliche Kosteneinsparungspotentiale, denn die Firewall benötigt keine Spezialhardware, sondern läuft als virtuelle Maschine (VM) auf dem Hypervisor und lässt sich auf Knopfdruck ausrollen. Idealerweise sind die Firewall-Regeln mittels Gruppen oder Zonen, in welche die VM beim Ausrollen abgelegt wird, konfigurierbar.

Auch beim Thema Sicherheit sollte also eine größtmögliche Automatisierung das Ziel sein. Daher sollte sich die IT-Abteilung Gedanken über die Prozesse und Arbeitsabläufe machen und direkt in den Bereitstellungsprozess der VM eingebunden werden. Dies umfasst auch das automatische Provisionieren von Netzen zur Separierung der IT-Dienste und die Erstellung von Firewall-Regeln. VMware hat hier eine einheitliche Schnittstelle geschaffen, die Netzwerkverkehr an der virtuellen Netzwerkkarte (vNIC) abfängt und inspiziert. Einsatzgebiete sind nicht nur Firewall-Produkte, sondern auch IDS/IPS-Produkte aus dem VMware-Ökosystem.




                                                Seite 1 von 2                     Nächste Seite>>


17.10.2012/Stephan Bohnengel, Senior Systems Engineer Security and Compliance Specialist bei VMware/ln

Nachrichten

Virtuell geschützt [5.09.2014]

Unitrends bringt Unitrends Virtual Backup (UVB) in Version 8.0 auf den Markt. UVB 8.0 ist eine virtuelle Appliance, die auf Hypervisor-Ebene Schutz für VMware, Microsoft und Citrix bietet. Die neue Version verspricht eine deutlich einfachere Datensicherung, soll die Sicherung und Wiederherstellung beschleunigen und die Absicherung kompletter Multi-Hypervisor-Umgebungen mit nur wenigen Mausklicks ermöglichen. [mehr]

Mehr Auswahl bei Virtualisierungs-Appliance [1.09.2014]

Fujitsu und DataCore bringen in Ergänzung zu den bereits etablierten 16 GBit/s-Varianten drei neue Modelle des Gemeinschaftsprodukts 'Fujitsu DataCore SVA' (Storage Virtualization Appliance) mit 8 GBit/s-Konnektivität auf den Markt. In der maximalen Ausbaustufe unterstützt die Appliance bis zu 750 Hosts und erzielt einen Datendurchsatz von bis zu 1.200.000 I/O-Operationen pro Sekunde. [mehr]

Rettung in der Cloud [29.08.2014]

Tipps & Tools

Textbausteine schnell einsetzen [19.09.2014]

Wenn Sie viel mit Geschäftspartnern oder Anwendern kommunizieren, fallen immer wieder dieselben oder ähnliche Phrasen. Es ist jedoch eher umständlich, die betreffenden Passagen immer von bereits bestehenden Dokumenten ausschneiden und anderswo wieder einsetzen zu müssen. Hier hilft das kostenfreie 'Drag & Write' weiter und beschleunigt die Arbeit, indem es das schnelle Einsetzen von vorher abgespeicherten Textbausteinen in andere Windows-Programme per Drag & Drop erlaubt. [mehr]

Outlook-Suche verbessern [18.09.2014]

Viele Anwender ärgern sich darüber, dass sie bei der Sofortsuche von E-Mails in Outlook nur einen Teil der Ergebnisse vorfinden. Dies ist zwar durchaus im Sinne des Programms, um möglichst schnell eine Liste zu liefern. Nutzer, die jedoch wirklich jede in Frage kommende E-Mail sehen wollen, ziehen den Kürzeren. Mit einem kleinen Eingriff in die Registry können Sie unter Outlook 2007/2010 die Anzahl der angezeigten Ergebnisse bestimmen und so wesentlich erhöhen. [mehr]

Buchbesprechung

Dokumenten-Management

von Götzer, Maier, Schmale, Rehbock, Komke

Anzeigen