Fachartikel

Sicherheitskonzepte für virtualisierte Server

Auf virtuellen Servern liegen unzählige vertrauliche Daten, die nicht in falsche Hände geraten sollten. In Zeiten von Cloud Computing und BYOD wird die Gewährleistung der Sicherheit jedoch immer komplizierter. Die Sicherung von virtuellen Servern stellt deshalb eine schwierige Aufgabe für die IT-Abteilung dar. Das Angebot an Sicherungs-Lösungen ist groß, aber unübersichtlich. Unser Beitrag stellt verschiedene Sicherheitskonzepte vor und wägt Chancen und Risiken der einzelnen Angebote ab.
Virtualisierte Server stehen besonderen Bedrohungen gegenüber und bedürfen deshalb auch eines speziellen Schutzes
Die Entscheidung für das richtige Security-Konzept virtueller Serverumgebungen stellt viele IT-Administratoren vor eine schwierige Aufgabe. An erster Stelle stellt sich vielen die Frage, ob das bisherige Sicherheitskonzept überhaupt für virtuelle Umgebungen ausreichend ist oder ob es Änderungen geben muss, um den virtuellen Sicherungsanforderungen gerecht zu werden. Dabei sind die Anforderungen an Sicherheitskonzepte von Unternehmen zu Unternehmen unterschiedlich – abhängig sind diese zum einen vom Schutzbedarf der verarbeiteten Daten, dem Industriezweig und von der Größe eines Betriebs.

Anforderungen abhängig von Unternehmensgröße
Kleinere Unternehmen sind aus Sicherheitssicht eventuell gut beraten, ihre Daten zu einem externen Cloud-Provider auszulagern. Denn dieser hat aufgrund der Datenmassen, die auf seinem virtuellen Servern lagern, oftmals viele Sicherheits- und organisatorische Maßnahmen getroffen. Schließlich haftet der Provider mittels SLA auch für Mängel. Aus gutem Grund investiert dieser Provider daher in gut geschultes Personal und verfügt über vielschichtige Gegenmaßnahmen – mit dem begrenzten IT-Budget kleiner Unternehmen sind diese oftmals nicht realisierbar. Die meisten Unternehmen investieren nur so viel Budget in ein Sicherheitskonzept, wie es Compliance und rechtliche Rahmenbedingungen sowie die Gewährleistung des Sicherheitsstandards bei bestem technischen Wissen und Gewissen erfordern, beispielsweise zum Schutz wichtiger immaterieller Werte vor Industriespionage.

In größeren Unternehmen setzen die Umsetzung und die Überwachung der Sicherheitsrichtlinien oft einen engen, operativen Rahmen, in welchem Sicherheitskonzepte entwickelt werden können. Diese Standards und Vorgaben helfen Fehler zu vermeiden und sind daher bei der Konzeptionierung unbedingt zu beachten. Ein schlüssiges Betriebskonzept lässt sich nur auf Grund einer Risikoanalyse erarbeiten, bei der die IT-Sicherheit schon frühzeitig eingebunden ist. Mit einem solchen Konzept kann die Stabilität gewährleistet und Datenverlust jeder Art vorgebeugt werden.

Veränderte Sicherheitskonzepte für virtualisierte Umgebungen und die Cloud
Prinzipiell benötigen virtuelle kritische Arbeitslasten oder IT-Dienste die gleichen administrativen Sicherheitsvorkehrungen wie physische Systeme. Gast-OS und dessen Applikationen sind regelmäßig zu patchen, Rechte zu verwalten, Kontenprivilegien zu überprüfen und administrative Zuständigkeiten festzulegen.

Auch das Zwiebelprinzip bleibt bestehen und mehrere Schichten von Sicherheitsmaßnahmen kommen zum Einsatz: Firewalls, Routing, Load Balancing, VPN-Terminierung, zwischen den Gästen unterschiedliche VLANs zur Separierung, IDS/ IPS im Netz, und im Gast agentenbasierende Maßnahmen wie AV-, DLP-, oder IAM (Identity and Access Management)-Agenten. Eine weitere Schicht kommt hinzu – der Hypervisor, für die Härtung und den Aufbau einer sicheren virtuellen Infrastruktur ist dieser sehr wichtig. Besonderes Augenmerk ist auf die Absicherung der Admin-Zone zu legen, in der sich die Management-Interfaces des Hypervisors und die zentralen Managementkomponenten befinden.

Auf den zweiten Blick gibt es aber doch einige Besonderheiten, die bei Security-Konzepten virtueller Server- und Cloud-Umgebungen zu berücksichtigen sind. Idealerweise integrieren sich Security-Lösungen in den Hypervisor-Stack und lassen sich mit diesem automatisieren. Die Integration in ein ganzheitliches Management ist der Schlüsselfaktor zur Kostenreduktion. Soll das Ganze in die Cloud integriert werden, ist bei der Auswahl des richtigen Konzepts verstärkt Wert auf Schnittstellen, wie die Rest API oder PowerShell, zu legen. Sicherheitskonfigurationen und Härtung lassen sich damit automatisiert in Arbeitsabläufe einbinden. Ein Werkzeug zur Automatisierung etwa ist der freie VMware vCenter Orchestrator, der über vorgefertigte Skripte verfügt, die sich zu Workflows zusammenbauen lassen.

Klassische physische Firewalls reichen nicht aus
Viele Sicherheitshersteller liefern bereits heute Ihre Firewalls, LB- und AV-Lösungen im virtuellen Format. Dies birgt weitere erhebliche Kosteneinsparungspotentiale, denn die Firewall benötigt keine Spezialhardware, sondern läuft als virtuelle Maschine (VM) auf dem Hypervisor und lässt sich auf Knopfdruck ausrollen. Idealerweise sind die Firewall-Regeln mittels Gruppen oder Zonen, in welche die VM beim Ausrollen abgelegt wird, konfigurierbar.

Auch beim Thema Sicherheit sollte also eine größtmögliche Automatisierung das Ziel sein. Daher sollte sich die IT-Abteilung Gedanken über die Prozesse und Arbeitsabläufe machen und direkt in den Bereitstellungsprozess der VM eingebunden werden. Dies umfasst auch das automatische Provisionieren von Netzen zur Separierung der IT-Dienste und die Erstellung von Firewall-Regeln. VMware hat hier eine einheitliche Schnittstelle geschaffen, die Netzwerkverkehr an der virtuellen Netzwerkkarte (vNIC) abfängt und inspiziert. Einsatzgebiete sind nicht nur Firewall-Produkte, sondern auch IDS/IPS-Produkte aus dem VMware-Ökosystem.




                                                Seite 1 von 2                     Nächste Seite>>


17.10.2012/Stephan Bohnengel, Senior Systems Engineer Security and Compliance Specialist bei VMware/ln

Nachrichten

Server und Storage wachsen zusammen [20.05.2015]

DataCore bringt mit einem Produkt-Service-Pack umfangreiche Erweiterungen für seine Software-defined Storage-Plattformen 'SANsymphony-V10' und 'Virtual SAN' auf den Markt. So etwa bietet das Update Unterstützung für den unter OpenStack genutzten Block Storage-Service Cinder. Darüber hinaus integriert die Erweiterung Dienste für ein durchgängiges Management der IO-Performance. [mehr]

Virtuelle Umgebungen auf Infrastrukturebene absichern [18.05.2015]

Bitdefender hat eine neue Hypervisor-basierte Technologie zur Memory Introspection vorgestellt. Administratoren in Rechenzentren sollen auf diese Weise einen vollständigen Einblick in virtualisierte Endpunkte ohne Beeinträchtigungen bei Leistung oder Verwaltung erhalten. Die neue Technologie ermöglicht laut Bitdefender erstmals, die Inspektion auf der Hypervisor-Ebene durchzuführen. [mehr]

Tipps & Tools

Freier Eintritt zum OpenTechSummit mit IT-Administrator [12.05.2015]

Am Vatertag noch nichts vor? Am Donnerstag den 14. Mai trifft sich die Tech-Community in der Kalkscheune in Berlin zum OpenTechSummit. Dort dreht sich in den Vorträgen, Workshops und Diskussionen alles um spannende Zukunftstechnologien von Open Hardware über Open Data, Software (Linux, Websites, Cloud-Systeme) und eigene Freifunk-Netze bis hin zu Fragen über Copyright und Patente für Firmen und Startups. Kurzentschlossene Leser des IT-Administrator nehmen kostenlos an der Veranstaltung teil. [mehr]

Letzte Restplätze für IT-Administrator Trainings! [4.05.2015]

Mittlerweile sind fast alle IT-Administrator Trainings für das erste Halbjahr ausgebucht. Für wenige Termine haben Sie jetzt noch die Chance, einen der begehrten Plätze zu ergattern. So sind für die Ganztages-Veranstaltung "Exchange 2013 administrieren" in Stuttgart noch einige Tickets erhältlich. Für "Open Source-Monitoring" in München dürfte die Anmeldung in den nächsten Tagen geschlossen werden. Wie immer besuchen Abonnenten des IT-Administrator die Trainings zum Vorzugspreis. [mehr]

Buchbesprechung

Basiswissen ITIL

von Nadin Ebel

Anzeigen