Fachartikel

Sicherheitskonzepte für virtualisierte Server

Auf virtuellen Servern liegen unzählige vertrauliche Daten, die nicht in falsche Hände geraten sollten. In Zeiten von Cloud Computing und BYOD wird die Gewährleistung der Sicherheit jedoch immer komplizierter. Die Sicherung von virtuellen Servern stellt deshalb eine schwierige Aufgabe für die IT-Abteilung dar. Das Angebot an Sicherungs-Lösungen ist groß, aber unübersichtlich. Unser Beitrag stellt verschiedene Sicherheitskonzepte vor und wägt Chancen und Risiken der einzelnen Angebote ab.
Virtualisierte Server stehen besonderen Bedrohungen gegenüber und bedürfen deshalb auch eines speziellen Schutzes
Die Entscheidung für das richtige Security-Konzept virtueller Serverumgebungen stellt viele IT-Administratoren vor eine schwierige Aufgabe. An erster Stelle stellt sich vielen die Frage, ob das bisherige Sicherheitskonzept überhaupt für virtuelle Umgebungen ausreichend ist oder ob es Änderungen geben muss, um den virtuellen Sicherungsanforderungen gerecht zu werden. Dabei sind die Anforderungen an Sicherheitskonzepte von Unternehmen zu Unternehmen unterschiedlich – abhängig sind diese zum einen vom Schutzbedarf der verarbeiteten Daten, dem Industriezweig und von der Größe eines Betriebs.

Anforderungen abhängig von Unternehmensgröße
Kleinere Unternehmen sind aus Sicherheitssicht eventuell gut beraten, ihre Daten zu einem externen Cloud-Provider auszulagern. Denn dieser hat aufgrund der Datenmassen, die auf seinem virtuellen Servern lagern, oftmals viele Sicherheits- und organisatorische Maßnahmen getroffen. Schließlich haftet der Provider mittels SLA auch für Mängel. Aus gutem Grund investiert dieser Provider daher in gut geschultes Personal und verfügt über vielschichtige Gegenmaßnahmen – mit dem begrenzten IT-Budget kleiner Unternehmen sind diese oftmals nicht realisierbar. Die meisten Unternehmen investieren nur so viel Budget in ein Sicherheitskonzept, wie es Compliance und rechtliche Rahmenbedingungen sowie die Gewährleistung des Sicherheitsstandards bei bestem technischen Wissen und Gewissen erfordern, beispielsweise zum Schutz wichtiger immaterieller Werte vor Industriespionage.

In größeren Unternehmen setzen die Umsetzung und die Überwachung der Sicherheitsrichtlinien oft einen engen, operativen Rahmen, in welchem Sicherheitskonzepte entwickelt werden können. Diese Standards und Vorgaben helfen Fehler zu vermeiden und sind daher bei der Konzeptionierung unbedingt zu beachten. Ein schlüssiges Betriebskonzept lässt sich nur auf Grund einer Risikoanalyse erarbeiten, bei der die IT-Sicherheit schon frühzeitig eingebunden ist. Mit einem solchen Konzept kann die Stabilität gewährleistet und Datenverlust jeder Art vorgebeugt werden.

Veränderte Sicherheitskonzepte für virtualisierte Umgebungen und die Cloud
Prinzipiell benötigen virtuelle kritische Arbeitslasten oder IT-Dienste die gleichen administrativen Sicherheitsvorkehrungen wie physische Systeme. Gast-OS und dessen Applikationen sind regelmäßig zu patchen, Rechte zu verwalten, Kontenprivilegien zu überprüfen und administrative Zuständigkeiten festzulegen.

Auch das Zwiebelprinzip bleibt bestehen und mehrere Schichten von Sicherheitsmaßnahmen kommen zum Einsatz: Firewalls, Routing, Load Balancing, VPN-Terminierung, zwischen den Gästen unterschiedliche VLANs zur Separierung, IDS/ IPS im Netz, und im Gast agentenbasierende Maßnahmen wie AV-, DLP-, oder IAM (Identity and Access Management)-Agenten. Eine weitere Schicht kommt hinzu – der Hypervisor, für die Härtung und den Aufbau einer sicheren virtuellen Infrastruktur ist dieser sehr wichtig. Besonderes Augenmerk ist auf die Absicherung der Admin-Zone zu legen, in der sich die Management-Interfaces des Hypervisors und die zentralen Managementkomponenten befinden.

Auf den zweiten Blick gibt es aber doch einige Besonderheiten, die bei Security-Konzepten virtueller Server- und Cloud-Umgebungen zu berücksichtigen sind. Idealerweise integrieren sich Security-Lösungen in den Hypervisor-Stack und lassen sich mit diesem automatisieren. Die Integration in ein ganzheitliches Management ist der Schlüsselfaktor zur Kostenreduktion. Soll das Ganze in die Cloud integriert werden, ist bei der Auswahl des richtigen Konzepts verstärkt Wert auf Schnittstellen, wie die Rest API oder PowerShell, zu legen. Sicherheitskonfigurationen und Härtung lassen sich damit automatisiert in Arbeitsabläufe einbinden. Ein Werkzeug zur Automatisierung etwa ist der freie VMware vCenter Orchestrator, der über vorgefertigte Skripte verfügt, die sich zu Workflows zusammenbauen lassen.

Klassische physische Firewalls reichen nicht aus
Viele Sicherheitshersteller liefern bereits heute Ihre Firewalls, LB- und AV-Lösungen im virtuellen Format. Dies birgt weitere erhebliche Kosteneinsparungspotentiale, denn die Firewall benötigt keine Spezialhardware, sondern läuft als virtuelle Maschine (VM) auf dem Hypervisor und lässt sich auf Knopfdruck ausrollen. Idealerweise sind die Firewall-Regeln mittels Gruppen oder Zonen, in welche die VM beim Ausrollen abgelegt wird, konfigurierbar.

Auch beim Thema Sicherheit sollte also eine größtmögliche Automatisierung das Ziel sein. Daher sollte sich die IT-Abteilung Gedanken über die Prozesse und Arbeitsabläufe machen und direkt in den Bereitstellungsprozess der VM eingebunden werden. Dies umfasst auch das automatische Provisionieren von Netzen zur Separierung der IT-Dienste und die Erstellung von Firewall-Regeln. VMware hat hier eine einheitliche Schnittstelle geschaffen, die Netzwerkverkehr an der virtuellen Netzwerkkarte (vNIC) abfängt und inspiziert. Einsatzgebiete sind nicht nur Firewall-Produkte, sondern auch IDS/IPS-Produkte aus dem VMware-Ökosystem.




                                                Seite 1 von 2                     Nächste Seite>>


17.10.2012/Stephan Bohnengel, Senior Systems Engineer Security and Compliance Specialist bei VMware/ln

Nachrichten

ESA setzt auf Virtualisierung [21.01.2015]

Die Europäische Weltraumorganisation ESA hat, unterstützt durch Red Hat, eine neue On-Premise Private Cloud entwickelt und in Betrieb genommen. Sie basiert auf VCE-Blade-Servern mit x86-Architektur und soll den verschiedenen Anwendergruppen innerhalb der ESA moderne IT-Services anbieten. [mehr]

Mehr Rechen-Power für AWS [13.01.2015]

Amazon bohrt die Prozessorleistung in seinen Amazon Web Services (AWS) auf und stellt neue C4-Instanzen vor. Sie basieren auf Intel Xeon E5-2666 v3 (Haswell)-Prozessoren und sollen die höchste Prozessorleistung in EC2 bieten. Damit richten sich die C4-Instanzen insbesondere an den Betrieb rechenintensiver Anwendungen wie Spiele- und Webservern, Transkodierungen und High Performance Computing. [mehr]

Tipps & Tools

Bewegte Inhalte streamen [23.01.2015]

Nicht immer steht eine professionelle Videokonferenz-Lösung im Unternehmen bereit. Eine interessante Alternative auf Desktop-Ebene stellt die kostenfreie 'Open Broadcaster Software' dar. Mit OBS können Sie den Inhalt Ihres Bildschirms oder eines einzelnen Programmfensters zunächst erfassen und entweder per Versand als Video-Datei oder als Livestream ins Internet übertragen. Dabei geht das ursprünglich aus der Gaming-Szene stammende Tool äußerst schonend mit Bandbreiten und Ressourcen um. [mehr]

Gemütszustand des Internets [21.01.2015]

In Deutschland gibt es doch ein Tempolimit - zumindest was die Anbindung an schnelles Internet angeht. Derartige Informationen können Sie auf der vielfältigen und umfangreichen Webseite 'State of the Internet' von Akamai nachlesen. Hier finden Sie fast alles rund um das Thema weltweite Verbindungen sowie Sicherheit von Netzen, basierend auf aktuellen Zahlen. Die Ergebnisse zu den Vorreitern und Schlusslichter im Ländervergleich in Sachen Internet-Performance fallen dabei manchmal durchaus überraschend aus. [mehr]

Vorschau Februar 2015 [19.01.2015]

Buchbesprechung

VMware vSphere 5.5

von Dennis Zimmer, Bertram Wöhrmann, Carsten Schäfer, Günter Baumgart, Urs Stephan Alder, Marcel Brunner

Anzeigen