Fachartikel

Sicherheitskonzepte für virtualisierte Server

Auf virtuellen Servern liegen unzählige vertrauliche Daten, die nicht in falsche Hände geraten sollten. In Zeiten von Cloud Computing und BYOD wird die Gewährleistung der Sicherheit jedoch immer komplizierter. Die Sicherung von virtuellen Servern stellt deshalb eine schwierige Aufgabe für die IT-Abteilung dar. Das Angebot an Sicherungs-Lösungen ist groß, aber unübersichtlich. Unser Beitrag stellt verschiedene Sicherheitskonzepte vor und wägt Chancen und Risiken der einzelnen Angebote ab.
Virtualisierte Server stehen besonderen Bedrohungen gegenüber und bedürfen deshalb auch eines speziellen Schutzes
Die Entscheidung für das richtige Security-Konzept virtueller Serverumgebungen stellt viele IT-Administratoren vor eine schwierige Aufgabe. An erster Stelle stellt sich vielen die Frage, ob das bisherige Sicherheitskonzept überhaupt für virtuelle Umgebungen ausreichend ist oder ob es Änderungen geben muss, um den virtuellen Sicherungsanforderungen gerecht zu werden. Dabei sind die Anforderungen an Sicherheitskonzepte von Unternehmen zu Unternehmen unterschiedlich – abhängig sind diese zum einen vom Schutzbedarf der verarbeiteten Daten, dem Industriezweig und von der Größe eines Betriebs.

Anforderungen abhängig von Unternehmensgröße
Kleinere Unternehmen sind aus Sicherheitssicht eventuell gut beraten, ihre Daten zu einem externen Cloud-Provider auszulagern. Denn dieser hat aufgrund der Datenmassen, die auf seinem virtuellen Servern lagern, oftmals viele Sicherheits- und organisatorische Maßnahmen getroffen. Schließlich haftet der Provider mittels SLA auch für Mängel. Aus gutem Grund investiert dieser Provider daher in gut geschultes Personal und verfügt über vielschichtige Gegenmaßnahmen – mit dem begrenzten IT-Budget kleiner Unternehmen sind diese oftmals nicht realisierbar. Die meisten Unternehmen investieren nur so viel Budget in ein Sicherheitskonzept, wie es Compliance und rechtliche Rahmenbedingungen sowie die Gewährleistung des Sicherheitsstandards bei bestem technischen Wissen und Gewissen erfordern, beispielsweise zum Schutz wichtiger immaterieller Werte vor Industriespionage.

In größeren Unternehmen setzen die Umsetzung und die Überwachung der Sicherheitsrichtlinien oft einen engen, operativen Rahmen, in welchem Sicherheitskonzepte entwickelt werden können. Diese Standards und Vorgaben helfen Fehler zu vermeiden und sind daher bei der Konzeptionierung unbedingt zu beachten. Ein schlüssiges Betriebskonzept lässt sich nur auf Grund einer Risikoanalyse erarbeiten, bei der die IT-Sicherheit schon frühzeitig eingebunden ist. Mit einem solchen Konzept kann die Stabilität gewährleistet und Datenverlust jeder Art vorgebeugt werden.

Veränderte Sicherheitskonzepte für virtualisierte Umgebungen und die Cloud
Prinzipiell benötigen virtuelle kritische Arbeitslasten oder IT-Dienste die gleichen administrativen Sicherheitsvorkehrungen wie physische Systeme. Gast-OS und dessen Applikationen sind regelmäßig zu patchen, Rechte zu verwalten, Kontenprivilegien zu überprüfen und administrative Zuständigkeiten festzulegen.

Auch das Zwiebelprinzip bleibt bestehen und mehrere Schichten von Sicherheitsmaßnahmen kommen zum Einsatz: Firewalls, Routing, Load Balancing, VPN-Terminierung, zwischen den Gästen unterschiedliche VLANs zur Separierung, IDS/ IPS im Netz, und im Gast agentenbasierende Maßnahmen wie AV-, DLP-, oder IAM (Identity and Access Management)-Agenten. Eine weitere Schicht kommt hinzu – der Hypervisor, für die Härtung und den Aufbau einer sicheren virtuellen Infrastruktur ist dieser sehr wichtig. Besonderes Augenmerk ist auf die Absicherung der Admin-Zone zu legen, in der sich die Management-Interfaces des Hypervisors und die zentralen Managementkomponenten befinden.

Auf den zweiten Blick gibt es aber doch einige Besonderheiten, die bei Security-Konzepten virtueller Server- und Cloud-Umgebungen zu berücksichtigen sind. Idealerweise integrieren sich Security-Lösungen in den Hypervisor-Stack und lassen sich mit diesem automatisieren. Die Integration in ein ganzheitliches Management ist der Schlüsselfaktor zur Kostenreduktion. Soll das Ganze in die Cloud integriert werden, ist bei der Auswahl des richtigen Konzepts verstärkt Wert auf Schnittstellen, wie die Rest API oder PowerShell, zu legen. Sicherheitskonfigurationen und Härtung lassen sich damit automatisiert in Arbeitsabläufe einbinden. Ein Werkzeug zur Automatisierung etwa ist der freie VMware vCenter Orchestrator, der über vorgefertigte Skripte verfügt, die sich zu Workflows zusammenbauen lassen.

Klassische physische Firewalls reichen nicht aus
Viele Sicherheitshersteller liefern bereits heute Ihre Firewalls, LB- und AV-Lösungen im virtuellen Format. Dies birgt weitere erhebliche Kosteneinsparungspotentiale, denn die Firewall benötigt keine Spezialhardware, sondern läuft als virtuelle Maschine (VM) auf dem Hypervisor und lässt sich auf Knopfdruck ausrollen. Idealerweise sind die Firewall-Regeln mittels Gruppen oder Zonen, in welche die VM beim Ausrollen abgelegt wird, konfigurierbar.

Auch beim Thema Sicherheit sollte also eine größtmögliche Automatisierung das Ziel sein. Daher sollte sich die IT-Abteilung Gedanken über die Prozesse und Arbeitsabläufe machen und direkt in den Bereitstellungsprozess der VM eingebunden werden. Dies umfasst auch das automatische Provisionieren von Netzen zur Separierung der IT-Dienste und die Erstellung von Firewall-Regeln. VMware hat hier eine einheitliche Schnittstelle geschaffen, die Netzwerkverkehr an der virtuellen Netzwerkkarte (vNIC) abfängt und inspiziert. Einsatzgebiete sind nicht nur Firewall-Produkte, sondern auch IDS/IPS-Produkte aus dem VMware-Ökosystem.




                                                Seite 1 von 2                     Nächste Seite>>


17.10.2012/Stephan Bohnengel, Senior Systems Engineer Security and Compliance Specialist bei VMware/ln

Nachrichten

Mehr Einblick [16.04.2014]

Splunk präsentiert Version 3.1 der 'Splunk App for VMware', die Unternehmen tiefere operative Einblicke in ihre virtualisierten Umgebungen ermöglichen soll. Das Release bietet zahlreiche neue Features, darunter 200 sofort nutzbare Reports und eine Instant-Identifizierung von Datenausreißern, um die Dringlichkeit des Handlungsbedarfs in Echtzeit ermitteln zu können. [mehr]

Desktops für alle Fälle [10.04.2014]

VMware stellt Horizon 6 vor. Die Software dient der Bereitstellung veröffentlichter Anwendungen und Desktops auf einer Plattform. Die neue Version bietet ein zentralisiertes Management für Unternehmensanwendungen und -desktops. Dazu gehören physikalische und virtuelle Desktops, Laptops, Anwendungen sowie PCs, die dem Mitarbeiter selbst gehören. [mehr]

Desktop in der Ferne [28.03.2014]

Virtuell gespeichert [25.03.2014]

Tipps & Tools

Suchmaschine mal anders [16.04.2014]

Wenn Sie mit den Ergebnissen von Google & Co. in Sachen Suchanfragen mal wieder unzufrieden sind, probieren Sie alternativ doch einfach einmal die Webseite 'blippex.com' aus. Das Projekt aus Österreich stellt seit 2013 einen anderen Schwerpunkt für die Bewertung von Webseiten in den Mittelpunkt. Es dreht sich alles um die Verweildauer der jeweiligen Interessenten auf der entsprechenden Page. Dies wird mit einem kleinen Plug-In im Browser gemessen. [mehr]

Download der Woche: CompuDMS [15.04.2014]

Teams müssen sich in der Regel mehr Gedanken um eine sichere und saubere Archivierung von Dokumenten machen als der einzelne Mitarbeiter. Wer für ein fähiges Dokumentenmanagement-Werkzeug nicht gleich tief in die Tasche greifen möchte, sollte einen Blick auf 'CompuDMS' werfen. Die Software deckt so gut wie alle Funktionen des Lifecycle-Managements ab, etwa neue Dateien anlegen, bestehende Dateien bearbeiten, Zwischenstände sichern oder endgültige Versionen archivieren. Dabei speichert das Tool Dateien und Verzeichnisse in einer einzigen DMSX-Datei ab. [mehr]

Vorschau Mai 2014 [14.04.2014]

Buchbesprechung

Project 2013 und Project Web App

von Renke Holert und Arne Zwirner

Anzeigen