Fachartikel

Sicherheitskonzepte für virtualisierte Server

Auf virtuellen Servern liegen unzählige vertrauliche Daten, die nicht in falsche Hände geraten sollten. In Zeiten von Cloud Computing und BYOD wird die Gewährleistung der Sicherheit jedoch immer komplizierter. Die Sicherung von virtuellen Servern stellt deshalb eine schwierige Aufgabe für die IT-Abteilung dar. Das Angebot an Sicherungs-Lösungen ist groß, aber unübersichtlich. Unser Beitrag stellt verschiedene Sicherheitskonzepte vor und wägt Chancen und Risiken der einzelnen Angebote ab.
Virtualisierte Server stehen besonderen Bedrohungen gegenüber und bedürfen deshalb auch eines speziellen Schutzes
Die Entscheidung für das richtige Security-Konzept virtueller Serverumgebungen stellt viele IT-Administratoren vor eine schwierige Aufgabe. An erster Stelle stellt sich vielen die Frage, ob das bisherige Sicherheitskonzept überhaupt für virtuelle Umgebungen ausreichend ist oder ob es Änderungen geben muss, um den virtuellen Sicherungsanforderungen gerecht zu werden. Dabei sind die Anforderungen an Sicherheitskonzepte von Unternehmen zu Unternehmen unterschiedlich – abhängig sind diese zum einen vom Schutzbedarf der verarbeiteten Daten, dem Industriezweig und von der Größe eines Betriebs.

Anforderungen abhängig von Unternehmensgröße
Kleinere Unternehmen sind aus Sicherheitssicht eventuell gut beraten, ihre Daten zu einem externen Cloud-Provider auszulagern. Denn dieser hat aufgrund der Datenmassen, die auf seinem virtuellen Servern lagern, oftmals viele Sicherheits- und organisatorische Maßnahmen getroffen. Schließlich haftet der Provider mittels SLA auch für Mängel. Aus gutem Grund investiert dieser Provider daher in gut geschultes Personal und verfügt über vielschichtige Gegenmaßnahmen – mit dem begrenzten IT-Budget kleiner Unternehmen sind diese oftmals nicht realisierbar. Die meisten Unternehmen investieren nur so viel Budget in ein Sicherheitskonzept, wie es Compliance und rechtliche Rahmenbedingungen sowie die Gewährleistung des Sicherheitsstandards bei bestem technischen Wissen und Gewissen erfordern, beispielsweise zum Schutz wichtiger immaterieller Werte vor Industriespionage.

In größeren Unternehmen setzen die Umsetzung und die Überwachung der Sicherheitsrichtlinien oft einen engen, operativen Rahmen, in welchem Sicherheitskonzepte entwickelt werden können. Diese Standards und Vorgaben helfen Fehler zu vermeiden und sind daher bei der Konzeptionierung unbedingt zu beachten. Ein schlüssiges Betriebskonzept lässt sich nur auf Grund einer Risikoanalyse erarbeiten, bei der die IT-Sicherheit schon frühzeitig eingebunden ist. Mit einem solchen Konzept kann die Stabilität gewährleistet und Datenverlust jeder Art vorgebeugt werden.

Veränderte Sicherheitskonzepte für virtualisierte Umgebungen und die Cloud
Prinzipiell benötigen virtuelle kritische Arbeitslasten oder IT-Dienste die gleichen administrativen Sicherheitsvorkehrungen wie physische Systeme. Gast-OS und dessen Applikationen sind regelmäßig zu patchen, Rechte zu verwalten, Kontenprivilegien zu überprüfen und administrative Zuständigkeiten festzulegen.

Auch das Zwiebelprinzip bleibt bestehen und mehrere Schichten von Sicherheitsmaßnahmen kommen zum Einsatz: Firewalls, Routing, Load Balancing, VPN-Terminierung, zwischen den Gästen unterschiedliche VLANs zur Separierung, IDS/ IPS im Netz, und im Gast agentenbasierende Maßnahmen wie AV-, DLP-, oder IAM (Identity and Access Management)-Agenten. Eine weitere Schicht kommt hinzu – der Hypervisor, für die Härtung und den Aufbau einer sicheren virtuellen Infrastruktur ist dieser sehr wichtig. Besonderes Augenmerk ist auf die Absicherung der Admin-Zone zu legen, in der sich die Management-Interfaces des Hypervisors und die zentralen Managementkomponenten befinden.

Auf den zweiten Blick gibt es aber doch einige Besonderheiten, die bei Security-Konzepten virtueller Server- und Cloud-Umgebungen zu berücksichtigen sind. Idealerweise integrieren sich Security-Lösungen in den Hypervisor-Stack und lassen sich mit diesem automatisieren. Die Integration in ein ganzheitliches Management ist der Schlüsselfaktor zur Kostenreduktion. Soll das Ganze in die Cloud integriert werden, ist bei der Auswahl des richtigen Konzepts verstärkt Wert auf Schnittstellen, wie die Rest API oder PowerShell, zu legen. Sicherheitskonfigurationen und Härtung lassen sich damit automatisiert in Arbeitsabläufe einbinden. Ein Werkzeug zur Automatisierung etwa ist der freie VMware vCenter Orchestrator, der über vorgefertigte Skripte verfügt, die sich zu Workflows zusammenbauen lassen.

Klassische physische Firewalls reichen nicht aus
Viele Sicherheitshersteller liefern bereits heute Ihre Firewalls, LB- und AV-Lösungen im virtuellen Format. Dies birgt weitere erhebliche Kosteneinsparungspotentiale, denn die Firewall benötigt keine Spezialhardware, sondern läuft als virtuelle Maschine (VM) auf dem Hypervisor und lässt sich auf Knopfdruck ausrollen. Idealerweise sind die Firewall-Regeln mittels Gruppen oder Zonen, in welche die VM beim Ausrollen abgelegt wird, konfigurierbar.

Auch beim Thema Sicherheit sollte also eine größtmögliche Automatisierung das Ziel sein. Daher sollte sich die IT-Abteilung Gedanken über die Prozesse und Arbeitsabläufe machen und direkt in den Bereitstellungsprozess der VM eingebunden werden. Dies umfasst auch das automatische Provisionieren von Netzen zur Separierung der IT-Dienste und die Erstellung von Firewall-Regeln. VMware hat hier eine einheitliche Schnittstelle geschaffen, die Netzwerkverkehr an der virtuellen Netzwerkkarte (vNIC) abfängt und inspiziert. Einsatzgebiete sind nicht nur Firewall-Produkte, sondern auch IDS/IPS-Produkte aus dem VMware-Ökosystem.




                                                Seite 1 von 2                     Nächste Seite>>


17.10.2012/Stephan Bohnengel, Senior Systems Engineer Security and Compliance Specialist bei VMware/ln

Nachrichten

AWS arbeitet profitabel [24.04.2015]

Amazon hat seine Quartalszahlen veröffentlich und weist dabei erstmals gesondert seine Cloud-Dienste aus. So hat Amazon Web Services im ersten Quartal des Jahres mit einem Umsatz von mehr als 1,5 Milliarden US-Dollar zum Gesamtergebnis des Konzerns beigetragen. Als Gewinn blieben davon etwa 265 Millionen US-Dollar stehen, was einer Marge von rund 17 Prozent entspricht. [mehr]

Turbo für XenDesktop-Umgebungen [23.04.2015]

Nexenta gibt die Verfügbarkeit von 'NexentaConnect for Citrix XenDesktop' bekannt – einem virtuellen Speicherbeschleuniger für XenDesktop. Die Software stellt Administratoren laut Hersteller ein Tool zur Verfügung, mit dem sie eine schnellere Performance der Desktops in ihrem Unternehmen auf neuen oder vorhandenen Speicherarrays erzielen können. [mehr]

Tipps & Tools

Download der Woche: Icecream PDF Converter [15.04.2015]

Wer mit anderen Unternehmen oder Teams ständig Daten austauscht und als gemeinsamen Nenner das PDF-Format bevorzugt, sollte sich das kostenfreie Tool 'Icecream PDF Converter' einmal anschauen. Die Software wandelt sämtliche Dateien, die in einer Vielzahl von Formaten vorliegen können, in PDF-Dokumente um. Dies funktioniert auch in die andere Richtung für Vorlagen, die bereits als PDF-Dateien ankommen. [mehr]

Desktop Destiny Germany 2015 [13.04.2015]

Mobility und Cloud sind in aller Munde. Doch ist es am Ende stets der Desktop in der einen oder anderen Form, mit dem die Nutzer den Tag über arbeiten. Hierbei steht dem Administrator inzwischen eine Vielzahl an Möglichkeiten zur Bereitstellung und Verwaltung offen, insbesondere dank der Virtualisierung. Am 7. Mai informiert die kostenlose Desktop Destiny Germany 2015 in Frankfurt über aktuelle Trends. [mehr]

Buchbesprechung

Anzeigen