Seite 2 - Sicherheitskonzepte für virtualisierte Server

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Sicherheitskonzepte für virtualisierte Server

17.10.2012 - 13:00
Veröffentlicht in:

Warum aber reichen klassische physische Firewalls nicht aus? Grund ist der "Blind Spot" im Netzwerkbereich. Dieser kann entstehen, wenn mehrere VMs im gleichen VLAN auf dem gleichen oder unterschiedlichen ESX-Host miteinander kommunizieren.


Wie in Bild 2 dargestellt, wurde eine VM von einem Hacker in der Portgruppe A gehackt. Nun versucht er mittels Portscans VM 1 und VM 2 anzugreifen. Da all dies innerhalb der gleichen Broadcast Domain stattfindet, ist der klassische Firewall-Cluster dafür blind. Dies gilt auch für IDS/IPS. Setzt die IT hingegen eine Lösung ein, die die NetSec API verwendet, ist es möglich, den Verkehr zwischen vNic und Port der virtuellen Portgruppe abzugreifen. Dadurch kann der Sicherheitsverantwortliche sämtlichen Netzwerkverkehr untersuchen und damit eine sichere Segmentierung auf vNIC-Ebene erreichen.

Im Gegensatz zur physischen Firewall wird die Aufgabe der Inspektion auf jeweils eine Security-VM pro ESX-Host delegiert. Diese Sicherheits-VMs müssen, anders als beim FW-Cluster, nicht mehr den ganzen Netzwerkverkehr des Rechenzentrums überprüfen, sondern nur den der ein- und ausgehenden VMs, die sich momentan auf dem ESX-Host befinden. Mit jedem weiteren ESX-Host kommt sozusagen Bandbreite hinzu, beliebig skalierbar und schnell provisionierbar. Dies verhindert potentielle Engpässe. Die Sicherheitslösung skaliert sozusagen mit der Hypervisor-Landschaft mit, ein enormer Kostenvorteil, und durch die Elastizität auch hervorragend geeignet für Cloud-Anbieter.

Mehr Konsolidierung durch AV Offloading
Über die EPSec API ist es an gleicher Stelle möglich, Lese- und Schreibevorgänge zu scannen und an eine spezielle virtuelle AV-Appliance zu senden. Dies hat erhebliche Vorteile für die Performance, denn jeder I/O der einzelnen VM muss ohnehin durch den Hypervisor. Durch Caching-Mechanismen auf der ESX-Ebene und in der VM wird damit der I/O und die CPU-Last für Scans erheblich reduziert. Auch sind Pattern-Updates nicht mehr einmal pro VM zu installieren sondern nur noch einmal pro ESX-Host – so ist es möglich, auch hier die Performance merklich zu steigern.


Bild 3: Achitektur der EPSec 2.0 API – AV Agenten Offloading auf eine Partner AV Appliance

Innerhalb der VMs ist lediglich einen Thin Driver erforderlich, der als Windows Kernel-Modul bereits innerhalb der VMware Tools integriert ist. Dieser Thin Agent ist ein File System Filter-Treiber, der als Windows Kernel-Modul die gleichen Schutzmechanismen erfährt wie jedes andere Windows-Modul, das im Kernel Space und nicht im User Space innerhalb des OS geladen wird. Tests und Studien haben gezeigt, dass sich damit die I/O-Last auf das dahinterliegende Storage und deren Spitzenlasten bei AV Full Scans massiv reduzieren lassen. Des Weiteren kann Enterprise Storage Plattenplatz bei Thin Provisioned Disks eingespart werden. Aktuelle Lösungen sind von Trend Micro, McAfee, Kaspersky und Bitdefender sowie Lumension erhältlich, auch Symantec und Sophos haben Produkte angekündigt.

Gewaltenteilung – die richtige Lösung für ein effizientes Security-Konzept?
Die innovativen Sicherheitskonzepte, die speziell die Hypervisor-Schnittstellen nutzen, können immense Vorteile haben, denn die Gewaltenteilung bleibt dabei erhalten. Bei richtigem Design und Lösungsauswahl behalten FW-, Netz- oder Security-Administratoren ihre Kompetenz und die Hoheit über ihren Fachbereich.

Allerdings ist für Unternehmen jedoch sehr wichtig, von einzelnem Silo-Denken wegzukommen und die ganzheitlichen Vorteile einer IT-Struktur zu realisieren. Um eine optimale, integrierte Sicherheitslösung für die interne IT zu finden oder sogar eine private Cloud zu realisieren, ist es erforderlich, spartenübergreifende Kompetenzteams zu bilden.

Fazit
Wichtigste Prüfpunkte bei der Auswahl einer Security-Lösung sind die Integration in den operativen Betrieb, vor allem aber auch in das Hypervisor Management, die Automatisierbarkeit mittels Schnittstellen und die Mehrmandantenfähigkeit. Dabei ist stets die Frage zu stellen, ob die aktuellen Prozesse optimal die zugrundeliegenden Möglichkeiten unterstützten oder ob diese vielleicht zuerst geändert werden müssen.

Immer wieder kommt es vor, dass alte Sicherheitsrichtlinien eine physische Trennung von Fachverfahren oder IT-Diensten auf unterschiedlichen Hypervisor-Clustern fordern. Dies ist jedoch aus Kostengründen ungünstig, da es in kleine Clustergrößen mündet und aggregierte Ressourcenpools verhindert, was im Endeffekt ein sehr schlechtes Konsolidierungsverhältnis bedeutet. Die IT wird in ihrer Leistung ganzheitlich gemessen – somit ist auch die IT-Security gefordert virtualisierungsfreundliche und Cloud-kompatible Vorgaben zu erstellen.

 

         <<Vorherige Seite                          Seite 2 von 2





Stephan Bohnengel, Senior Systems Engineer Security and Compliance Specialist bei VMware/ln
 

Ähnliche Beiträge

IT-Tage 2023 – Konferenz für Entwicklung, Datenbanken, DevOps, Security und KI

„Alles unter einem Dach!“ ist das Motto der IT-Tage, der Jahreskonferenz des Fachmagazins Informatik Aktuell. Unter anderem werden Subkonferenzen zu den Themen Software-Entwicklung und -Architektur, Datenbanken, DevOps, Cloud & Serverless, IT-Security, Künstliche Intelligenz, Java, Python oder .NET angeboten.

Security mit Shielded-VMs und Host Guardian Service (3)

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im dritten und letzten Workshop-Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren.