Security im virtuellen Data Center: Wenn Virtualisierung zum Risiko wird

Virtualisierung im Data Center bringt mehr Effizienz. Doch was bedeutet das für die IT-Sicherheit? Wie können RZ-Manager Security-Risiken eindämmen? [...]

VIRTUELLE DESKTOPS KONTROLLIEREN
Für das Patchen virtueller Desktops, die ja ebenfalls in virtuellen Maschinen liegen, wird empfohlen, diese zuvor in eine demilitarisierte Zone zu verschieben, zu aktualisieren und erst dann wieder an ihren üblichen Standort zu transferieren, wenn sie einen automatisierten Funktions- und Sicherheitscheck durchlaufen haben.
SECURITY-RISIKO NETZWERK
Weitere Komplikationen resultieren aus der Vernetzungstechnik. „Wir haben nur ein Kabel, aber dreißig Gastsysteme“, fasst Microsoft-Manager Wirth zusammen. Gastsysteme sollten untereinander nicht unkontrolliert kommunizieren können. Also sollte für jede Maschine ein eigenes VLAN (Virtuelles LAN) angelegt werden. Technisch unterstützen das zwar heute die virtualisierten Switches und Hypervisoren, es ist jedoch sehr aufwändig – bei knappen Personalressourcen ein Problem. Dennoch sollte man darauf nicht verzichten, weil sonst die Sicherheit leidet. Außerdem sollten separate Netzverbindungen für Management, reguläre Nutzer und Gäste definiert werden, empfiehlt unter anderem Christian Ferber, bei Citrix Systemingenieur für Servervirtualisierung. Für Zugriffe von außen auf virtuelle Desktops bietet Citrix mit Netscaler ein spezielles Sicherheits-Gateway an, auch VMware hat für Außenzugriffe ein Edge Gateway im Programm. Neuartige Netzwerktechnologien wie SDN (Software Defined Networking) könnten die Situation verbessern. „Neue Sicherheitsdienste wären damit im laufenden Betrieb definierbar und in den bestehenden Sicherheits-Stack zu integrieren“, erklärt Wolfram Weber, VMware Solution Architect.
VIRTUELLE MASCHINEN SICHER MIGRIEREN
Besonders tückisch ist immer die Migration virtueller Maschinen. Der Mechanismus kann zu Risiken führen, sobald Regeln nicht strikt eingehalten werden. Ein Beispiel: Angenommen, es wurde ein neuer Cluster von VMware-ESX-Hosts installiert oder ein bestehender Cluster um einen neuen ESX-Server erweitert. Dabei soll ein neuer Host noch keine Firewall haben und gleichzeitig nicht zusammen mit der vShield App ausgerollt worden sein. Migriert der Administrator dann virtuelle Maschinen auf einen noch nicht durch Firewall gesicherten Host, wird diese Maschine vorläufig gesperrt und er erhält sofort einen Hinweis, dass diese Maschinen dort im Zweifel ohne Schutz operieren und deshalb gesperrt sind. Bestätigt er die Sperrung, bleibt die Maschine bis zur Installation der Firewall von der Kommunikation ausgeschlossen. Klickt der Administrator an diesem Punkt den Hinweis weg oder gibt die falsche Antwort, laufen die Maschinen tatsächlich auf dem ungeschützten Host. Bedenkt man, dass menschliches Versagen einen großen Teil der Sicherheitspannen verursacht, wäre es besser, wenn VMware eine Funktion implementierte, die schon die Migration von VMs auf ungesicherte Hosts verhindert und die in jedem Einzelfall abgeschaltet werden muss.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*