Virtualisierte Server sind weniger sicher

18. März 2010, 11:47
  • security
  • sicherheit
  • gartner
image

Gartner nennt die sechs wichtigsten Sicherheitsrisiken in Virtualisierungsprojekten.

Gartner nennt die sechs wichtigsten Sicherheitsrisiken in Virtualisierungsprojekten.
Virtualisierung ist DER Megatrend in der Informatik. Mit dem Ersatz von physischen Servern durch virtuelle Maschinen kann man seine Server besser auslasten, die Anzahl der physischen Maschinen massiv reduzieren und so Kosten senken. Doch Virtualisierungsprojekte haben ihre Tücken, auf die das US-Beratungshaus Gartner im Vorfeld des 'Gartner Security Summit' hinweist.
60 Prozent der Server, die im laufenden und nächsten Jahr virtualisiert werden, werden gemäss Gartner weniger sicher sein als die physischen Maschinen, die sie ersetzen. Dies nicht etwa, weil Virtualisierung per se eine unsichere Technologie sei, sondern weil Prozesse und Werkzeuge noch unreif seien und Mitarbeitende, Reseller und Berater noch zu schlecht ausgebildet seien.
Die sechs Security-Sünden in der Virtualisierung
Gartner listet die sechs wichtigsten Security-Risiken in Virtualisierungsprojekten auf:
1. Die IT-Sicherheitsleute werden nicht von Anfang an einbezogen. Fälschlicherweise glauben IT-Teams, die an Virtualisierungsprojekten arbeiten, es ändere sich ja nichts, da Server und Applikationen die gleichen blieben. Da aber mit der Virtualisierungssoftware (Hypervisor und Virtual-Machine-Monitor) eine ganze Software-Schicht neu eingezogen wird, sollten Security-Spezialisten unbedingt von Anfang an einbezogen werden.
2. Angriffe auf Hypervisor und Management-Software sind zu erwarten und gefährlich. Gartner glaubt, dass auch Virtualisierungssoftware (Hypervisor und Management-Tools) noch unbekannte Sicherheitslücken aufweist, die mit grösster Sicherheit auch angegriffen werden wird. Das Gefährliche daran ist, dass über die Virtualisierungsschicht auch die Applikationen, die auf den virtuellen Servern laufen, angegriffen werden können. Gartner verlangt, dass die Virtualisierungsschicht als die sicherheitskritischste überhaupt behandelt wird und entsprechende Regeln installiert werden.
3. Unsichtbarer Verkehr auf internen virtuellen Netzwerken: Oft werden für die Kommunikation zwischen verschiedenen virtuellen Maschinen virtuelle, interne Netzwerke aufgezogen. Der Verkehr auf diesen Netzwerken ist für Netzwerk-basierende Sicherheits-Einrichtungen (zum Beispiel Appliances für Intrusion Prevention) nicht sichtbar. Gartner empfiehlt folgerichtig, dass der Verkehr auf internen, virtuellen Netzwerken mindestens so gut überwacht wird, wie derjenige auf den konventionellen Netzwerken.
4. Ein weiteres Risiko in Virtualisierungsprojekten ist gemäss Gartner, dass Applikationen mit unterschiedlichen Sicherheitsanforderungen auf den gleichen physischen Servern laufen. Gartner empfiehlt, dass man Applikationen mit tiefem Sicherheitsniveau (Desktop-Virtualisierung) nicht auf den gleichen Servern laufen lassen darf, wie solche mit sehr hohen Anforderungen.
5. Zu wenig Kontrolle über den Zugang zur Virtualisierungsschicht: Gartner kritisiert, dass der Zugang zu den Verwaltungswerkzeugen für virtualisierte Umgebungen noch zuwenig strikt geregelt wird.
6. Vermischung der Administratoren-Privilegien. In ein ähnliches Kapitel wie Risiko 5 gehört der letzte Punkt, den Gartner anspricht. Wenn viele physische Server auf einen einzigen konsolidiert werden, so erhöht sich die Gefahr, dass Administratoren aber auch andere User Zugang zu Daten bekommen, die sie nichts angehen. Ausserdem ist gemäss Gartner oft unklar, wer in der IT für die Konfiguration der virtuellen Switches zuständig ist. Gartner empfiehlt, dass das gleiche Team die Netzwerk-Topologie und die virtuellen Switches konfiguriert. (Christoph Hugenschmidt)

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Gartner: Nachfrageschwäche für PCs hält an

Sowohl Unternehmen als auch Consumer werden dieses Jahr weiterhin Ausgaben scheuen und ihre alten Geräte länger benutzen, anstatt neue zu kaufen, sagt der Marktforscher.

publiziert am 1.2.2023