Das Aus für den „Zoo“

Zwei Ansätze zum Schutz virtualisierter Rechenzentren

Virtuelle Umgebungen zeichnen sich aus durch eine außerordentliche Flexibilität, Steuerbarkeit, Fehlertoleranz und ökonomische Effizienz. Doch um sie vor äußeren Bedrohungen zu schützen, muss man eine Reihe von Schwierigkeiten überwinden, und – wenn das nicht gelingt – den Problemen nicht aus dem Wege gehen. Das gilt sowohl für jede einzelne virtuelle Maschine als auch für Rechenzentren insgesamt.

Vireninfektionen in virtuellen Umgebungen kommen mit deprimierender Häufigkeit vor, besonders betroffen sind VDI-Umgebungen: Die Mitarbeiter unserer Auftraggeber machen auf ihren virtuellen Workstations, was sie wollen, und die IT-Sicherheitshygiene spielt dabei keine große Rolle, da sie davon ausgehen, dass sowohl ihre eigene IT-Abteilung als auch der Service-Provider jeglicher Schadsoftware einen Riegel vorschiebt.

Dabei hat der Provider in den meisten Fällen noch nicht einmal das Recht, in die Rechner der Kunden einzudringen, sondern er muss vielmehr von ihnen fordern, sich selbst zu schützen. Viele Kunden verhalten sich diesbezüglich auch sehr verantwortungsvoll und installieren eine Schutzlösung der Kategorie Endpoint Protection – und zwar jeder, welche er möchte.

Es kommt aber auch vor, dass ein Kunde – egal, was auch immer der Provider verlangt – die Risiken in Kauf nimmt und rein gar nichts zum Schutz seiner virtuellen Maschine(n) unternimmt. Keine Frage – seine Probleme werden im Endeffekt auf den Provider zurückfallen. Und der Provider ist gezwungen, sich der Sache mit aller Ernsthaftigkeit anzunehmen und seine Schutzstrategie grundlegend zu ändern. (Mehr über mit der Sicherheit zusammenhängende Business-Probleme, mit denen Rechenzentren konfrontiert sind, lesen Sie hier.

In virtualisierten Rechenzentren werden Informationen auf virtuellen Maschinen und in Datenspeichersystemen gespeichert und verarbeitet. Das sind völlig unterschiedliche Technologien, von denen jede unterschiedliche Schutzansätze erforderlich macht, wobei es jeweils vielfältige Nuancen gibt.

Nuancen des Schutzes einer virtuellen Umgebung

Wenn also der Service-Provider sich nicht mit dem Schutz der virtuellen Maschinen seiner Kunden befasst, so tun das die Kunden selbst, jeder auf seine Art. Einerseits ist das gar nicht mal so schlecht, denn jeder kann sich die Schutzlösung nach seinem eigenen Geschmack selbst aussuchen. Doch in der Praxis erweist sich ein solcher Ansatz nicht nur als ineffizient, denn der auf den Maschinen der Kunden auf diese Weise herangezüchtete „Zoo“ verursacht seinerseits wieder eine Unmenge von Problemen:

  • Verschwenderischer Einsatz von Hardwareressourcen. Das Sicherheitssystem auf jedem Rechner ist mit einem ganzen Komponentensatz ausgestattet: Antivirus-Engine, Signatur-Datenbank, Firewall und so weiter. Jede Komponente belegt ihren Anteil an der Prozessorzeit, dem Arbeitsspeicher, dem Festplattenraum.
  • ‚Stürme‘. Zeitlich zusammenfallende Antiviren-Scans und Updates der AV-Lösungen auf mehreren virtuellen Maschinen gleichzeitig führen zu einem extremen Anstieg des Ressourcenverbrauchs, was wiederum zu Einbußen bei der Performance der gesamten Plattform führt und unter Umständen auch zu einem Denial of Service. Natürlich kann man Schutzsoftware auch manuell so konfigurieren, dass ‚Stürme‘ nicht zugelassen werden, doch der Zeitaufwand bei hunderten virtuellen Maschinen ist nicht unerheblich.
  • Panikattacken. Häufig ist ein Sicherheitssystem so eingestellt, dass der Schutz bei Entdeckung von Viren auf der Maschine verstärkt wird. Ein „paranoides“ Set von Sicherheitsregeln wird aktiviert, außerplanmäßige Scans werden gestartet. Das kann zu einer erhöhten Belastung auf der Host-Maschine führen und sich negativ auf die Performance der benachbarten virtuellen Maschinen auswirken.
  • Instant-Sicherheitslücken. Virtuelle Maschinen sind häufig nicht aktiv, so lange sie nicht bei Bedarf gestartet werden. So lange sie inaktiv sind, wird keine einzige Komponente des Sicherheitssystems aktualisiert, und in der Zeit zwischen dem Start und der Aktualisierung der Schutzsoftware ist die Maschine angreifbar.
  • Inkompatibilität. Virtuelle Maschinen sind in vielerlei Hinsicht physischen Rechnern ähnlich, doch einige Aspekte unterscheiden sich komplett. Sie verwenden beispielsweise Festplatten, die dynamisch den Umfang verändern und direkt während der Arbeitszeit migrieren können. Standard-Sicherheitssysteme, die für physische Rechner entwickelt wurden, berücksichtigen die Nuancen der Funktion virtueller Systeme nicht, was zu Verzögerungen, Abstürzen und sogar zu einer kompletten Funktionsunfähigkeit führen kann.

Im Endeffekt muss der Service-Provider diese Probleme lösen, und zwar regelmäßig. Vermeiden lässt sich das nur auf eine Art: Man muss von vornherein das Heranzüchten eines „Zoos“ verhindern, indem man den Kunden als Bedingung die Wahl zwischen mehreren getesteten, spezialisierten Schutzlösungen für virtuelle Umgebungen überlässt.

Agentenlos oder mit Agent

Der entscheidende Vorteil von Sicherheitssystemen für Virtualisierung, wie z.B. Kaspersky Security for Virtualization eine ist, besteht darin, dass die Engine und die Antiviren-Datenbanken auf eine separate virtuelle Maschine ausgelagert sind (Security Virtual Appliance, SVA), die den Schutz aller Maschinen gewährleistet, die auf dem Hypervisor gestartet sind.

Die Vorteile einer solchen Lösung liegen auf der Hand: Den Schutz für hunderte Maschinen übernimmt eine einzelne Antiviren-Engine auf der SVA, die ununterbrochen läuft und operativ aktualisiert wird. Alle Maschinen erhalten damit einen Schutz auf hohem Niveau, und der Scan-Zeitplan für die virtuellen Maschinen ist so eingerichtet, dass außerordentliche Belastungen, die sich auf die gesamte Umgebung auswirken, ausgeschlossen werden.

Dabei arbeitet die Schutzlösung für Virtualisierung mit zwei sich wesentlich unterscheidenden Schutzansätzen: mit Agent (mit leichtem Agenten) und agentenlos. Dem Auftraggeber steht es frei, den für ihn am besten passenden Ansatz zu wählen oder sogar beide Ansätze zu kombinieren.

Die Schutzlösung ohne Agent, deren Komponenten ausschließlich auf der SVA laufen, hat eine Reihe ernsthafter Einschränkungen. Nur für die Arbeit in Umgebungen auf Basis von VMware-Produkten vorgesehen, ist die Lösung nicht in der Lage, mit Prozessen im Speicher der virtuellen Maschinen zu arbeiten, wobei lediglich der Scan des Dateisystems und des eingehenden Netzwerkdatenstroms gewährleistet wird. Das heißt, sie kann faktisch nur Dateien scannen und Netzwerkattacken blockieren. In einigen Fällen ist das vollkommen ausreichend, und obendrein gewährleistet eine agentenlose Lösung praktisch sofortigen Schutz gleich nach ihrem Start. Auf den Kundenrechnern selbst muss nichts installiert werden.

Das Aus für den "Zoo"

Agentenloser Ansatz zum Schutz virtueller Umgebungen am Beispiel der Lösung Kaspersky Security for Virtualization | Agentless

Das Sicherheitssystem mit leichtem Agenten bietet das gesamte Spektrum von Schutztechnologien (Arbeit mit Prozessen im Speicher, Anwendungskontrolle, Webbrowser-Schutz usw.), ohne viele Ressourcen zu verschwenden, da Scan-Engine und Datenbanken sich auf der SVA befinden. Ein solcher Ansatz bietet eine Funktionalität, die der von Lösungen der Klasse Endpoint-Sicherheit sehr ähnlich ist. Allerdings muss auf jeder virtuellen Maschine ein leichtgewichtiger Agent installiert werden, so dass die Sicherheitslösung vollen Zugriff auf das System hat. Das könnte als lästig empfunden werden, doch viele Virtualisierungsszenarien sehen die Verwendung von VM-Vorlagen vor. In diesem Fall könnte der Agent in der Vorlage vorinstalliert werden, so dass jede virtuelle Maschine mit dieser Vorlage auch automatisch über den Agenten verfügen würde und damit auch über einen Instant-Schutz sofort ab Start der Maschine.

Das Aus für den "Zoo"

Ansatz zum Schutz virtueller Umgebungen mit leichtem Agenten am Beispiel der Lösung Kaspersky Security for Virtualization | Light Agent

Welche der zwei vorgestellten Lösungen man wählt, hängt von den Begleitumständen ab.

Häufig kann der Provider nicht garantieren, dass der Kunde über eine Schutzlösung verfügt, was ein potentielles Loch im Schutz von Rechenzentren aufreißt. Dabei ist es möglich, dass der Kunde seine Gründe dafür hat, auf seinen Maschinen keine wie auch immer geartete Dritt-Software zu installieren. In diesem Fall ist die agentenlose Schutzlösung die beste Wahl.

In anderen Fällen vereinbaren Provider und Kunde von vornherein, dass auf den virtuellen Maschinen eine vom Provider getestete und empfohlene Schutzlösung installiert wird. Dann sollten am besten spezialisierte Sicherheitssysteme zum Schutz virtueller Umgebungen mit leichtem Agenten eingesetzt werden, wodurch ein maximales Schutzniveau bei minimalen Begleitproblemen gewährleistet wird.

Ein gesonderter Fall ist die in einem Rechenzentrum beherbergte Virtual-Desktop-Infrastruktur (VDI). Wenn virtuelle Maschinen als Workstations genutzt werden, ist jede von ihnen während der alltäglichen Arbeit einer Vielzahl von Bedrohungen ausgesetzt. Ein Mitarbeiter kann sich einen Schädling einfangen, wenn er eine Website besucht; er kann eine Mail mit verseuchtem Anhang erhalten, und schließlich werden Schadprogramme auch häufig über mobile Datenträger verbreitet, die oft von Hand zu Hand gehen.

Bei einem solchen Spektrum möglicher Infektionsvektoren ist eine agentenlose Lösung nicht ausreichend: Aufgrund ihrer eingeschränkten Funktionalität ist das Infektionsrisiko deutlich höher. Und wird eine Infektion im Prinzip erkannt, so geschieht das höchstwahrscheinlich zu spät, um noch Schaden abzuwenden. Andererseits ist ein Sicherheitssystem mit leichtem Agenten in der Lage, vor einer viel größeren Zahl von Bedrohungen zu schützen, da es die zu startenden Programme überprüft, den Nutzer präventiv nicht auf gefährliche Websites surfen lässt und geschützte Prozesse im System kontrolliert.

Es gibt noch eine dritte, und zwar die ressourcenintensivste Variante zum Schutz virtueller Maschinen. Man kann eine „normale“ Schutzlösung der Kategorie Endpoint-Schutz mit vollständigem Agenten benutzen. Das ist ein akzeptabler Ausweg, wenn kein Zugriff auf den Hypervisor besteht (beispielsweise in öffentlichen Clouds wie Amazon oder Azure), oder wenn im Rechenzentrum ein nicht sehr weit verbreiteter Hypervisor verwendet wird, mit dem spezialisierte Schutzlösungen nicht arbeiten können. „Normale“ Sicherheitssysteme werden schließlich unter einem breiteren Spektrum von Betriebssystemen herausgegeben, beispielsweise kann man mit ihrer Hilfe auch virtuelle Maschinen schützen, die unter Mac OS laufen.

Dabei muss allerdings berücksichtigt werden, dass ein Sicherheitssystem, das nicht für die Arbeit in einer virtuellen Umgebung vorgesehen ist, nicht unbedingt vollständig mit bestimmten virtuellen Maschinen kompatibel ist, und auf ihnen daher möglicherweise nicht korrekt oder womöglich gar nicht funktioniert. Die Lösung eines solchen Problems kann unter Umständen äußerst zeitaufwändig sein.

Sorge um die Speicher

Die Infektion von Network Attached Storage stellt eine Bedrohung für das gesamte Rechenzentrum dar, und die Datenspeichersysteme benötigen mehr als alles andere einen Antiviren-Schutz. Ohne diesen ist eine Epidemie möglich, insbesondere dann, wenn nicht alle Maschinen in dem Rechenzentrum an eine Schutzlösung für virtuelle Umgebungen gekoppelt sind.

Die Infektion von Network Attached Storage stellt eine Bedrohung für das gesamte Rechenzentrum dar, und die Datenspeichersysteme benötigen mehr als alles andere einen Antiviren-Schutz. Ohne diesen ist eine Epidemie möglich, insbesondere dann, wenn nicht alle Maschinen in dem Rechenzentrum an eine Schutzlösung für virtuelle Umgebungen gekoppelt sind.

disbanding_zoo_de_3

Verschiedene Typen von Datenspeichersystemen im Netz

Daten, die in einem NAS bewahrt werden, müssen so lange geschützt werden, bis die Kundenmaschinen sie erhalten, das bedeutet, Unterstützung von Seiten des NAS selbst ist nötig. Glücklicherweise können die meisten NAS mit externen Schutzlösungen arbeiten und unterstützen zu diesem Zweck eine Reihe spezieller Protokolle.

Das Aus für den "Zoo"

Funktionsprinzip einer Lösung zum Schutz von NAS

Bei einer Dateianfrage durch den Kunden mit NAS (1) sendet der Speicher die Datei an den Server des Sicherheitssystems (2). Nachdem er die Datei überprüft hat, informiert der Server den Speicher über das Resultat (3). Je nach Urteil der Antivirenlösung gibt der NAS die Datei heraus oder verbietet den Zugriff auf sie (4). Für eine größere Sicherheit im Netz können mehr als ein Schutzserver eingesetzt werden. Im normalen Arbeitsmodus balanciert der Datenspeicher selbst die Belastung zwischen ihnen aus.

Fazit

Beim Schutz virtualisierter Rechenzentren gibt es keine ultimative Silberkugel, die alle Probleme löst – und es kann sie auch nicht geben. Möglich ist lediglich eine optimale Auswahl an Sicherheitssystemen auf der Grundlage einer ausgewogenen Einschätzung einer Vielzahl von Faktoren.

Eine agentenlose Lösung ist geeignet für den Schutz von Datenbank-Servern, Webservern im Internet und Maschinen, denen es nicht erlaubt ist, andere Software zu hosten, als eine festgelegte Auswahl an Apps.

Wenn der Kunde die Möglichkeit hat, zwischen mehreren, vom Provider für gut befundenen spezialisierten Schutzlösungen zu wählen, so wäre eine Lösung mit leichtem Agenten die beste Wahl. Sie ist geeignet für den Schutz von Webservern, virtuellen Workstations, Servern zur Verarbeitung vertraulicher Daten.

Nirgends ist Flexibilität so wichtig wie beim Schutz virtueller Umgebungen, und Kaspersky Lab bietet beide Lösungen – eine agentenlose und eine mit leichtem Agenten – unter einer Lizenz. Dadurch erhält der Auftraggeber die Möglichkeit, zwischen diesen Varianten zu wählen oder sie bei Bedarf zu kombinieren, beispielsweise in Umgebungen mit mehreren unterschiedlichen Hypervisoren oder für eine effizientere Lösung verschiedener Aufgaben. Weitere detaillierte Informationen finden Sie hier.

Das Wichtigste ist, sich rechtzeitig um den Schutz zu kümmern – bevor eine Unmenge unangenehmer und teurer Probleme auftreten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.