Schwachstellen gibt es in allen Betriebsystemen und Anwendungen, doch eine virtuelle Anwendung stellt hier zusätzlich sehr hohe Anforderungen an die Hersteller und auch an die Sicherheitsindustrie. Generell sind die Schädlinge wie Rootkits und moderne Viren so intelligent programmiert, dass sie virtuelle Umgebungen erkennen und sich dementsprechend verhalten, um nicht erkannt zu werden. Ein Rootkit nützt die Schwachstellen des virtuellen Betriebsystems zu seinen Gunsten aus, und ein intelligenter Virus wird sich gar nicht erst selbst ausführen oder installieren.
An der Universität Michigan haben zahlreiche Forscher in Zusammenarbeit mit dem Microsoft Research Institute diesen Rootkit zu Demonstrationszwecken sowohl für Windows als auch für Linux-Systeme entwickelt. Mit SubVirt wird als Proof-of-Concept-Programm gezeigt, wie sich ein Schadprogramm unter Ausnutzung der neuen virtualisierten Techniken unsichtbar installiert. Die Forscher nennen diese Technik «Virtual Machine Based Rootkit» (VMBR).
Für Viren-Analysten gehörten bislang virtuelle Maschinen zu den wichtigsten Werkzeugen. Damit sie sich über mögliche Folgen einer Infektion keine Sorgen machen mussten, wurden sämtliche Viren in virtuellen Umgebungen ausgeführt und untersucht. Der Analyst kann hierdurch die Viren im Labor auf ihr Verhalten hin detailliert studieren. Da es nicht möglich ist, den Virus einfach zu disassemblieren und so seine Bauanleitung zu studieren, ist ein praktischer Test unumgänglich.
Zahlreiche Malware-Programme sind heute aber in der Lage, zwischen realen und virtuellen Umgebungen zu unterscheiden. Merkt ein Virus, dass er sich in einer virtuellen Umgebung befindet, dann stellt er sich komplett tot, um so dem Analysten keinerlei Anhaltspunkte zu geben. Die Programmier der Viren sehen es quasi als einen Wettbewerb, dem Anti-Viren-Fachmann einen Schritt voraus zu sein, und setzen sehr viel daran, diesen auszutricksen.
Es ist eine Tatsache, dass immer mehr Malware diesen Schutzmechanismus beinhaltet, andererseits wird heute in der IT-Welt immer mehr und schneller virtualisiert, da ein hoher Kostendruck vorhanden ist. Man darf daher davon ausgehen, dass bald eine Trendwende einkehrt und sich die Malware dann nicht mehr vor virtuellen Umgebungen tarnen, sondern diese gezielt angreifen wird; ein Umstand der sich positiv auswirkt, da sich die Antiviren-Hersteller etwas einfallen lassen müssen.
Leider gehen viele Administratoren fahrlässig mit der Sicherheit in virtuellen Umgebungen um, obwohl dort noch ein höheres Sicherheitskonzept wie in herkömmlichen Umgebungen anzustreben ist. Man muss sich bewusst sein, dass nur einige der herkömmlichen Sicherheitsmethoden für Server auch in einer virtualisierten Umgebung angewendet werden können. Die Administratoren sind auf ein durchdachtes, sicheres virtuelles Betriebssystem (Host) angewiesen. Die Hersteller haben hier sicher noch einiges an Potential, sich zu verbessern. Andererseits müssen auch die darauf laufenden Sessions (wie beispielsweise Windows Server, Linux Server usw.) wie ein herkömmliches Betriebssystem punkto Sicherheit behandelt werden.
Hersteller von Virtualisierungslösungen geben nach langem Schweigen endlich auch zu, dass man diverse Sicherheitsfirmen mit Details über einige Programmierschnittstellen versorgt, um virtuelle Maschinen wesentlich sicherer zu machen. Bislang hatten die Hersteller den Zugang zu ihren Codes stark eingeschränkt und auch keine offiziellen Angaben über das Sharing der eingesetzten APIs gemacht. Doch nun gäbe es bereits intensive Kooperationen mit McAfee und Symantec, um die Vision von sicheren virtuellen Plattformen zu realisieren.
Damit die Unternehmen mit Sicherheit in virtuellen Umgebungen richtig umgehen können, gibt es ein paar Sicherheitsregeln zu beachten.
Als Basis gilt für die Unternehmen, ihre administrativen Zuständigkeiten sinnvoll aufzuteilen. Dabei sind Aspekte wie das Patching, die Aktualisierung von Virensignaturen und die Sabotage-Sicherung für den Offline-Betrieb der virtuellen Maschinen zu regeln und zu gewährleisten.
Ein regelmässiges Patching der virtuellen Maschinen auf dem darunterliegenden Betriebssystem (Host) bietet eine hohe Eintrittsbarriere. Eine sinnvolle Rechteverwaltung auf der Host-Ebene mit einer begrenzten Einsicht sowie der Einsatz von virtuellen Netzwerken gewährleisten einen weiteren einfachen, aber guten Schutz.
Um die Sicherheit wesentlich zu erhöhen, ist nach Möglichkeit jedem virtuellen Server eine dedizierte Netzwerkkarte zuzuordnen, welche nicht in das interne Netzwerk geroutet wird, sondern den Netzwerkverkehr direkt in eine DMZ leitet. Die Zuordnung von physischen Netzwerkkarten zu jeweils einer virtuellen Maschine verhindert, dass Verkehr aus anderen virtuellen Systemen, welcher am gleichen Netzwerk-Interface anliegt, gesniffed oder anderweitig manipuliert wird. Auch das Hopping zwischen virtuellen Systemen und den zugehörigen Subnetzen auf der gleichen Netzwerkkarte wird so verhindert.
Die dedizierte physische Zuordnung macht bei Webservern wie auch bei Mail-Servern, welche sehr nahe am Internet stehen, einen Sinn. Ein Angreifer kann dann allenfalls höchstens den virtuellen Server attackieren und hacken, erhält aber dennoch keinen Zugriff auf das interne oder ein anderes Netzwerk, um darin noch weitaus grösseren Schaden anzurichten.
VMware bietet in ihrer neuen Intel-Server-Version neu auch ein paar einfach handzuhabende Schutzmechanismen an. Einerseits besteht nun die Möglichkeit, mit der Konsole verschlüsselt per SSL zu kommunizieren. Andererseits kann jede VMware-Session in einem privaten Modus laufen und einem dedizierten User-Konto zugeordnet werden. Damit wird verhindert, dass jemand unbefugt die Session herunterfahren oder auch starten kann.
Solche einfachen, aber bereits implementierten Schutzmechanismen sollten unbedingt verwendet werden. Auch Kleinigkeiten, die nicht einer Standard-Installation entsprechen, machen es einem potentiellen Angreifer immer schwerer, ein System zu penetrieren. Er wird im ersten Schritt immer versuchen, über den herkömmlichen Weg in ein System einzudringen. Eine solch einfache Barriere kann ihn auch davon abbringen, hier noch weiterzumachen, und ihn veranlassen, sich ein neues Opfer zu suchen.
Die professionelle Vmware Version ESX bietet sicherheitstechnisch noch einiges mehr an nützlichen Features an. Zum Beispiel ist es möglich, den Netzwerkverkehr auf die Konsole mittels SSH mit 256 Bit oder 128-Bit-AES zu verschlüsseln. Aus Sicherheitsgründen wird kein Root-Zugriff mehr in der aktuellen ESX-Version als Remote-User erlaubt. Daneben werden über ein Rollen-/Zugriffskonzept die Privilegien (Virtual Machine User) auf dem Host in die Tiefe geregelt.
Es versteht sich von selbst bei virtuellen Systemen, die Services im Internet anbieten (Web, FTP,
E-Mail etc.), dass diese durch Hardware-Firewalls und IPS-Systeme geschützt werden müssen. Auch hier gilt der Grundsatz: Nur die wirklich zwingend nötigen Ports von der Firewall auf den Host zulassen.
Somit lässt sich final sagen, dass virtuelle Systeme zwar Kosteneinsparungen und Effizienzsteigerungen bringen können, jedoch nicht gleichzeitig höhere Sicherheit bedeuten. Eher der Umkehrschluss wäre hier zutreffend. Sicherheit ist und bleibt ein Thema, das oft auf finanzielle Aspekte reduziert wird, ohne die Auswirkungen genau zu betrachten. Marketing-Folien und oberflächliche ROI-Rechnungen seitens der Hersteller unterstützen diese Situation wesentlich.
Als Integrator müssen wir diesen Bestrebungen immer entgegenwirken und darauf bedacht sein, die für den Kunden passende Lösung zu finden. Diese muss eingehend geplant werden, wie auch das Proof of concept sicherzustellen ist. Nur so kann man auch bei der Verwendung von virtuellen Systemen jetzt und in Zukunft die Stabilität aller Systeme gewährleisten. Und nur so lässt sich letztlich der Unternehmenserfolg sicherstellen.
