ADMIN

2021

02

2021-02-01T12:00:00

Sichere Virtualisierung

AKTUELL

010

Virtualisierung

Interview

Interview

»Viele Schwachstellen sind weniger technischer als vielmehr sozialer Natur«

Redaktion IT-Administrator

Veröffentlicht in Ausgabe 02/2021 - AKTUELL

Virtualisierung erhöht die Komplexität in der IT-Infrastruktur und macht damit auch die Aufgabe schwieriger, das Netz sicher zu halten. Wir sprachen mit Torsten Mutayi, Principal Consultant und Trainer bei der Söldner Consult GmbH, über die Herausforderungen für den Admin.

IT-Administrator: Inwieweit ist die Sicherheit von Virtualisierungsplattformen abhängig von der Infrastruktur des Unternehmens?
Torsten Mutayi: Tatsächlich sind viele Schwachstellen weniger technischer als vielmehr sozialer Natur. Typische Beispiele hierfür sind etwa die zur Authentifizierung benötigte Smartcard, die aus Bequemlichkeit in der Mittagspause im Kartenleser bleibt, oder dass Passworte einem beliebigen Anrufer, der sich als Administrator ausgibt, bereitwillig mitgeteilt werden. Eine große Gefahr bildet auch die Schwachstelle "USB": Sind beliebige USB-basierte Tastaturen oder Mäuse erlaubt, kann etwa eine geschenkte Designer-Maus, mit einem fingierten Anschreiben eines Lieferanten, am USB-Port beliebige Tastatur- oder Mausoperationen ausführen. Die Sicherheit der Virtualisierung lässt sich daher auf keinen Fall isoliert betrachten.
Welche besonderen Herausforderungen der Sicherheit gibt es denn allgemein in oder durch Virtualisierung? Stichwort Livemigration.
IT-Administrator: Inwieweit ist die Sicherheit von Virtualisierungsplattformen abhängig von der Infrastruktur des Unternehmens?
Torsten Mutayi: Tatsächlich sind viele Schwachstellen weniger technischer als vielmehr sozialer Natur. Typische Beispiele hierfür sind etwa die zur Authentifizierung benötigte Smartcard, die aus Bequemlichkeit in der Mittagspause im Kartenleser bleibt, oder dass Passworte einem beliebigen Anrufer, der sich als Administrator ausgibt, bereitwillig mitgeteilt werden. Eine große Gefahr bildet auch die Schwachstelle "USB": Sind beliebige USB-basierte Tastaturen oder Mäuse erlaubt, kann etwa eine geschenkte Designer-Maus, mit einem fingierten Anschreiben eines Lieferanten, am USB-Port beliebige Tastatur- oder Mausoperationen ausführen. Die Sicherheit der Virtualisierung lässt sich daher auf keinen Fall isoliert betrachten.
Welche besonderen Herausforderungen der Sicherheit gibt es denn allgemein in oder durch Virtualisierung? Stichwort Livemigration.
Eine Livemigration verschiebt vor allem den Speicherinhalt einer virtuellen Maschine. Im Speicher könnten sich vertrauliche Daten befinden, die der Nutzer normalerweise nur nach erfolgreicher Authentifizierung sieht. Kann ein Angreifer die Migrationsdaten etwa durch Manipulation der Switch-Konfiguration mit einem Port-Mirror abfangen, kommt er so eventuell in den Besitz vertraulicher Daten. Durch den Einsatz von Verschlüsselung lässt sich dieses Risiko jedoch minimieren.
Von Expertenseite wird in diesem Zusammenhang oft die Sicherung des Netzwerks hervorgehoben. Was ist Ihre Meinung dazu und welche Rolle spielen virtuelle Switches dabei?
Herkömmliche virtuelle Switches sind zunächst nur eine Erweiterung der Unternehmensnetzwerke hin zu den virtuellen Maschinen und bieten keinen wesentlichen zusätzlichen Schutz. Anders sieht es aus, wenn erweiterte Funktionen wie zum Beispiel private VLANs oder VMware NSX zum Einsatz kommen. Die in NSX integrierte Firewall schützt VMs bereits auf der Ebene der virtuellen Switches – diese Firewall läuft außerhalb der VM und lässt sich daher auch nicht abschalten.
»Herkömmliche virtuelle Switches bieten keinen wesentlichen Schutz.«
Was ist bei Firewalls zu beachten?
Virtuelle Firewalls wie etwa die NSX Distributed Firewall arbeiten grundsätzlich die Regeln in der vorgegebenen Reihenfolge ab. Die Entscheidung, ob ein Paket erlaubt oder verworfen wird, fällt bei der ersten Regel, die zu dem untersuchten Paket passt. Folglich ist die richtige Reihenfolge der Regeln wichtig. Lassen sich die Regeln ohne Änderung der Funktion neu sortieren, empfiehlt es sich, Regeln, die häufig eine Entscheidung herbeiführen, weiter oben in der Liste anzuordnen. Dies kann sich positiv auf die Gesamtperformance auswirken und Latenzen beim Verbindungsaufbau minimieren. Auch müssen Administratoren Skalierbarkeitsgrenzen beachten. Zum Beispiel erlaubt die erwähnte Firewall von NSX bis zu 100.000 Regeln, allerdings lassen sich davon nur maximal 4000 auf einer beliebigen virtuellen Netzwerkkarte anwenden.
Muss sich der Admin eigentlich schon bei der Auswahl der Virtualisierungsplattform Gedanken machen, ob ein Hersteller weniger Sicherheit mitbringt als der andere?
Was die Grundfunktionen betrifft, gleichen sich die Hersteller bei der Sicherheit. Erweiterten Schutz sehen wir momentan in der Praxis nur bei VMware und Nutanix. Hier hat VMware seit der Einführung von NSX im Jahr 2013 technisch sicher die Nase vorne und die neueste Version bietet nun auch ein IDS/IPS-System.
Gibt es Best Practices für die Sicherheit der Virtualisierung, die Sie jedem Admin empfehlen?
Hier möchte ich drei nennen: Als Erstes natürlich, die sicherheitsrelevanten Patches der Hersteller zeitnah einzuspielen. Für die Nachvollziehbarkeit sollten nur personalisierte Adminkonten zum Einsatz kommen, also kein "Administrator" et cetera. Und schließlich der Einsatz eines geeigneten Logmanagements, das im Idealfall Auffälligkeiten eskaliert.
Welche Drittanbietertools können helfen, die Virtualisierung zu sichern?
Der Hersteller Runecast hat sich hier einen Namen im Umfeld von VMware und inzwischen auch der Cloud gemacht. Für VMware-Umgebungen empfehlen wir daher den Runecast Analyzer, der die Konfiguration von vSphere auf die Einhaltung gängiger Empfehlungen prüft. Alles Weitere ist dann eine Frage des Budgets: In großen und sicherheitskritischen VMware-Umgebungen empfehlen wir den Einsatz von VMware NSX zum Schutz des Netzwerks.
Wir danken für das Gespräch!