IT-Security in Unternehmen

Risiken in virtualisierten Umgebungen minimieren

02.10.2013 von Frederik Bijlsma
Bei der IT-Sicherheit in Unternehmen geht es prinzipiell um das Aufspüren von Risiken und ihre Beseitigung. Doch viele Unternehmen unterschätzen diese scheinbar leichte Aufgabe, da sie das Gefahrenpotenzial nicht wirklich bewerten können.

Laut Gartner sind 50 Prozent der Server heute virtualisiert - und die Zahl steigt. Sicherheit in virtualisierten Umgebungen wird damit für alle Unternehmen zu einer zentralen Herausforderung. Obwohl die Sicherheitsbedrohungen in einer virtuellen Umgebung nicht gefährlicher sind als in einer traditionellen Infrastruktur, ist der Weg, wie gerade mittelständische Unternehmen mit dieser Herausforderung umgehen, ein anderer.

Einer der großen Vorteile von Virtualisierung ist die Geschwindigkeit und Flexibilität, mit der virtuelle Maschinen (VMs) eingerichtet werden können. Diese Stärke wird gleichzeitig zu einer Schwachstelle für die Sicherheit, da neue Workloads aufgrund des schnellen Ausrollens der VMs (Deployment) nicht sofort erkannt und verwaltet werden können. Wenn immer mehr Workloads virtualisiert sind, wenn Workloads unterschiedlicher Sicherheitsstufen miteinander kombiniert werden und wenn virtualisierte Workloads zunehmend mobil verfügbar sind, werden auch die mit der Virtualisierung verbundenen Sicherheitsanforderungen wesentlich komplexer.

Ein großes internationales Unternehmen fand vor Kurzem heraus, dass Tausende von bisher unerkannten virtuellen Maschinen in der IT-Infrastruktur vorhanden waren. Dieses Szenario wäre in einer nicht-virtualisierten Umgebung undenkbar oder nahezu ausgeschlossen. Nicht verwaltete virtuelle Systeme sind aber in größeren Unternehmen keineswegs die Ausnahme. Der Grund: Entwickler, die die Vorteile von Virtualisierung und Hybrid Clouds nutzen, können solche Systeme schnell online bringen - und ebenso schnell können sie wieder in Vergessenheit geraten.

Wie sich IT-Sicherheit und Cloud Security unterscheiden
Datenverluste und das Kompromittieren von unternehmenskritischen Informationen sind in traditionellen IT-Infrastrukturen und Cloud-Computing-Umgebungen auf unterschiedliche Faktoren zurückzuführen, so die IT-Firmen Symantec und Intel. In Unternehmensnetzen sind dafür drei Faktoren verantwortlich:
Wohlmeinende Mitarbeiter:
Sie verzichten fahrlässig auf das Verschlüsseln von wichtigen Daten oder nehmen Geschäftsinformationen auf USB-Sticks oder privaten Mobilgeräten mit nach Hause. Weitere potenzielle Gefahren durch solche Mitarbeiter: der Verlust von Mobilsystemen wie Notebooks oder die Weitergabe von Account-Daten an Kollegen.
Böswillige Mitarbeiter:
Sie verschaffen sich gezielt Zugang zu Geschäftsdaten, um diese zu verkaufen oder für persönliche Zwecke zu missbrauchen. Ein typisches Beispiel: Ein Mitarbeiter kopiert vor dem Wechsel zu einem Konkurrenten Kundendaten, Preislisten oder Projektunterlagen.
Cyber-Kriminelle:
Sie verschaffen sich meist über ungenügend abgesicherte Endgeräte wie PCs, Notebooks und Smartphones Zugang zum Firmennetz und kopieren verwertbare Informationen.
Spezielle Risiken für Cloud Security:
In Cloud-Computing-Umgebungen kommen zu den genannten potenziellen Risiken weitere hinzu. Dazu zählt die Nutzung von Cloud-Services ohne Wissen der IT-Abteilung. Dies können Online-Storage-Dienste wie Dropbox sein, aber auch CRM-Angebote wie Salesforce. Das „Aussperren“ der IT-Fachleute torpediert eine unternehmensweite IT- und Cloud-Security- Strategie.
Spezielle Risiken für Cloud Security:
Ein weiterer Faktor ist das verteilte Speichern unternehmenskritischer Daten: Sie lagern teilweise auf IT-Systemen im Unternehmensnetz, teils auf denen des Cloud-Computing-Service- Providers. Dies erschwert es, den Zugriff auf diese Informationen zu reglementieren und ihren Schutz sicherzustellen.
Spezielle Risiken für Cloud Security:
Ein dritter Punkt: Cyber-Kriminellen und „böswilligen Insidern“ stehen mehr Angriffspunkte zur Verfügung: das Unternehmensnetz, die Cloud-Computing-Umgebung des Providers und die Kommunikationswege zwischen Kunde und Cloud-Service-Provider.

Die Systemadministration wird oft beschuldigt, Geschäftsprozesse zu behindern. Heutzutage haben aber auch Self-Service-Technologien dazu geführt, dass eine größere Anzahl von Mitarbeitern mehr IT-Services ordern. Für das Unternehmen kann das von Vorteil sein, da schnellere Reaktionszeiten möglich werden. Allerdings liegt der Fokus dabei nicht zwangsläufig auf der Schaffung sicherer Umgebungen.

Generell sind es vor allem die Ungewissheit und die "Unbekannten", die IT-Security-Verantwortliche beunruhigen, da man nicht verwalten kann, was man nicht kennt. Das ist nicht nur eine Herausforderung in der Open-Source-Welt, sondern auch in proprietären Umgebungen. Einer der häufigsten Lösungsansätze ist hier die Implementierung einer Virtualisierungs-Management-Software, um zu gewährleisten, dass Sicherheits- und Compliance-Regeln bei allen implementierten Virtualisierungsplattformen überprüft werden.

Vielschichtige Sicherheitsaspekte beachten

Idealerweise ist die Sicherheit von Anfang an in die IT-Architektur integriert. Das von Grund auf sicherzustellen, ist allerdings eine Herausforderung, da Deployments auf der grünen Wiese die Ausnahme sind und die Mehrzahl der Business-IT-Architekturen sich im Laufe der Zeit entwickelt hat.

Eine zusätzliche Herausforderung ergibt sich, sobald die strategische Entscheidung zur Einführung von Virtualisierung und Migration von Prozessen getroffen wird. Das ist der Punkt, an dem es interessant wird. In bestehenden IT-Umgebungen existieren komplexe Legacy-Systeme und so müssen IT-Verantwortliche eine Vielzahl an Security-Aspekten betrachten, wenn sie Virtualisierungslösungen implementieren.

Zunächst sollte ein Fokus auf den Host/Hypervisor gelegt werden, da er oft ein Single Point of Failure für Gastsysteme und Daten ist. Ebenso kann es sein, dass Ressourcen und Services schwer zu tracken und zu warten sind; mit dem schnellen Deployment virtueller Systeme erhöht sich auch die Notwendigkeit zum Management von Ressourcen, einschließlich der Bereiche Patching, Überwachung und Wartung.

Virtualisierung beseitigt keine der herkömmlichen Sicherheitsrisiken in einer IT-Umgebung; der gesamte Building-Block, nicht nur der Virtualisierungslayer, muss gesichert werden. Es müssen dabei auf Seiten der technischen Mitarbeiter auch ein Know-how-Defizit, fehlende Skills und/oder geringe Erfahrungen berücksichtigt werden. Auf mehrere Maschinen verteilte Ressourcen, wie im Bereich Storage, sind zudem oft ein Gateway der Verwundbarkeit. Dies kann auch zu komplexen Umgebungen führen - mit kaum verwalteten und gewarteten Systemen.

Security in Multi-Hypervisor- und Hybrid-Cloud-Umgebungen

Wenn die Virtualisierung weiter gefasst wird und auch die Bereiche Multi-Hypervisor und Hybrid Cloud umfasst, sind aus Security-Sicht zwei Aspekte von entscheidender Bedeutung.

Erstens sollte man - wann immer es möglich ist - eine Basis-Plattform bei den Deployments nutzen, die von Grund auf für Security konzipiert ist. Zweitens muss man einen Überblick über die komplette virtuelle Umgebung gewinnen und die tatsächlich vorhandenen Risiken erkennen. Dies kann mit einer Cloud-Operations-Management-Technologie unterstützt werden. Sie ermöglicht auch eine Implementierung von Security-Prozessen und Policies über VMware, Microsoft, Red Hat Enterprise Virtualization und OpenStack hinweg.

Fazit

Bei der Sicherheit gilt: Je mehr man weiß, desto sicherer ist man. Sobald man einen umfassenden Überblick über seine IT-Infrastruktur hat, sind auch die "Unbekannten" reduziert - und damit auch ein wesentliches Problem jedes IT-Verantwortlichen beseitigt.