Die Sicherheit eines virtuellen Systems hängt maßgeblich von seiner Umgebung ab und damit von der Frage, wie virtuell oder physisch diese ist.
Geht es um die Sicherheit von Virtualisierung, haben Entscheider aus Sicht der Analysten nur die Wahl zwischen einer proaktiven und einer reaktiven Strategie. Fakt ist: Mit zunehmender Verbreitung virtueller Systeme folgen auch Hacker und Malware-Versender.
Die Burton Group rät, fünf Gesetze der Sicherheit bei Virtualisierungen zu beachten:
1. Angriffe auf Betriebs-System und Anwendungen eines physischen Systems können diesen Schaden grundsätzlich auch an einem virtuellen System anrichten. Unterschiede gibt es lediglich bei Response und Recovery.
2. Sind Konfiguration, Betriebs-System und Anwendungen identisch, ist das virtuelle System Risiko-anfälliger als sein physisches Gegenstück. Der Grund dafür: Der Virtual Machine Monitor (VMM) kommuniziert mit der Virtualisierungsmaschine. Das macht ihn anfällig für Attacken gegen sich selbst. Gleiches gilt für die Hypervisoren.
Vorteile und Gefahren von Virtualisierung
3. Ein virtuelles System kann sicherer sein als das physische, wenn es Funktionalität und Content - die beim physischen Gegenstück kombiniert sind - trennt. Wann immer zwei Prozesse denselben Speicherplatz belegen, wirken sich Angriffe gegen den einen auf den anderen aus. Eben darin liegt ja einer der Vorteile von Virtualisierung: Sie ermöglicht, Funktionalitäten in getrennten Umgebungen laufen zu lassen.
4. Ein ganzes Set von Virtualisierungsmaschinen auf demselben physischen System kann nur dadurch sicherer als das physische Gegenstück gemacht werden, dass die Konfigurationen der VMs das erhöhte Risiko durch den Hypervisor kompensieren.
5. Eine Kombi aus einer "gesicherten" VM auf einem "ungesicherten" Host birgt höhere Risiken als ein Mix aus einem "gesicherten" Host und einer "ungesicherten" VM.
Wie auch immer die Gefahren im konkreten Fall aussehen - an Virtualisierung kommt keiner mehr vorbei. Das untermauern die Analysten gar mit einem kleinen Späßchen: Sie legen der Sängerin Olivia Newton-John nahe, sie solle doch ihren alten Gassenhauer "Let’s get physical" von 1981 noch mal als "Let’s get virtual" an den (IT)-Mann bringen.
Die Analysten der Burton Group haben ihre Aussagen in dem Papier "Attacking and defending virtual environments" ausgeführt.