Das Risiko sind Sie!
Die Sicherheit in virtualisierten Umgebungen
5. Security-Policies anpassen
"Unternehmen müssen ihre Datenschutz- und Sicherheitsstandards konsequent auf die virtualisierten Umgebungen übertragen", sagt Sicherheitsexperte Reutter von T-Systems. Hier gilt ausnahmslos der Grundsatz: "Technik folgt der Policy". Insgesamt bedarf die Einführung von Virtualisierungstechnologie zu allererst einer erhöhten Aufmerksamkeit, gegebenenfalls entsprechender neuer Administrations- und Analyse-Tools und in jedem Fall einer konsequenten Überwachung.
Deshalb: Ergänzen Sie die Security-Policies um die neuen Sicherheitsaspekte – am besten vor dem Start der ersten virtuellen Maschine im Produktivbetrieb. Sorgen Sie dafür, dass die IT-Administration mit den neuen Sicherheitsrichtlinien vertraut ist, und kontrollieren Sie deren Einhaltung. Beobachten Sie den Markt für Sicherheits-Tools- und -Technologien und halten Sie die Sicherheitsvorkehrungen auf dem aktuellen Stand.
"Die Unternehmen treiben Virtualisierung mit großer Eile voran. Dabei werden Sicherheitsfragen oft übersehen, Best Practices nicht angewendet, Sicherheitsrisiken nicht erkannt", warnt Gartner-Analyst Philip Dawson in seiner Studie "Virtualization Changes Virtually Everything." Wichtig sei, schon vor
Beginn eines Virtualisierungsprojekts Sicherheitsfragen in der Konzeption zu berücksichtigen. Denn
im Nachhinein lassen sich Fehler und Unterlassungen nur schwer wieder ausbügeln.
Die Rheinisch-Westfälische Technische Hochschule Aachen (RWTH) Die Hochschule ist mit zweimal zehn Ggabyte an das Backbone des Deutschen Forschungsnetz (DFN) angebunden, die RZ Administration verfügt über 200 000 eigene IP-Adressen, verwaltet mehr als 1000 physikalische Server und über 40 000 User. Seit mehr als zwei Jahren setzt die RWTH virtualisierte Server-Systeme produktiv ein. Die Virtualisierung hat Jens Hektor, in der Abteilung Netzbetrieb für Firewalls und Intrusion Prevention zuständig, vor neue Herausforderungen gestellt: "Während die Server-Manager jetzt innerhalb kürzester Zeit neue virtuelle Maschinen aufsetzen können, hat der Aufwand aufseiten der Netzwerkadministration erheblich zugenommen", sagt Hektor. Sein größtes Problem: Weil die Konfiguration virtueller Switches als Teil der Virtualisierungssoftware Aufgabe der Server-Manager ist, sind sie dem direkten Zugriff der zentralen Netzwerkadministration entzogen. "Das erfordert sehr viel Sachkenntnis und Disziplin – Fehler sind hier tödlich", sagt Hektor. Die RWTH setzt IDS/IPS (Intrusion Detection/Prevention System) und Firewall von Stonesoft ein und benutzt das Mangement-Tool "Stonegate", um virtuelle und physische Server zu verwalten. Auch die Konfiguration der Firewall musste an die virtualisierte Umgebung angepasst werden: "Die virtuellen Server gehören zum Teil unterschiedlichen Fachbereichen und sind mit einem jeweils eigenen Regelsatz ausgestattet", sagt Hektor. Das erfordere eine sehr feine Konfiguration der Firewall. Das IDS/IPS dagegen sei in der virtualisierten Umgebung sogar etwas leichter handhabbar, weil für alle – physikalische wie virtualisierte – Server die gleichen Bedrohungen erkannt und abgewendet werden müssen. "Als Anwender sind wir darauf angewiesen, dass die Virtualisierungssoftware keine Fehler enthält – aber das liegt in der Verantwortung der Hersteller." Als Anwender bleibe ihm lediglich, mit einem gewissenhaften Patch-Management alle bekannten Bugs zu beheben und die Software auf dem neuesten Stand zu halten. |