IT-Security

Sicher virtualisiert oder nur virtuell sicher?

30.09.2008
Uli Ries ist freier Journalist in München.
Security-Experten warnen davor, Virtualisierung als Allheilmittel zur Lösung von Sicherheitsproblemen zu sehen. Hacker beginnen bereits, gezielt nach Lücken in Produkten wie VMware ESX zu suchen.
Bezweifelt, dass Virtualisierung die Lösung aller Sicherheitsprobleme ist: Christopher Hoff, Security Architect bei Unisys.
Bezweifelt, dass Virtualisierung die Lösung aller Sicherheitsprobleme ist: Christopher Hoff, Security Architect bei Unisys.

Glaubt man den Versprechungen der Hersteller, lassen sich bewährte Sicherheitsprodukte wie Firewalls, Virenscanner und Intrusion-Prevention-Systeme (IPS) durch virtualisierte Versionen ersetzen. Diese "virtuellen Appliances" übernehmen die gleichen Funktionen wie ihre physikalischen Pendants, bestehen aber lediglich aus einem Stück Software, das auf einer virtuellen Linux- oder Windows-Maschine läuft. Der IT-Sicherheitsexperte Christopher Hoff, Chief Security Architect von Unisys, erläuterte vor einigen Wochen in einem Vortrag auf der US-Sicherheitskonferenz Black Hat, wie kompliziert es sein kann, wenn IT-Verantwortliche ihre vorhandenen IT-Sicherheitsprodukte durch solche virtualisierten Appliances ersetzen wollen.

Dabei erklärte er die angebotenen Module, mit denen virtuelle Umgebungen gesichert werden sollen, kurzerhand für untauglich. Sie seien zu langsam, nicht skalierbar und verursachten obendrein Kosten, anstatt Geld einzusparen. Laut Hoff ist keines der Produkte, die zur Absicherung von mittels VMware ESX virtualisierten Servern angeboten werden, auch nur annähernd so praxistauglich wie die vorhandenen Hardwareprodukte. Dazu Martin Niemer, Senior Product Manager bei VMware: "In manchen Szenarien sind dedizierte Hardwareprodukte den virtuellen Appliances nach wie vor weit überlegen, und es wäre Wahnsinn, sie ersetzen zu wollen." Aus seiner Sicht besteht dieses Problem allerdings nur in großen bis sehr großen Rechenzentren, in denen hoch spezialisierte Security-Hardware eingesetzt wird. "Herkömmliche Appliances auf Basis standardisierter x86-Systeme lassen sich dagegen sehr wohl virtualisieren", meint Niemer.

Hoff teilt die Sicherheitsthematik im Zusammenhang mit der Server-Virtualisierung in drei Kategorien ein: "Absicherung von virtualisierten Servern", "virtualisierte Sicherheitskomponenten" und "Absicherung durch Virtualisierung". Ihm zufolge gibt es an allen drei Fronten noch erheblichen Verbesserungsbedarf, Diskussionen über Malware wie Blue Pill, die den Hypervisor attackieren, seien daher verfrüht: "Erst einmal sollten die Anbieter von Sicherheitsprodukten die aktuellen Probleme lösen, dann mache ich mir Gedanken über Blue Pill und ähnliche Angriffe."

Hoffs Hauptkritikpunkt ist die mangelnde Flexibilität von Virtual-Machine-Appliances. Wer versuche, seine bestehende Sicherheitsinfrastruktur aus Firewalls und IPS/IDS (Intrusion Detection/Prevention System) samt ausgeklügeltem Regelwerk in eine virtualisierte Umgebung zu übertragen, dem drohe ein böses Erwachen. Nach Erfahrung des Security-Experten gibt es keine Appliance, die in Sachen Leistungsfähigkeit mit hardwarebasierenden Sicherheitsprodukten mithalten kann. Um die gewohnte Funktionalität beizubehalten, müssen die vorhandenen Sicherheitskomponenten also weiterbetrieben werden. Hierdurch steigen Kosten und Komplexität.

Und auch die Performance ist offenbar ein großes Problem: Laut Hoff ist mit den derzeitigen VM-Appliances weder Hochverfügbarkeit noch hohe Performance zu erzielen. Der Grund: Keines der ihm bekannten Produkte lässt sich parallel mit anderen VM-Appliances betreiben. Ihm zufolge kann jeweils nur eine Appliance pro Host laufen - Skalierbarkeit Fehlanzeige. Fällt die Appliance aus, kann kein Ersatz einspringen, so dass sämtliche VMs entweder vom Netz getrennt werden oder - noch schlimmer - schutzlos weiterlaufen.

Anders sieht dies VMware-Mitarbeiter Niemer: Gerade "VMware HA" sorge dafür, dass - wenn ein physikalischer Host ausfalle - die VMs auf einem anderen Host sofort gestartet werden könnten. Das gelte auch für Security-Appliances, die als VM laufen, und lasse sich in der physikalischen Welt nur um den Preis der Hardwareredundanz einer Appliance erzielen. "Wir sehen bei Kunden beispielsweise Mail-Virenscanner, die in der DMZ deswegen auf ESX laufen, weil die Administratoren dank VMotion unter anderem die Hardware ohne Ausfallzeiten warten können", fügt der Produkt-Manager hinzu.