IT-Security

Sicher virtualisiert oder nur virtuell sicher?

30.09.2008
Von 
Uli Ries ist freier Journalist in München.

In jeder Hinsicht überfordert

Hoff hingegen hat die Erfahrung gemacht, dass eine einzelne Appliance niemals den Datenströmen (Messungen von VMware zeigen Datenraten von bis zu 2,5 Gbit/s pro virtuelle Maschine) gewachsen ist, die die ihr zugeteilten VMs erzeugen. Sie wird also zum Flaschenhals und lähmt das Gesamtsystem gleich doppelt: Einerseits kann die Appliance die Datenmengen nicht bewältigen, andererseits läuft sie auf der gleichen physikalischen Hardware wie die VMs, denen sie auf diese Weise notwendige Ressourcen abknapst.

Untauglicher Ansatz: In einer Präsentation erklärte Chris Hoff von Unisys, warum er das Konzept der virtuellen Security-Appliance (im Bild rechts oben) für wenig praxisgerecht hält.
Untauglicher Ansatz: In einer Präsentation erklärte Chris Hoff von Unisys, warum er das Konzept der virtuellen Security-Appliance (im Bild rechts oben) für wenig praxisgerecht hält.

Laut Hoff ist der Ansatz, alle virtuellen Maschinen von einer einzelnen Appliance sichern zu lassen, mit dem aus seiner Sicht praxisfernen UTM-Konzept (Unified Threat Management) zu vergleichen. "Wie soll eine einzige Appliance gleichzeitig die Funktionen von Virenscanner, Firewall, IPS/IDS und anderen Systemen übernehmen? Das klappt schon mit dedizierter Hardware nicht, denn sobald der Virenscanner läuft, steht meist das ganze System. Dieses Konzept in die komplexe Welt der virtuellen Server übertragen zu wollen, ist in meinen Augen weltfremd", so der Unisys-Mann.

Hoffnungen setzt Hoff indes auf das VMSafe-Konzept von VMware, in dem er die einzige Chance sieht, bereits bewährte Security-Produkte in die Welt der virtualisierten Server zu überführen. Allerdings gibt er zu bedenken, dass die Hersteller ihre Produkte eigens an die Anforderungen der VMSafe-API anpassen müssten, was mit Komplikationen bei der Markteinführung der Plug-ins verbunden sei.

Doch gibt es auch Argumente, die gegen VMsafe sprechen: Die gesteigerte Komplexität von ESX und somit dessen potenziell höhere Verwundbarkeit. Simon Crosby von der Firma Xensource äußerte in einer Podiumsdiskussion auf der RSA Conference 2008 jedenfalls die Meinung, ein Hypervisor sollte aus Performance- und Sicherheitsgründen so schlank wie möglich sein. Ziel der Hypervisor-Entwickler müsse demnach sein, "täglich" Zeilen aus dem Quellcode zu entfernen, statt neue hinzuzufügen.

Was ist VMsafe?

VMsafe ist eine Programmierschnittstelle (API) für den Hypervisor ESX, mit der Hersteller von Sicherheitssoftware wie Symantec, Trend Micro oder McAfee ihre Produkte als Plug-ins für ESX liefern können. Damit soll sichergestellt sein, dass Malware gar nicht erst bis zu den virtuellen Maschinen (VMs) durchdringt. Da VMsafe auf Hypervisor-Ebene läuft, ist es vom Betriebssystem der VMs unabhängig. Zudem genügt zum Beispiel ein Virenscanner oder eine Firewall, um sämtliche auf dem physikalischen Server laufenden VMs abzusichern, was sich positiv auf deren Leistung auswirkt.