Virtuelle Desktops kontrollieren
Für das Patchen virtueller Desktops, die ja ebenfalls in virtuellen Maschinen liegen, wird empfohlen, diese zuvor in eine demilitarisierte Zone zu verschieben, zu aktualisieren und erst dann wieder an ihren üblichen Standort zu transferieren, wenn sie einen automatisierten Funktions- und Sicherheitscheck durchlaufen haben.
Security-Risiko Netzwerk
Foto: VMware
Weitere Komplikationen resultieren aus der Vernetzungstechnik. „Wir haben nur ein Kabel, aber dreißig Gastsysteme“, fasst Microsoft-Manager Wirth zusammen. Gastsysteme sollten untereinander nicht unkontrolliert kommunizieren können. Also sollte für jede Maschine ein eigenes VLAN (Virtuelles LAN) angelegt werden. Technisch unterstützen das zwar heute die virtualisierten Switches und Hypervisoren, es ist jedoch sehr aufwändig - bei knappen Personalressourcen ein Problem. Dennoch sollte man darauf nicht verzichten, weil sonst die Sicherheit leidet. Außerdem sollten separate Netzverbindungen für Management, reguläre Nutzer und Gäste definiert werden, empfiehlt unter anderem Christian Ferber, bei Citrix Systemingenieur für Servervirtualisierung. Für Zugriffe von außen auf virtuelle Desktops bietet Citrix mit Netscaler ein spezielles Sicherheits-Gateway an, auch VMware hat für Außenzugriffe ein Edge Gateway im Programm. Neuartige Netzwerktechnologien wie SDN (Software Defined Networking) könnten die Situation verbessern. „Neue Sicherheitsdienste wären damit im laufenden Betrieb definierbar und in den bestehenden Sicherheits-Stack zu integrieren“, erklärt Wolfram Weber, VMware Solution Architect.
Virtuelle Maschinen sicher migrieren
Besonders tückisch ist immer die Migration virtueller Maschinen. Der Mechanismus kann zu Risiken führen, sobald Regeln nicht strikt eingehalten werden. Ein Beispiel: Angenommen, es wurde ein neuer Cluster von VMware-ESX-Hosts installiert oder ein bestehender Cluster um einen neuen ESX-Server erweitert. Dabei soll ein neuer Host noch keine Firewall haben und gleichzeitig nicht zusammen mit der vShield App ausgerollt worden sein. Migriert der Administrator dann virtuelle Maschinen auf einen noch nicht durch Firewall gesicherten Host, wird diese Maschine vorläufig gesperrt und er erhält sofort einen Hinweis, dass diese Maschinen dort im Zweifel ohne Schutz operieren und deshalb gesperrt sind. Bestätigt er die Sperrung, bleibt die Maschine bis zur Installation der Firewall von der Kommunikation ausgeschlossen. Klickt der Administrator an diesem Punkt den Hinweis weg oder gibt die falsche Antwort, laufen die Maschinen tatsächlich auf dem ungeschützten Host. Bedenkt man, dass menschliches Versagen einen großen Teil der Sicherheitspannen verursacht, wäre es besser, wenn VMware eine Funktion implementierte, die schon die Migration von VMs auf ungesicherte Hosts verhindert und die in jedem Einzelfall abgeschaltet werden muss.