Trennung von Applikationen auf einem Host
Eine grundsätzliche Überlegung bei der Konzeption von IT-Strukturen unter Sicherheitsaspekten war schon immer, Systeme zu trennen, die nicht zueinander passen. Dies beginnt bei der Konzeption der Netzsegmente. Welche Applikationen oder Systeme sollen im gleichen Segment stehen, und welche sind durch Firewalls voneinander zu trennen? Ebenso betrifft es die Kombination von Anwendungen auf gemeinsamen Servern sowie die Kombination virtueller Maschinen auf gemeinsamen Host-Systemen.
Wenn beispielsweise eine Applikation auf einem ersten Server direkt aus dem Internet erreichbar und somit angreifbar ist, wird man bestrebt sein, diesen Dienst möglichst nicht mit einer zweiten Anwendung zu koppeln, die interne und vertrauliche Daten verwaltet. Beide Applikationen stehen typischerweise nicht in einem gemeinsamen Netzwerksegment, und die Systeme sollten auch nicht auf einem gemeinsamen Host-System ablaufen. Noch geringer wäre die Sicherheit, wenn die Programme sich einen normalen Server teilen und nicht einmal in einer jeweils eigenen virtuellen Maschine ablaufen würden.
Alle Applikationen auf einem Rechner werden durch das schwächste Glied in der Kette - in diesem Fall eine angreifbare Anwendung - in Gefahr gebracht. In diesem Fall könnte das Unternehmen für jede Anwendung eine jeweils eigene virtuelle Maschine schaffen und so die Sicherheit erhöhen. Es bleibt indes das erwähnte Risiko einer verwundbaren Virtualisierungslösung.
Unverfälschte Systemüberwachung ohne Rootkit-Einfluss
Moderne Virtualisierungssysteme bieten Sicherheit, wo sie bisher undenkbar waren. Da das Host-System oder allgemeiner bezeichnet die Management-Komponente der Virtualisierungslösung nahezu uneingeschränkten Zugriff auf die virtuellen Maschinen besitzt, hat man hier beste Voraussetzungen, um von außen die Vorgänge und Zustände innerhalb der virtuellen Maschine zu überwachen, ohne dass ein Trojaner, Virus oder ein Rootkit sich davor verstecken kann.
Wenn ein Angreifer die Kontrolle über ein gehacktes System übernommen hat, wird er versuchen, sich und seine Aktivitäten auf dem System mit einem Rootkit unsichtbar zu machen. Herkömmliche Erkennungsverfahren für Rootkits haben das Problem, dass sie Daten nutzen, die das Schadprogramm möglicherweise schon gefälscht hat.
In einer virtualisierten Umgebung hat man nun die Möglichkeit, diese Daten, beispielsweise den tatsächlich vorhandenen Hauptspeicher der virtuellen Maschine, ohne Einflussmöglichkeit eventueller Rootkits im virtuellen System von außen zu lesen. Auf diese Weise lässt sich eine neue Klasse von Sicherheitsprodukten entwickeln, die vom Host-System beziehungsweise von der Verwaltungskomponente aus virtuelle Maschinen überwachen und auf diese einwirken können. Dazu zählen Virenscanner, die nicht mehr auf dem zu schützenden Server selbst laufen, sondern vom Host aus gleich mehrere virtuelle Maschinen überwachen. Eine weitere Möglichkeit sind Live-Forensik-Werkzeuge, die zur Laufzeit vollen Zugriff auf virtuelle Maschinen haben, ohne diese jedoch zu beeinflussen.
Schnittstelle für Sicherheitsprodukte
Der Virtualisierungsspezialist VMware hat bereits Schnittstellen angekündigt, die von den Herstellern von Sicherheitsprodukten genutzt werden können. Doch leider hat auch dieser vielversprechende Überwachungsansatz seine Schattenseiten: Jede neue Sicherheitskomponente erhöht die Komplexität des Gesamtsystems und kann auch selbst zum Angriffspunkt werden. Insbesondere bei Virenscannern ist dies in den letzten zwei Jahren mehrfach bewiesen worden. Verwundbare Stellen in den Scannern selbst wurden veröffentlicht, mit denen ein Angreifer die Kontrolle über das System erlangen kann, auf dem der Virenscanner installiert ist. Wenn man sich dieses Szenario auf einem internen ESX-Server von VMware vorstellt, dann bedeutet dies, dass ausgerechnet der Virenscanner, der vom Host aus Zugriff auf alle virtuellen Maschinen hat, allen diesen Maschinen zum Verhängnis werden kann.