Schnell, günstig und sicher lauten drei Schlagworte, die im Zusammenhang mit virtuellen Infrastrukturen immer wieder zu hören sind. Tatsächlich bietet die Trennung des Servers vom System, auf dem er betrieben wird, zahlreiche Vorteile: Neue Server können zügig aufgesetzt werden, das System und laufende Applikationen lassen sich ohne Beeinflussung überwachen und im Schadensfall kann das Gastsystem einfach in einen früheren Zustand zurückversetzt oder eingefroren werden. Einzelne Maschinen oder ganze Umgebungen lassen sich zu Testzwecken klonen, erlauben es so, neue Szenarien vorgängig zu üben und beispielsweise Software-Updates zu prüfen, ohne die produktive Umgebung zu gefährden.
Insbesondere im Bereich der Hochverfügbarkeit ist die Hardware-Unabhängigkeit von virtuellen Rechnern ein Vorteil: «Da die virtuelle Maschine nur aus ein paar Dateien besteht, kann sie sehr schnell auf einer beliebigen Hardware wiederhergestellt werden», erklärt Marcel Panholzer, Senior Systems Engineer bei
Vmware Schweiz.
Datenlagerung wird zentralisiert
Einen weiteren Vorteil sieht Citrix-Schweiz-Chef Michael Schmidt in der durch die Virtualisierung bedingten Zentralisierung der Datenhaltung von Unternehmen: «Virtualisierung verlagert die Daten in die Rechenzentren, wo sie rein physisch gesichert werden können.» Die Zugangsrechte lassen sich dank den zentralen IT-Strukturen übersichtlich verwalten und steuern. «Das bedingt den Einsatz von durchgängigen Sicherheitskonzepten, vom Rechenzentrum bis zum Endanwender», so Schmidt. Viele Gefahren, wie beispielsweise der Verlust von Daten aufgrund verlorener mobiler Endgeräte lassen sich jedoch beseitigen. Umso wichtiger wird im Gegenzug die Sicherheit des Rechenzentrums.
«Der Basisaufwand zur Gewährleistung der Sicherheit ist bei herkömmlichen und virtuellen Umgebungen nahezu identisch», so Schmidt. Der Effizienzunterschied liege darin begründet, dass virtuelle Umgebungen über den Basisschutz hinaus erheblich vereinfachte Sicherheitsanforderungen hätten, da die Daten das Firmennetzwerk nicht verlassen.
Die Anforderungen bleiben gleich
Insgesamt gilt für virtuelle Umgebungen also das gleiche Prinzip wie bei herkömmlichen IT-Infrastrukturen. «Eine ganzheitliche Sicherheitsstrategie sollte Komponenten wie Zugriffs- und Richtlinien-Management, Datenverschlüsselung, Endpoint Security mit Virenschutz und Firewall sowie Intrusion Prevention umfassen», so Guido Sanchidrian, Produkt-Marketing-Manager
Symantec EMEA.
Auch Urs Küderli, Chief Security Advisor bei
Microsoft Schweiz, bezweifelt, dass die Virtualisierung per se eine höhere Sicherheit mit sich bringt: «Um ein Sicherheitsrisiko darzustellen, braucht ein Rechner keine physische Präsenz.» Tatsächlich bietet die Virtualisierung durch die Trennung von Host- und Gastsystem und dem damit einhergehenden indirekten und kontrollierten Zugriff ein nützliches Tool bei der Analyse gefährlicher Software und der Abwehr von Angriffen.
Im Gegenzug öffnet die Technologie aber auch neue Türen für Angriffe von aussen. Als Hauptproblem im Zusammenhang mit Sicherheit und Virtualisierung bezeichnet Küderli die Einfachheit, mit der virtuelle Maschinen kopiert werden können. Mit Zugriff auf das Hostsystem oder den Speicherort der virtuellen Maschinen können ganze Rechner verhältnismässig einfach kopiert und die Daten gestohlen werden, um sie an anderer Stelle wieder in Betrieb zu nehmen. Im Gegensatz zu illegal abtransportierter Hardware sei dies kaum feststellbar, so Küderli. Hinzu kommen psychologische Aspekte, welche die Sicherheit einer virtuellen Infrastruktur gefährden können. «Aus unerfindlichen Gründen werden virtuelle Rechner als weniger wichtig, beziehungsweise weniger wertvoll angesehen, was die Risikobereitschaft der Anwender erhöht.» Die Folge seien schwächere Passwörter, weniger strikte Policies und mangelhafte oder fehlende Sicherheitsprodukte.
Rechte-Management im Mittelpunkt
Ein sauber implementiertes Rechte- und Zugriffskonzept hält Panholzer für zentral: «Generell kann derjenige, der Zugang zum Rechenzentrum hat und die notwendigen Passwörter kennt, Schaden anrichten. Die Login-Daten des Administrators müssen daher unter allen Umständen geschützt werden.» Auch das Lifecycle-Management spielt aufgrund der einfachen Implementierung neuer Rechner eine wichtige Rolle. «Nachdem lange versucht wurde, die Zahl der Server zu reduzieren, findet bedingt durch die Virtualisierung eine Gegenbewegung statt», sagt Küderli. «Das macht das Updaten der vielen Maschinen aufwendig.» Entsprechende Management-Tools seien daher notwendig und in Arbeit.
Insgesamt führe die Virtualisierung insbesondere in den Bereichen Fernkontrolle, Überprüfung, Problemlösung und Wartung zu einer Verbesserung der Management-Möglichkeiten, ist Sanchidrian überzeugt. Da eine virtualisierte Sicherheitsschicht auch dann läuft, wenn das Betriebssystem kompromittiert oder abgeschaltet ist, könne die IT-Abteilung wesentlich genauere Informationen über den Zustand einer Maschine erhalten und nötige Massnahmen ergreifen. (Markus Gross)
