Wie viele andere einstige Trend-Technologien wurde die Virtualisierung mit wenig oder gar keinem Augenmerk auf die Sicherheit entworfen. Die Kosten- und Energieverbrauchsvorteile, die sich durch Server-Virtualisierung erzielen lassen, gleichen für viele die durchaus realen Probleme aus, die Virtualisierung in Sachen Sicherheit und Compliance verursacht.
An dieser Stelle gibt es laut Dennis Moreau, CTO bei Configuresoft, einige Missverständnisse: „Die zusätzliche Komplexität der Virtualisierung erschwert die Bekämpfung von Bedrohungen und anderen Problemen.“In den meisten Fällen sind sich die IT-Abteilungen von Grossunternehmen dieser Sicherheitsprobleme bewusst. Aber allzu oft ist man der Ansicht, dass die Kostenersparnisse und Effizienzsteigerungen sie aufwiegen.
„Die Kosten sind für uns ein ganz zentraler Faktor“, meint VMware-Kunde Fred Archibald, Netzwerk-Administrator der Fakultät für Informatik und Elektrotechnik der Universität von Berkeley. „Auch die Platzersparnis im Serverraum ist wichtig für uns. Uns steht nicht genug Strom und Kühlkapazität zur Verfügung, um alle Server real in Betrieb zu nehmen.“ Zweifelsohne sei es einfacher, ein Gerät mit diversen Images laufen zu lassen, die Sicherheit bereite Archibald aber schon Sorgen:„Als Universität betreiben wir ein relativ offenes Netzwerk und sind deswegen vielen Gefahren ausgesetzt.“
Die Virtualisierung– oder genau genommen das zugrunde liegende Prinzip – ist nichts Neues. Die Idee, virtuelle Instanzen von Betriebssystemen zu verwenden, gibt es schon seit etlichen Jahren. Sie erfreut sich in bestimmten vertikalen Branchen, in denen Kosten und Mobilität sehr wichtig sind, hoher Verbreitung.
Die Idee der Virtualisierung stammt ursprünglich aus der Zeit der Mainframes und Workstations, als die gesamte Rechenarbeit im Mainframe geschah und die Ergebnisse dann auf den Workstations angezeigt wurden. Bei diesem Mehrbenutzersystem mit Rechenzeitteilung wurden die Ressourcen des Mainframes maximal genutzt. Dies erwies sich als effizient und war jahrelang der Standard, ehe Minicomputer wie VAX und PDP verfügbar wurden.
Doch der Personalcomputer, der alle Rechenressourcen auf dem Schreibtisch des Benutzers vereint, verdrängte die zentralisierten Mehrbenutzersysteme. Und mit dem Wachsen der Kapazität und Rechenleistung von PCs konnten Nutzer immer mehr Daten dort ablegen, sodass diese Geräte zunehmend ins Visier von Hackern gerieten. Dies zusammengenommen mit dem Zwang, bei Hardware und Stromverbrauch zu sparen und deswegen die Zahl der Computer in den Rechenzentren zu reduzieren, erklärt die Begeisterung für Server- und Desktop-Virtualisierung.
Sicherheitsexperten weisen daraufhin, dass das Konzept der Virtualisierung zwar uralt sein mag, die aktuellen Einsatzbereiche sind hingegen relativ neu. Dementsprechend unklar ist noch, was dies für die Sicherheit bedeutet.
Je nach Einsatzart der Virtualisierung ergeben sich verschiedene Sicherheitsprobleme, erläutertNate Lawson, ein leitender Sicherheitsexperte bei Cryptography Research in San Francisco: „Bei Serverkonsolidierungen gibt es keine Firewall zwischen den virtuellen Maschinen (VMs). Wird auch nur eine gehackt, kann sie als Brückenkopf für Angriffe dienen.“ Darüber hinaus würden manche Nutzer zwei virtuelle Maschinen mit verschiedener Sicherheitsstufe auf demselben Host installieren. „Theoretisch wäre es ja möglich, dass es ein spezieller Angriff einer gehackten virtuellen Maschine erlaubt, aus dem Virtualisierer zu entfliehen“, so Lawson.
Details über echte Angriffe auf virtuelle Maschinen (VM) stehen kaum zur Verfügung – was vor allem daran liegt, dass Grossunternehmen mit solchen Vorfällen in der Regel nicht an die Öffentlichkeit gehen. Aber Forscher haben aktiv nach Sicherheitslücken bei virtuellen Maschinen gesucht, und ein paar dieser theoretischen Angriffe fanden viel Aufmerksamkeit.
Bei den Black Hat USA Briefings 2007 in Las Vegas hielt die Sicherheitsexpertin Joanna Rutkowska einen Vortrag über eine von ihr entworfene Technologie, die sie Blue Pill nennt. Blue Pill wird manchmal zu Unrecht als VM-Rootkit bezeichnet. Vielmehr handelt es sich um eine VM, die sich selbst auf dem Host installiert und dann als Hypervisor agiert, der die Ressourcenzuteilung und die Interaktionen der verschiedenen virtuellen Instanzen kontrolliert. Das kann ohne Reboot des Zielsystems geschehen, und es lässt sich auch keine auffällige Verlangsamung des Rechners feststellen, sodass eine Entdeckung nicht leicht ist. Rutkowska zeigte dies anhand der SVM/Pacifica-Virtualisierungstechnologie des AMD64.
Ein theoretisches VM-Rootkit haben auch die Forscher von Microsoft und der Universität beschrieben:SubVirt sitzt unter dem VM-Hypervisor und beobachtet alle Aktivitäten der VM. Das Rootkit ist natürlich nur eine Proof-of-Concept-Übung, doch Experten glauben, dass es nicht mehr lange dauern wird, ehe so etwas Realität wird. Die speziellen Eigenschaften von virtuellen Maschinen und die Art und Weise, wie sie oft eingesetzt werden – zur Steuerung von geschäftskritischen Servern in Datacentern –, können Administratoren im Angriffsfall extremes Kopfzerbrechen bereiten.
„Nun besteht diese Bedrohung durch VM-Rootkits zwischen Gast-OS und Applikationen, und niemand will seine ganze virtuelle Serverfarm neu starten, um vielleicht Abhilfe zu schaffen“, meint Moreau.
Hier drängt sich unweigerlich eine Frage auf: Was können IT-Abteilungen tun, um ihre VMs unter Kontrolle zu halten? Eine der Hauptwaffen, die Administratoren zur Verfügung steht, ist grundlegend, aber effektiv: Gruppenrichtlinien. In Windows-Umgebungen kann man mit einer Gruppenrichtlinie die Installation von VMs verhindern. So hält man Entwickler, Tester und andere fortgeschrittene Benutzer davon ab, unautorisierte VMs laufen zu lassen.
Dieser Ansatz birgtallerdings seine Probleme, und ausserdem gelten Gruppenrichtlinien nur für Windows-Rechner. Die meisten wichtigen VM-Applikationen wie VMware und Xen funktionieren aber auch auf anderen Betriebssystemen.Auch gelten Gruppenrichtlinien nicht für .NET-Framework- oder Makro-Code, und damit kann man auch keinen neuen Rechner mit vorinstallierter VM stoppen.
Hauptsächlich ist es Aufgabe der Hersteller, virtuelle Maschinen abzusichern. Da die Technologie so komplex ist, zögern viele Administratoren, VMs umzukonfigurieren und verlassen sich deswegen lieber auf die eingebaute Sicherheit der Virtualisierungssoftware oder des Betriebssystems. Andi Mann, Analyst bei EMA, meint, dass sich die Hersteller bis dato kaum um die Sicherheit ihrer Virtualisierungslösungen gekümmert haben.
„Das ist eine wichtige Angelegenheit. Allgemein gesprochen, kümmern sich die grossen Anbieter nicht um Sicherheit oder auch nur Verwaltbarkeit“, sagt er. „Aber es gibt schon Leute, die sich darüber Gedanken machen: Virenautoren und Hacker. Serverseitig existieren zahlreiche Probleme, weil man nicht den Hardware-Schutz von früher hat. Es gibt ein paar extrem schadensträchtige Angriffsmöglichkeiten bei VMs, und die werden schlichtweg ignoriert.“
Bei VMware ist man anderer Meinung und streicht heraus, dass die Server-Virtualisierung in den meisten Fällen, zumal beim Einsatz eines Hypervisors, die Sicherheit erhöht.
„Bessere Isolierung der Betriebssysteme bedeutet erhöhte Sicherheit“, meint Raghu Raghuram, Vizepräsident für Produktlösungen und Marketing bei VMware. „Ein spezialisierter Hypervisor ist wichtig für die Sicherheit. Unsere virtuellen Maschinen kommunizieren ausschliesslich über das Netzwerk. Was in der einen virtuellen Maschine geschieht, gelangt nicht zur anderen.“
VMware beinhaltet eine Reihe von Features, die Angriffe auf die Infrastruktur der virtuellen Maschine verhindern sollen, so die Möglichkeit, die Ressourcen einzelner VMs zu begrenzen, um DoS-Angriffe zu verhindern. Das Assured Computing Environment ermöglicht den Anwendern, mit den eingebauten Sicherheitsrichtlinien Verfallsdaten für die virtuellen Maschinen festzulegen sowie deren Gerätezugriff zu beschränken.
Sun Microsystems hat seinerseits ein paar Änderungen an Solaris vorgenommen, um es Kunden zu erleichtern, das Betriebssystem für die Virtualisierung zu nutzen. Man hat Solaris eine weitere Schutzschicht hinzugeführt, die ausführbaren Programmen erlaubt, den Adressraum zu sehen, der jeder Applikation zugewiesen ist. Es gibt auch die Möglichkeit, einen „Nicht ausführen“-Bereich im Speicher einzurichten, der Buffer-Überlauf-Angriffe verhindern soll. Auch haben Kunden bei Solaris die Option, im BIOS die Virtualisierung abzuschalten, sodass virtuelle Maschinen nicht laufen können.
Das gestiegene Interesse an der Virtualisierung brachte Herstellern wie Sun, IBM und Novell gewaltige Umsatzzuwächse. Das gilt auch für kleinere Firmen, die Virtualisierungssoftware und -dienste anbieten. Der grösste Teil des Geschäfts dieser Firmen waren bislang Serverkonsolidierungsprojekte.
Dies dürfte sich mittel- bis langfristig aber ändern, da immer mehr IT-Abteilungen Virtualisierung als Lösung entdeckt haben, um Probleme mit verlorenen Laptops oder virenverseuchten Computern zu vermeiden. Sun und IBM haben ausgereifte Architekturen, mit denen Thin-Clients auf den Schreibtisch gebracht werden, während im Backend zahlreiche virtualisierte Server-Ressourcen zur Verfügung stehen.
Solche Architekturen gelten aus der Sicherheitswarte als positiv – nicht zuletzt, weil Thin-Clients keinerlei Daten speichern. Die Clients sind eigentlich nichts anderes als Terminals, mit denen die Mitarbeiter auf ihre Desktop-Images zugreifen, die sich auf einem Server befinden. Die EMA-Studie fand heraus, dass 52% der Unternehmen, die Virtualisierung einsetzen, Sicherheit als Hauptgrund dafür angeben.
„Es gibt beträchtliche Sicherheitsvorteile, wenn man Thin-Clients einsetzt. Der wichtigste dürfte die enge Kontrolle der Endpunktdaten sein“, führt Patricia Bolton aus, die als CTO der IBM Global Services End User Services Group fungiert.„In dieser Konfiguration gibt es keine Daten auf den Endpunkten. Das ist extrem wichtig, weil sich immer mehr Firmen Sorgen machen über die Weitergabe unautorisierter Daten“, fügt sie hinzu. „Wann immer ein Laptop gestohlen wird, ist das eine Sicherheitskatastrophe.“
