Mit den sechs richtigen Tipps zu einer Sicherheitsstrategie, die weniger Leistung frisst

16. Oktober 2019

Egal ob physisch oder virtualisiert, Endpunkte sind in vieler Hinsicht die Achillesferse des Netzwerks. Virtualisierte Workloads werden darüber hinaus auch oft noch außerhalb des eigenen Rechenzentrums gehostet und sind somit besonders angreifbar. Der Hauptgrund für Unternehmen ihre Umgebungen zu virtualisieren ist der Gewinn an Flexibilität. Doch der erhöhten Flexibilität stehen auf der Gegenseite neue Herausforderungen für die Sicherheit gegenüber, genauso wie Abstriche bei der Performance, vor allem wenn Workloads nicht zentral, sondern über einzelne lokale Agenten auf jedem virtuellen Endpunkt abgesichert werden.

Endpunkte sind und bleiben durch zahlreiche Angriffsvektoren verletzlich, zum Beispiel durch Malware, durch Phishing oder über manipulierte Webseiten. Aus Sicherheits- und Compliance-Sicht sollten virtuelle Workloads natürlich das gleiche Schutzniveau wie physische Workloads genießen. Und aus Administrationssicht sollte die Sicherheit genauso flexibel gestaltet sein, wie die Virtualisierung selbst: skalierbar, einfach zu verwalten sowie leistungsstark.

Im Alltag zeigt sich jedoch allzu oft, dass vor allem kleinere Unternehmen dazu neigen, die Sicherheit in ihrem virtualisierten Anteil der Infrastruktur zu vernachlässigen: Die Umgebungen sind agil und leistungsstark, aber voller Schwachstellen. Im Gegensatz dazu scheinen größere Unternehmen dazu zu neigen, die Herausforderungen der Virtualisierung an ihre Rechenzentren zu vernachlässigen.

Die Umgebung ist zwar meist sicher, dafür aber oft langsam und teuer. Generell fallen die Auswirkungen der IT-Security auf virtualisierte Umgebungen oft drastischer aus, als sich viele Unternehmen eingestehen wollen, in Form von Performanceverlust, ineffizienter Nutzung teurer IT-Ressourcen, hohem Zeitaufwand für die Security-Zuständigen und in einer für Angriffe anfälligeren Umgebungen.

Auswirkungen der IT-Security auf virtuelle Infrastrukturen

Die Verwendung herkömmlicher Sicherheitstools wie bei regulären physischen Endpunkten verlangsamt virtuelle Umgebungen um bis zu 30 Prozent und um bis zu 20 Prozent in Bezug auf die Anwendungsleistung. In einem Test konnte ein Host mit einer klassischen Endpoint Security 35 Prozent weniger VDI-Sessions gleichzeitig hosten als mit einer auf diese Aufgabe hin entwickelten Sicherheitslösung. Wenn ein Unternehmen hingegen spezielle Sicherheitstools nur für die virtuelle Umgebung verwendet, benötigt es möglicherweise zusätzliche Teamressourcen und Security-Kompetenz.

Speziallösungen allein für virtuelle Maschinen erfordern darüber hinaus zusätzliche Hardware in Form von Speicher, Prozessorleistung oder weitere Cloud-Kapazitäten. Hinzu kommen Lizenzkosten für die Lösung und das darunterliegende Betriebssystem. Doch vor allem braucht das Unternehmen wiederum Fachpersonal, das die zusätzlichen Konsolen überwacht und bedient. Solche Fachkräfte sind derzeit kaum zu finden.

Ein typisches Einfallstor in Unternehmensnetzwerke sind virtuelle Maschinen, die ohne Gedanken an die Sicherheit schnell zu Testzwecken aufgesetzt wurden. Später wird oft vergessen, die Maschinen wieder zu löschen, die dann ohne die nötige Sicherheit laufen und als schwächstes Glied in der Verteidigungskette buchstäblich dazu einladen, gehackt zu werden. Um dies zu vermeiden, benötigen Organisationen eine übergreifende Sicherheitsstrategie, die alle Endpunkte beinhaltet.

MSP Dashboard
Quelle: Bitdefender

Eine solche Strategie stellt sicher, dass alle Endpunkte, und insbesondere virtuelle Endpunkte, „von Geburt an“ sicher sind, und es über ihre gesamte Lebensdauer bleiben. Kann eine Strategie das nicht bieten, so erhält die Organisation eine anfällige Umgebung als Resultat. Zu Recht fragen sich Organisationen, wie ihre Sicherheitsstrategie aussehen muss, um die Vorteile von Virtualisierung und die nötige IT-Security in Einklang bringen können.

Sechs Technologien führen zum Ziel

Um moderne Netzwerke effizient abzusichern, muss eine Sicherheitsstrategie sowohl private als auch öffentliche Umgebungen, also Clouds, umfassen und in diesen physische und virtuelle Workloads gleichermaßen sichern. Diese folgenden sechs Technologien können dabei helfen, dies effizient zu erreichen.

  • Ein einheitlicher Sicherheits-Agent: Sicherheit besteht aus vielen Komponenten. Dazu gehören neben den Grundlagen wie Websecurity, Firewall, Anti-Malware, Next-Gen-Antivirus und Anti-Exploit auch Funktionen wie Festplattenmanagement, Gerätesteuerung, Patch Management und Reporting. Benötigt eine Sicherheitslösung für jede dieser Funktionen eigene Software-Agenten auf den VMs, ist dies weder der Gesamtleistung noch der Administrierbarkeit förderlich. Ideal ist ein Agent für alles, der auf jeder Sicherheits-Ebene Funktionen der neuesten Generation enthält, wie Behavioral Analytics, Machine Learning, Prozessüberwachung, automatisiertes Patchmanagement und Sandboxing.
  • Ein ressourcensparender Sicherheits-Agent für VDI: Einer der Vorteile virtueller Desktops ist, dass Administratoren gezielt nur die Anwendungen freigeben, die die Benutzer wirklich brauchen. Wenn dann aber jeder Desktop durch ressourcenverschlingende Security-Agenten aufgebläht wird, ist der Nutzen gering. Unternehmen können in Vergleichstests leicht messen, wieviel Prozessorleistung verschiedene Sicherheits-Agenten verbrauchen – und entsprechend entscheiden.
  • Eine gemeinsame Security-Konsole für alle Endpunkte denn generell gilt: Weniger Agenten bedeutet weniger Konsolen. Der Idealzustand ist eine einzige Konsole, die alle Aspekte der Security verwaltet, und zwar für die gesamte IT-Umgebung des Unternehmens, inklusive physischer Endpoints, Server, Storage und Cloud-Instanzen. Angesichts der heutigen Bedrohungslage sollte auch EDR (Endpoint Detection and Response) in der gleichen Konsole integriert sein. EDR zeichnet Aktivitäten und Ereignisse von Endgeräten auf und durchleuchtet sie auf verdächtige Aktivitäten. Ist das EDR mit der Endpoint Protection Platform (EPP) gebündelt, entstehen weitaus weniger Warnmeldungen, dafür aber relevantere.
  • Zentrales Scannen auf der Ebene des Hypervisors: Wenn man auf einem Server 200 VMs betreibt und jede dieser VMs scannt Dateien mit seinem eigenen Agenten, verbraucht dies natürlich erhebliche Ressourcen. Wenn man dagegen Zentrales Scannen für den gesamten Hypervisor nutzt, kann dies den Aufwand stark reduzieren. Die eleganteste Sicherheitsarchitektur für virtualisierte Umgebungen lässt sich so skizzieren: Es gibt pro Rechenzentrum nur eine einzige, zentrale Installation der Sicherheitslösung. Zu dieser Installation gehören typischerweise ein Communication Server, der die Kommunikation mit den Endpunkten übernimmt, ein Webserver für die Kommunikation mit dem Hersteller, ein Update Server, der sich die Updates beim Betreiber holt, und eine Datenbank. Hinzu kommt der Security Server. Dies ist die Instanz, die für das Malware-Scanning der Endpunkte zuständig ist. Auch dieses könnte, theoretisch, auf Rechenzentrumsebene zentralisiert werden. Das würde aber einen unnötigen Netzwerk-Traffic verursachen, der sich vermeiden lässt, wenn genau diese eine Teilkomponente der Security-Lösung direkt auf jedem Hypervisor installiert ist.
  • Überwachung des Arbeitsspeichers des Hypervisors: Hypervisor Introspection (HVI) überprüft den RAM des Hosts auf Hypervisor-Ebene. HVI erkennt Manipulationen des Speichers und die rund zehn gebräuchlichen Hacking-Techniken, die bei der Ausnutzung von Zero-Day-Exploits und bei APTs eingesetzt werden. Dies findet außerhalb des Betriebssystems des virtuellen Desktops statt, ist somit agentenlos und kompatibel mit jeder In-Guest-Sicherheitslösung. HVI benötigt eine Schnittstelle des Hypervisors und ist derzeit erhältlich für Citrix- und KVM-Umgebungen.
  • Automatisierung: Cyber-Sicherheit entwickelt sich ständig weiter und erfordert konstante Fortbildung. Doch der Arbeitsmarkt für Sicherheitsspezialisten ist komplett leergefegt. Um dieses Problem auszugleichen, sollten Unternehmen die Chancen der Automatisierung nutzen und ausreizen. So lässt sich beispielsweise die Absicherung neu geschaffener VMs von der ersten Sekunde an Automatisieren. Das schafft natürlich Entlastung für die IT-Sicherheit, die sich fortan um ein komplexes Problem weniger kümmern muss. Auch ein EDR, das mit der Endpoint Security kommuniziert, entlastet IT-Sicherheitsteams. Das integrierte System kann Sicherheitsvorfälle automatisiert priorisieren und Vorschläge zur Lösung des Problems per Mausklick anbieten, zum Beispiel die Unterbrechung eines Prozesses, die Verschiebung in eine Sandbox oder die Prüfung einer Datei auf VirusTotal.

Die Nutzung dieser technischen Möglichkeiten kann zum Erfolg von Virtualisierungsprojekten beitragen. In vielen Fällen, in denen die Sicherheit als ein nachträglicher Aspekt der Virtualisierung betrachtet wurde, machte dies die erwarteten Vorteile wieder zunichte. Das Ergebnis ist im schlimmsten Fall eine anfällige, unsichere Umgebung, die gleichzeitig schwerer zu verwalten ist und unnötig hohe Computing-Ressourcen verbraucht.

Eine solide Sicherheitsstrategie für virtualisierte Umgebungen umfasst dagegen die frühzeitige Berücksichtigung der für die Sicherheit erforderlichen Hardware- und Personalressourcen. Geeignete Sicherheitslösungen für gemischte Umgebungen aus physischen und virtuellen Maschinen sowie Cloud-Ressourcen müssen über weit mehr Eigenschaften verfügen, als man anfangs vermuten mag.

Doch auch wenn Technologien dabei helfen können, die Sicherheit von virtualisierten Umgebungen zu erhöhen, ohne die Leistung dessen auszubremsen, darf man den Faktor Mensch nicht außer Acht lassen: Die Voraussetzung für den Einsatz der richtigen Technologie ist es, dass die Verantwortlichen für die Virtualisierung und für die Security miteinander sprechen und an einem Strang ziehen.

Herbert Mayer ist Sales Engineer bei Bitdefender

Bitdefender

Lesen Sie auch