Sicher virtualisiert oder nur virtuell sicher?

Geschrieben von Sebastian Klipper am 5. Juli 2009. Berichten Sie über diesen Beitrag via Twitter oder Xing.

InfoSec Stammtisch BerlinAm 13.07.2009 trifft sich der Berliner Information Security Stammtisch zu seinem ersten Event: Themenabend Virtualisierung + Automatisierung. Bereits im September letzten Jahres thematisierte die Computerwoche unter der o.a. Schlagzeile ausführlich die Risiken dieser Technologie. Um den Themenabend inhaltlich vorzubereiten werden hier die wichtigsten Punkte des Beitrags noch einmal zusammengetragen. Im Rahmen des Themenabend kann dann erörtert werden, was sich seit dem getan hat: Welche Punkte stehen noch aus? Was wurde verbessert?

Virtualisierte Security Appliances

Das Thema Virtualisierung beschäftigte die letztjährige Black Hat Konferenz. Der IT-Sicherheitsexperte Christopher Hoff, Chief Security Architect von Unisys, erläuterte auf der US-Sicherheitskonferenz in einem Vortrag die Sicherheitsrisiken, die damit verbunden sind, wenn bewährte Sicherheitsprodukte wie Firewalls, Virenscanner und Intrusion-Prevention-Systeme (IPS) durch virtualisierte Versionen ersetzt werden sollen. Diese übernehmen die gleichen Funktionen wie ihre physikalischen Pendants, bestehen aber lediglich virtuell. Glaubt man den Herstellern funktioniert das reibungslos.

Black Hat (Quelle: https://www.blackhat.com/)Das Fazit von Hoff war damals niederschmetternd: alle Module, mit denen virtuelle Umgebungen gesichert werden sollen, seien untauglich. Sie seien zu langsam und nicht skalierbar. Obendrein verursachten sie Kosten, anstatt Geld einzusparen. Keines der Absicherungsprodukte für unter VMware ESX virtualisierte Server sei auch nur annähernd so praxistauglich wie die vorhandenen Hardwareprodukte.

“In manchen Szenarien sind dedizierte Hardwareprodukte den virtuellen Appliances nach wie vor weit überlegen, und es wäre Wahnsinn, sie ersetzen zu wollen. Herkömmliche Appliances auf Basis standardisierter x86-Systeme lassen sich dagegen sehr wohl virtualisieren,” sagte Martin Niemer, Senior Product Manager bei VMware damals.

Aus seiner Sicht besteht dieses Problem nur in großen bis sehr großen Rechenzentren, in denen hoch spezialisierte Security-Hardware eingesetzt wird.

Christopher Hoff teilt das Thema in drei Kategorien ein:

  1. Absicherung von virtualisierten Servern
  2. Virtualisierte Sicherheitskomponenten
  3. Absicherung durch Virtualisierung

“Erst einmal sollten die Anbieter von Sicherheitsprodukten die aktuellen Probleme lösen, dann mache ich mir Gedanken über Blue Pill und ähnliche Angriffe,” sagte Hoff.

Hoffs Hauptkritikpunkt ist die mangelnde Flexibilität. Bestehende Sicherheitsinfrastrukturen in eine virtualisierte Umgebung zu übertragen sein nicht möglich. Um die gewohnte Funktionalität beizubehalten, müssen die vorhandenen Sicherheitskomponenten also weiterbetrieben werden. Hierdurch steigen Kosten und Komplexität.

VMware-Mitarbeiter Niemer konterte: Gerade “VMware HA” sorge dafür, dass – wenn ein physikalischer Host ausfalle – die VMs auf einem anderen Host sofort gestartet werden könnten. Das gelte auch für Security-Appliances. Hoffs Einwand klingt aber auch einigermaßen logisch:

“Wie soll eine einzige Appliance gleichzeitig die Funktionen von Virenscanner, Firewall, IPS/IDS und anderen Systemen übernehmen? Das klappt schon mit dedizierter Hardware nicht, denn sobald der Virenscanner läuft, steht meist das ganze System. Dieses Konzept in die komplexe Welt der virtuellen Server übertragen zu wollen, ist in meinen Augen weltfremd.”

API-Sicherheit

HardwareZu VMwares Programmierschnittstelle wurden durch den IT-Sicherheitsexperten John Fitzpatrick Tools und Skripte entwickelt, mit denen ein Angreifer die Kontrolle sowohl über den VMware-Server als auch den ESX Server erlangen kann. Die Tools und Skripte sind auch unter der  grafische Benutzeroberfläche “dradis” verfügbar.

Die wichtigste Maßnahme gegen seinen Angriff ist laut Fitzpatrick die Separation des VMware-Management-Netzes vom übrigen Netz – mittels Firewall oder eigene physikalische Switches. Relativiert das nicht den Nutzen von Virtualisierung, wenn diese durch Hardware abgesichert werden muss? Welche Lösungsmöglichkeiten gibt es hier?

VMSafe-Konzept

Hoffnungen setzte Hoff auf das VMSafe-Konzept von VMware, in dem er die einzige Chance sah, Security-Produkte zu virtualisieren. Aber es gibt auch Argumente, die gegen VMsafe sprechen: Die gesteigerte Komplexität von ESX und somit dessen potenziell höhere Verwundbarkeit. Simon Crosby von Xensource äußerte in einer Podiumsdiskussion auf der RSA Conference die Ansicht, ein Hypervisor sollte aus Performance- und Sicherheitsgründen so schlank wie möglich sein. Ziel der Entwickler müsse es sein, “täglich” Quellcode zu entfernen, statt neuen hinzuzufügen. Sicher ein Interessantes Topic für unseren Stammtisch.

BluePill-Angriffe

Blue PillSelbst der Virtualisierungs-Skeptiker Hoff erachtet dieses Szenario als unrealistisch: Ein bösartiger Hypervisor wird vor dem gutartigen Hypervisor geladen. Der Hypervisor wird so selbst virualisiert. Hier wäre die Frage interessant, was aus dem IBM-Projekt “Phantom” geworden ist, dass sich mit genau diesem Problem beschäftigen sollte.

Einige Fragen also, die sich beim Thema Virtualisierung aus der Security-Ecke stellen. Ich freue mich jedenfalls auf eine angeregte Diskussion und hoffe, die Anregungen aus diesem Artikel geben einen kleinen Vorgeschmack auf den kommenden Montag.

Kategorie: Szene.
Tags: , , .

Hinterlassen Sie einen Kommetar

Mit dem Absenden Ihres Kommentars willigen Sie ein, dass der angegebene Name, die E-Mail-Adresse und die IP-Adresse, die Ihrem Internetanschluss aktuell zugewiesen ist, von mir im Zusammenhang mit Ihrem Kommentar gespeichert werden. Die E-Mail-Adresse und die IP-Adresse werden natürlich nicht veröffentlicht oder sonst weitergegeben. Mehr hierzu in der Datenschutzerklärung.