13 Mai 2014
Drei Möglichkeiten für den Schutz virtueller Maschinen.
Virtuelle Maschinen schützen oder nicht schützen – das war die Frage, die viele stellten. Die Antwort war allerdings immer schon die gleiche: schützen.
Die schwerere Frage ist, wie man virtuelle Maschinen schützen kann.
Ich habe auf diesen Cyber-Seiten schon einiges über das Konzept einer agentenlosen Antivirus-Lösung für VMware geschrieben. Doch die Technologie bleibt nicht stehen und entwickelt sich immer weiter. Während sich die Virtualisierung weiterentwickelt und immer mehr Firmen und Organisationen die eindeutigen Vorteile erkennen, werden immer mehr Programme und Einsatzmöglichkeiten dafür entwickelt, die den Schutz der virtuellen Maschinen vor neue Herausforderungen stellen.
Es gibt natürlich einen speziellen Sicherheitsansatz für virtuelle Maschinen, einen anderen für Datenbanken, einen weiteren für Webseiten und so weiter. Und natürlich ist ein agentenloser Antivirus nicht die einzige Schutzmöglichkeit, und VMware ist nicht die einzige Virtualisierungsplattform, wenn auch die beliebteste.
Welche Alternativen gibt es also für den Schutz virtueller Systeme?
Agentenlos
Beginnen wir kurz mit einem „bisher in Eugene Kasperskys Blog“, da hierüber schon mit aller Tiefe gesprochen wurde (hier)…
Dieser Ansatz benötigt eine spezielle virtuelle Maschine mit Antivirus-Engine, die Security Virtual Appliance. Diese Maschine scannt den Rest der virtuellen Infrastruktur auf Schadprogramme, indem sie sich über die native VMware-vShield– Technologie mit den anderen virtuellen Maschinen verbindet. vShield interagiert auch mit dem Antivirus-System-Management, so dass es die Einstellungen der Policies kennt und weiß, wann der Schutz ein- und ausgeschaltet werden muss, wie er optimiert werden kann und so weiter.
Die Security Virtual Appliance schützt alle anderen virtuellen Maschinen
Das klingt nach Allheilmittel, doch das agentenlose Konzept enthält eine prinzipielle Schwäche Nuance: eingeschränkte Funktionsfähigkeit des Antivirus, denn das vShield-Interface erlaubt nur das grundlegende Scannen von Dateien. Damit verzichtet der Schutz auf elle möglichen fortschrittlichen Schutztechnologien, etwa Programmkontrolle, SystemWatcher, Whitelisting, Heuristik, Gerätekontrolle und Webkontrolle. Und auch die Dateiprüfung ist beschränkt: So gibt es keine Quarantäne für verdächtige Dateien und keinen Zugriff auf den Speicher oder die laufenden Prozesse.
Doch vShield wurde auch nicht als Komplett-Interface entwickelt, das alle Schutzfunktionen ermöglichen soll. Es kann dennoch gut eingesetzt werden (dazu später mehr), doch es gibt noch eine weitere Möglichkeit, bei der die unterschiedlichen Schutzfunktionen voll eingesetzt werden können…
…Auftritt für den LightAgent
Mit diesem Ansatz wird ein so genannten LightAgent („light“ im Sinne von ressourcenschonend und klein) auf jeder geschützten virtuellen Maschine installiert. Dieser Agent ersetzt vShield und verbindet die virtuelle Maschine mit der Antivirus-Engine auf der Security Virtual Appliance.
Damit umgehen wir die Einschränkungen des VMware-Interfaces und fügen unser komplettes Arsenal von Verteidigungstechnologien hinzu. Gleichzeitig nutzen wir die Vorteile des agentenlosen Ansatzes: Geringer Ressourcenverbrauch, einfaches Management, und Stabilität auch in „Stürmen“ (Flaschenhälse, die durch gleichzeitige Antivirus-Datenbank-Updates oder den gleichzeitigen Viren-Scan auf vielen Maschinen ausgelöst werden).
Die Security Virtual Appliance schützt alle anderen virtuellen Maschinen (wie oben im angentenlosen Beispiel)
+
Ein kleiner LightAgent auf jeder virtuellen Maschine ermöglicht Zugriff auf alle Sicherheitstechnologien
Ein LightAgent ist natürlich dennoch etwas „schwerer“ als die agentenlose Lösung, da er auf jeder virtuellen Maschine ein bisschen Speicher, Pozessorleistung und andere Ressourcen benötigt. Nichtsdestotrotz ist der Ressourcenappetit des LightAgent verglichen mit den Mega-Pferdestärken heutiger Computer recht gering. Und das Ganze hat noch einen Vorteil: Manche Standard-Aufgaben des Antivirus-Programms können auf diese Art und Weise schneller als in der agentenlosen Version ausgeführt werden. Doch die Hauptsache ist, dass der LightAgent dank der erhöhten Schutzqualität mit allem Drum und Dran der beste Bewerber ist.
Doch was, wenn Sie Daten schützen und alle Schutztechnologien inklusive Verschlüsselung auf virtuellen Maschinen nutzen möchten, die nicht unter Windows laufen? Dann…
…wird traditioneller Endpoint-Schutz benötigt.
Natürlich kann es problematisch sein, so eine ausufernde virtuelle Infrastruktur aufeinander abzustimmen, und die Wartung solch einer Lösung macht garantiert mehr Arbeit, doch manchmal gibt es Situationen, in denen so ein Ansatz sinnvoll ist.
Auf jeder virtuellen Maschine ist ein eigener Endpoint-Schutz installiert
Ok, damit ist die Theorie beendet; gehen wir in die Praxis über…
// Gleichzeit werde ich ein klein wenig die neue Version unserer Lösung für virtuelle Umgebungen bewerben :).
Vor kurzem haben wir Kaspersky Security for Virtualization 3.0 veröffentlicht. Und wir haben da wirklich einiges, mit dem wir zufrieden sind über das wir uns freuen.
Zunächst einmal unterstützen wir neben VMware nun auch CitrixXenServer und MicrosoftHyper-V.
Zum zweiten gibt es neben der agentenlosen Version für VMware nun auch eine Lösung mit LightAgent für alle drei Plattformen!
Zudem werden alle Produkte von einer einzigen Administrationskonsole aus verwaltet und kontrolliert, was vor allem bei Multi-Hypervisor-Umgebungen wichtig ist, um kein unübersichtliches Mischmasch von Konsolen entstehen zu lassen.
Für was sind die oben beschriebenen drei Ansätze also jeweils am besten?
Nun, generell sollte die Auswahl der Schutzlösung ungefähr auf die folgende Art und Weise erfolgen:
Für die maximale und beste Schutzleistung eines Windows-Systems wird der LightAgent benötigt. Auf anderen Betriebssystemen (Linux, OS X) ist eine Endpoint-Lösung die bessere Wahl; doch leider wird das Programm durch Überlegungen zur Produktivität und seine Interaktion mit Funktionen der virtuellen Umgebung beschränkt.
Momentan arbeiten wir bereits an der Unterstützung des LightAgent für andere Betriebssysteme. In der Zwischenzeit ist die agentenlose Variante die besten, wenn die Produktivität am wichtigsten, der Wert von Daten und Diensten nicht so hoch und der Zugriff auf Daten von außerhalb eingschränkt ist.
Wir haben die üblichen Aufgaben bei der Virtualisierung analysiert und folgende Tabelle zusammengestellt:
* – Datenwert: Abhängig von der Menge persönlicher, finanzieller, kommerzieller oder anderer kritischer Daten.
** – Servicewert: Bemessen an der Wichtigkeit ununterbrochenen Services für das Unternehmen
Die Tabelle ist weder eine vollständige, noch eine absolut eindeutige Darstellung, wie die drei Ansätze der Virtualisierungs-Sicherheit für unterschiedliche Umgebungen geeignet sind. Firmen verändern sich, Dringlichkeiten ändern sind, IT-Konfigurationen ändern sich, Budgets ändern sich… Die Tabelle soll dabei helfen, die möglichen Bedrohungen und die Methoden zur Bewertung von Aufgaben und Prioritäten aufzuzeigen. Weitere Details dazu finden Sie hier und hier (PDF).