Production Perig - stock.adobe.c
Die Sicherheitsrisiken bei virtuellen Appliances
Virtuelle Appliances sind so ungemein praktisch, um einfach Funktionalität bereitzustellen. Aber erfüllen sie in Sachen Sicherheit dieselben Maßstäbe wie eigene Systeme?
Virtuelle Appliances sind Komplettlösungen aus Betriebssystem und Anwendungssoftware, die als Download in Marktplätzen verfügbar und mittlerweile weit verbreitet sind. Die meisten Unternehmen wissen wenig über die von Softwareanbietern bereitgestellt virtuellen Appliances, die in ihrer Cloud-Umgebung ausgeführt werden.
Hat sich die IT-Abteilung Benchmarks angesehen oder einfach eine Marken-Appliance von einem Cloud-Marktplatz heruntergeladen? Hat das IT-Team die Appliance nach der Bereitstellung auf Sicherheitslücken getestet und geprüft, ob darauf das aktuellste Betriebssystem läuft? Oftmals mangelt es an einem Plan, diese Geräte regelmäßig zu überprüfen, um sicherzustellen, dass alles den aktuellen Anforderungen entspricht.
Bekannte Schwachstellen und veraltete Betriebssysteme
Bei der Nutzung der Public Cloud gilt in der Regel das „Shared Security“-Modell. In der Praxis bedeutet dies, dass Cloud-Anbieter für die Sicherheit ihrer Cloud-Infrastruktur und die Kunden für die Sicherheit ihrer Cloud-Workloads verantwortlich sind. In diesem Fall erstreckt sich die Verantwortung der Cloud-Kunden auch auf die virtuellen Appliances, die sie herunterladen und installieren.
IT-Verantwortliche und Benutzer in Unternehmen gehen häufig davon aus, dass virtuelle Appliances, die sie von Cloud-Marktplätzen und Anbieterseiten herunterladen können, frei von Sicherheitsrisiken sind. Stattdessen zeigt sich immer häufiger, dass viele virtuelle Appliances bekannte, von Cyberangreifern leicht ausnutzbare Sicherheitslücken aufweisen, die durch Patches eigentlich leicht zu beheben wären.
Einige dieser einschlägigen Schwachstellen sind EternalBlue, DejaBlue, BlueKeep, DirtyCOW und Heartbleed. Gleiches gilt für das Problem, dass sich in den Marktplätzen gängige virtuelle Appliances mit veralteten oder nicht mehr gepflegten Betriebssystemen finden. Die potenzielle Anfälligkeit einer virtuellen Appliance wächst mit jeder Schwachstelle, die ein Cyberangreifer ins Visier nehmen kann.
Weckruf für die Cloud-Sicherheit
Eine aktuelle Studie vermittelt einen ernüchternden Blick auf eine Branche, die Schwierigkeiten hat, ihre virtuelle Appliances auf dem neuesten Stand zu halten. Die Studie zeigt große Lücken in der Sicherheit virtueller Appliances auf und weist explizit darauf hin, dass die meisten Appliances tatsächlich mit bekannten Sicherheitslücken und/oder veralteten Betriebssystemen in Umlauf kommen.
Die Untersuchung erfasste insgesamt 401.571 Sicherheitslücken beim Scannen von 2.218 Images virtueller Appliances von 540 Softwareanbietern. Nach dem Prinzip der Offenlegung koordinierter Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD) wurden die Softwareanbieter über die spezifischen Probleme informiert.
Insgesamt haben mehrere Anbieter insgesamt fast 37.000 Sicherheitslücken gepatcht oder beseitigt, 53 Produkte vom Markt genommen und 287 Produkte aktualisiert.
Unternehmen sollten sich nicht nur auf Softwareanbieter verlassen
Die Softwareanbieter sind jetzt gefordert und haben zum Teil bereits reagiert. Unternehmen sollten sich dennoch nicht allein darauf verlassen, sondern proaktiv gezielte Maßnahmen für eine sicherere Cloud-Betriebsumgebung umsetzen. Das Verwalten und Aktualisieren der virtuellen Appliances ist ein notwendiger erster Schritt. So gilt es alle virtuellen Appliances immer auf Sicherheitslücken zu testen und diese gegebenenfalls zu beheben.
„Nutzer von virtuellen Appliances sollten direkten Zugriff auf Informationen darüber haben, wie ihre Softwareanbieter ihre virtuellen Appliances pflegen und patchen.“
Avi Shua, Orca Security
IT-Teams können aber nicht verwalten, was sie nicht kennen. Schwachstellenmanagement-Tools sind in der Lage, virtuelle Appliances zu erfassen und nach bekannten Schwachstellen und anderen Sicherheitsproblemen zu suchen. Wenn Schwachstellen auftauchen, kann ein geeignetes Tool diese beheben oder anderenfalls die gefährdete virtuelle Appliance außer Dienst stellen.
virtuelle Appliances, die in einem Marktplatz verfügbar sind, sollten jedoch bereits von Haus aus auf aktuellem Stand sein. Hier muss die Qualitätssicherung durch die Softwareanbieter erfolgen und auch transparenter werden.
Nutzer von virtuellen Appliances sollten direkten Zugriff auf Informationen darüber haben, wie ihre Softwareanbieter ihre virtuellen Appliances pflegen und patchen, auch im Hinblick auf zukünftige Schwachstellen. Wenn ein Anbieter hier keine klaren Antworten liefern kann, bleibt es den Nutzern frei, einen der vielen vorbildlichen Anbieter zu wählen, die alle grundlegenden Sicherheitsanforderungen mittlerweile erfüllen.
Über den Autor:
Avi Shua ist CEO und Mitbegründer von Orca Security.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.