Die Sicherheit von VMs in Cloud-Umgebungen

Die Rolle von virtuellen Maschinen in der Cloud

Ein Anbieter von Cloud-Diensten ist Eigentümer der physischen Hardware, Software, Netzwerke und anderer unterstützender Komponenten, die für die Betreuung seiner Kunden erforderlich sind. Durch das Clustering von Hardware stellt der Anbieter eine dynamische, softwaredefinierte Umgebung bereit, die in der Lage ist, die sich ändernden Anforderungen eines Kunden zu unterstützen - ohne dass der Kunde physische Geräte kaufen und warten muss.

Der Schlüssel zu dieser Just-in-Time-Bereitstellung von Cloud-Diensten nach Bedarf ist die virtuelle Maschine. Auf einer physischen Maschine läuft ein einziges Betriebssystem, wodurch eine 1-zu-1-Beziehung entsteht, aber viele VMs können auf einer einzigen physischen Maschine existieren, was zu einer 1-zu-N-Umgebung führt. Ermöglicht wird diese Erweiterung durch den Hypervisor, auch bekannt als Virtual Machine Monitor (VMM).

Der VMM ist für die Erstellung und Verwaltung von VMs und gemeinsam genutzten Ressourcen wie Arbeitsspeicher und Festplattenplatz sowie für Rollen und Berechtigungen zuständig. Dies macht den VMM natürlich zu einem wichtigen Angriffspunkt für die Sicherheit.

Was ist virtualisierte Sicherheit, wie funktioniert sie und wie nicht?

Die Sicherheit für VMs beruht auf Software wie Firewalls, Intrusion Detection Systemen und Identitätszugriffsmanagement-Tools. Dies ähnelt der physischen Umgebung, allerdings mit einem entscheidenden Unterschied: dem Standort der Sicherheitsprodukte. In der physischen Umgebung können (müssen aber nicht) dedizierte Hosts die Sicherheitssoftware ausführen. Diese Hosts, die in der Vergangenheit als Bastion Hosts bezeichnet wurden, sind durch physische und logische Kontrollen gesichert.

Die virtuelle Sicherheit hingegen beruht ausschließlich auf der Umsetzung logischer Konstrukte. Die physische Sicherheit in dieser Umgebung ist das, was auch immer der Anbieter implementiert hat. Die logische Sicherheit hängt vom Eigentümer der VM ab, wie in der Service-Level-Vereinbarung (SLA) festgelegt. Daher schneiden Eigentümer, die ihre Software regelmäßig aktualisieren und patchen, in der Regel besser ab als diejenigen, die dies nicht tun. Sollte der VMM-Eigentümer mit den Aktualisierungen in Verzug geraten, sind die bewährten Verfahren des VM-Eigentümers nur von begrenztem Wert.

Diese fehlende Trennung zwischen physischen und logischen Umgebungen schafft das Potenzial für transitive Sicherheitsprobleme, bei denen eine gefährdete physische Umgebung zu mehreren gefährdeten VMs führen kann. Die Angriffspfade, die Sicherheit in der VM-Umgebung erfordern, befinden sich sowohl in der eigentlichen VM als auch in den von VMMs kontrollierten und gemeinsam genutzten Ressourcen. Ein Beispiel für dieses Problem ist, wenn eine fehlende physische Trennung eine Umgebung schafft, in der ein kompromittierter Speicherblock in einem Bereich zu einem Problem für alle VMs wird.

Trotz der VMM-VM-Schwachstellen bleibt die Verwendung veralteter Pakete eine häufige Schwachstelle für Anwendungen, die in der VM laufen. Dieses Problem verdeutlicht das häufige Sicherheitsproblem, wenn die Software nicht gewartet und auf dem neuesten Stand gehalten wird. Dies führt zu einer kompromittierten VM und möglicherweise zu anderen beeinflussten VMs in der Umgebung, vorausgesetzt, sie entsprechen alle dem gleichen Profil.

Die Bedeutung der VM-Sicherheit

Um die VM-Sicherheit in der Cloud zu verstehen, sollten Sie diese wichtigen Konzepte berücksichtigen:

• Ein geringerer Hardware-Fußabdruck verringert die Ressourcen, die für die physische Umgebung im Allgemeinen und die physische Sicherheit im Besonderen aufgewendet werden. Der Eigentümer der physischen Geräte führt physische Sicherheitskontrollen durch. Dies kann auf Drängen des Mieters oder des Eigentümers geschehen. In einigen Fällen können erfahrene Mieter die physischen Anforderungen über die SLA zu geringeren Kosten verbessern, als wenn sie die Wartung selbst vornehmen würden.
• Die natürliche Trennung der VMs führt zu einer logischen Segmentierung. Obwohl sie nicht so sicher ist wie die physische Segmentierung, ist die logische Segmentierung eine praktikable und weit verbreitete Praxis. Sie ermöglicht die dynamische Segmentierung von VMs nach Benutzern, IP-Adressen, Diensten oder Projekten. Diese dynamischen Segmente können so lange wie nötig bestehen bleiben und dann schnell wieder verschwinden.
• Die Kosten für Hardware und Software sind natürlich höher als die Kosten für das Leasing von Software nach Bedarf, aber ein weiterer Aspekt sind die Gesamtbetriebskosten (TCO, Total Cost of Ownership). Zu den TCO gehören die Kosten für den physischen Raum, die Energie für die Wartung der Umgebung, das qualifizierte Personal und die notwendigen Patches und Updates. Je nach SLA zwischen Kunde und Anbieter kann der Kunde für die VM-Wartung verantwortlich sein oder auch nicht, aber der Dienstanbieter ist immer für die Sicherheit der VMM verantwortlich.

Herausforderungen für die VM-Sicherheit

Die Sicherheitsherausforderungen für VMs sind in einigen Fällen die identischen wie bei physischen Maschinen. Dies ist weitgehend auf die Art der datengesteuerten Angriffe auf Anwendungen, Bibliotheken und Betriebssysteme zurückzuführen. Der Unterschied besteht darin, dass der Schutz vor Angriffen auf Firmware und VMMs auf niedrigerer Ebene in der Verantwortung des Anbieters liegt. Ein Anbieter hat zwar ein großes Interesse daran, die Sicherheit des VMM und anderer Komponenten aufrechtzuerhalten, doch Zero-Day-Angriffe kommen vor, und der daraus resultierende Verlust kann jeden Mieter treffen.

Es gibt drei wesentliche Sicherheitsherausforderungen bei VMs:

• Shared-Space-Problem. Der VMM ist ein ergiebiges Ziel, denn sobald er angegriffen wird, sind alle VMs angreifbar. Da der VMM gemeinsam genutzte Bibliotheken, Speicher sowie Bereitstellungs- und Verwaltungssoftware enthält, können Angreifer mehrere Umgebungen erreichen und ihre Aktivitäten verschleiern.
• Standardisierte VM-Konfigurationen. Die Verwendung automatisierter Prozesse ermöglicht eine effizientere Konfiguration. Die Software, die die Konfigurationen verwaltet, verlässt sich in der Regel entweder auf einen übergebenen Parameter oder auf Informationen, die aus der Abfrage der VM gewonnen werden. Dies ist zwar keine eigenständige Schwachstelle, aber das eigentliche Problem ist die Wiederverwendung des Skripts. Sobald ein Skript kompromittiert wurde, lässt sich das Problem leicht über VMs hinweg replizieren. Eine verwaltete erweiterte Bedrohungserkennung und -reaktion kann bei der Bekämpfung dieses Problems hilfreich sein.
• Verpasste Patches und Updates. Dieses Problem ist nicht unähnlich dem eines Benutzers, der dasselbe Passwort für mehrere Server verwendet; sobald die erste Instanz entdeckt wird, sind die übrigen Instanzen bereit, ausgenutzt zu werden. Achten Sie auf Patch-Updates, sobald sie veröffentlicht werden.

Bewährte Verfahren zur Absicherung von VMs in der Cloud

Da die Sicherheit in der Cloud nicht gewährleistet werden kann, besteht der richtige Ansatz darin, das Risiko zu minimieren. Bei VMs wird dies durch die Pflege aktueller Versionen der Software erreicht, die diese Maschinen verwenden, insbesondere der Betriebssysteme.

Neben der detaillierten Angabe der Messgrößen für die erwartete Dienstqualität sollte ein sorgfältig ausgearbeitetes SLA auch spezifische Angaben zu den Berührungspunkten zwischen dem Dienstanbieter und dem Netzanbieter sowie zwischen dem Anbieter und dem Kunden enthalten. Im Allgemeinen ist es besser, wenn sich die Sicherheitsmaßnahmen an diesen Stellen überschneiden, als wenn es Lücken gibt, aber die Überschneidungen sollten so gering wie möglich gehalten werden. Achten Sie auch auf Dateneigentum und -speicherung, insbesondere wenn Ihr Cloud-Anbieter weltweit vertreten ist. Peering-Vereinbarungen zwischen Präsenzpunkten gewinnen an Bedeutung, weil Infrastrukturkomponenten die Grenzen der Gerichtsbarkeit überschreiten; die Möglichkeit, in der SLA festzulegen, dass Daten und Metadaten bestimmte Grenzen nicht überschreiten, ist wichtig.

Die Segmentierung der VMs über softwaredefinierte Netzwerke ermöglicht die Isolierung innerhalb der virtuellen Umgebung. Die Segmentierung kann nach Gruppen, Adressen, Diensten oder jeder anderen vom Eigentümer gewählten Methode erfolgen. Außerdem sollten Sie Zero-Trust-Praktiken anwenden.