Getty Images/iStockphoto
Hyper-V: Virtuelle Umgebungen richtig absichern
Sicherheitslücken in virtuellen Umgebungen haben erhebliche Auswirkungen auf Firmen. Dabei gibt es eine Reihe empfehlenswerter Maßnahmen, wenn es um den Schutz von Hyper-V geht.
Die Absicherung von Hyper-V ist der entscheidende Bereich, wenn es um die virtuellen Umgebungen in Unternehmen geht. Ohne geeignete Sicherheitsvorkehrungen riskieren Admins nicht nur Datendiebstähle, sondern auch den ordnungsgemäßen Betrieb ihrer virtuellen Maschinen (VMs).
Um die Sicherheit und Leistungsfähigkeit ihrer IT-Umgebungen zu garantieren, sollten sie sich deswegen zuallererst auf den Schutz von Hyper-V konzentrieren. Dazu gehören zunächst eine Inventur aller aktuell genutzten Systeme sowie mehrere Maßnahmen wie die Nutzung des Host Guardian Services (HGS), ein Umsteigen auf VMs der sogenannten zweiten Generation, das Installieren der jeweils aktuellsten Patches und ein Sicherstellen funktionierender Systemstarts, um den Schutz von Hyper-V zu optimieren.
Windows Server 2016 bietet eine bessere Absicherung von Hyper-V
Der Windows Server 2016 von Microsoft bietet ein überarbeitetes Sicherheitsmodell, das sowohl die Wirtssysteme als auch die Gäste besser vor schädlichen Aktivitäten schützen kann. Damit ist es etwa möglich, in einer Guarded Fabric besonders abgesicherte virtuelle Maschinen zu starten und mittels HGS zu schützen.
Mit den Host Guardian Services lassen sich beispielsweise spezielle Shielded VMs erzeugen, die durch eine zusätzliche Verschlüsselung geschützt werden. HGS ermöglicht zudem auch eine Verifizierung und Validierung der zugrunde liegenden Architektur.
Generation 2 VMs für mehr Sicherheit
Bevor ein Admin konkrete Schritte ergreift, um seine Hyper-V-Umgebung abzusichern, sollte er sich mit mehreren Bereichen beschäftigen. Hier sind insbesondere die sogenannten Generation 2 VMs zu nennen. Außerdem sollten die jeweils aktuellsten Patches eingespielt werden und Verbindungen mit den Gast-VMs nur noch per VPN (Virtual Private Network) erfolgen. Durch den Einsatz von Verschlüsselung können Admins ihre Storage-Ressourcen sowie Daten sowohl im Ruhezustand als auch bei der Übertragung weit besser schützen.
Die genannten Schritte sollten noch vor dem Aktivieren der aktuellen Hyper-V-Version durchgeführt werden. So kann verhindert werden, dass unbekannte oder nicht autorisierte Betriebssysteme und Firmware beim Start der VMs ausgeführt werden.
Schutz vor Meltdown und Spectre
Um sich auch vor künftigen Gefahren besser zu schützen, müssen Admins zudem sicherstellen, dass sie auch die Absicherung ihrer virtuellen Host-Umlegungen nicht vernachlässigen. Hardwareschwachstellen wie Meltdown und Spectre haben einen Einfluss auf die Sicherheit der Umgebungen. Die einzige Möglichkeit, die eigenen Systeme gegen diese Art von böswilligen Angriffen zu schützen, ist auch hier das Einspielen geeigneter Software-Patches.
Die Auswirkungen auf die Performance der VMs können allerdings erheblich sein. Admins sollten alle erforderlichen Patches installieren, benötigte Registry-Keys mit Hilfe einer Deployment-Software in ihre Windows-VMs integrieren, das BIOS der Wirtsrechner aktualisieren und dann ihre VMs neustarten, um mit geeigneten Monitoring-Tools die Auswirkungen zu überprüfen. Insbesondere die Patches für Meltdown und Spectre sind heutzutage für einen sicheren Betrieb von virtuellen Maschinen essentiell. Hier werden aber immer noch neue Updates veröffentlicht, die gegebenenfalls ebenfalls eingespielt werden sollten.
Probleme beim Start mancher Betriebssysteme
Beim Überprüfen ihrer Hyper-V-Umgebungen treffen Admins möglicherweise auch auf Betriebssysteme, die nicht erfolgreich booten. Das trifft ganz besonders auf Systeme zu, die mit Linux ausgestattet wurden. Praktisch jeder nach 2012 gebaute Computer nutzt mittlerweile Unified Extensible Firmware Interface (UEFI) Secure Boot. Damit können die Hersteller der Firmware weit mehr Funktionen anbieten, als es noch mit einem traditionellen BIOS möglich ist.
UEFI Secure Boot verhindert jedoch unter Umständen das Starten von Betriebssystemen, die nicht aus der Windows-Welt stammen. Das führt dann dazu, dass ihre Linux-Gäste auf mit UEFI Secure Boot ausgestatteten Systemen möglicherweise nicht mehr booten können. Als Gegenmaßnahme wurden spezielle Shim-Bootloader entwickelt, die auch auf Systemen mit UEFI Secure Boot ein Starten von Ubuntu, Fedora, OpenSuse und Red Hat ermöglichen. Der Shim-Bootloader dient dann als Brücke zwischen dem Betriebssystem und UEFI Secure Boot, um die Signatur des Gasts zu bestätigen und um ein erfolgreiches Booten zu ermöglichen.
Mehr Sicherheit für Ihre Hyper-V-Umgebungen
Ein Erhöhen der Sicherheit in Hyper-V-Umgebungen verhindert den Diebstahl sensibler Daten und andere sicherheitsrelevante Vorfälle. Das ist aber nicht nur mit einer einzigen Konfigurationsänderung oder einem Umstieg auf ein neues Produkt zu erreichen. Oft ist es deswegen besser, die vorhandene Umgebung auf die wesentlichen Funktionen und Anwendungen zu reduzieren und nur noch bekannt sichere Einstellungen und bewährte Best Practices zu nutzen. Wichtig ist dabei auch die Frage, welche Windows-Server-Version genutzt wird und wie dafür gesorgt werden kann, dass sie immer auf dem aktuellen Patch-Level ist.
Empfehlenswert ist ferner ein abgesichertes Remote-Management, das auf bewährten Verschlüsselungsprotokollen wie IPSec basiert. Mit Guarded Fabrics ist es zudem möglich, sowohl Wirts- als auch Gastsysteme nur noch in einer vertrauenswürdigen Umgebung zu nutzen.