pathdoc - stock.adobe.com
So kann man VDI-Umgebungen besser absichern
VDI-Umgebungen erfordern ein anderes Vorgehen beim Thema IT-Sicherheit. In drei Tipps zeigen wir, wie Sie Ihre virtuellen Desktops schützen und Datendiebstähle effektiv verhindern.
Wenn ein IT-Administrator die VDI-Umgebung (Virtual Desktop Infrastructure) in seinem Unternehmen besser schützen will, sollte er unter anderem die drei folgenden Maßnahmen ergreifen: Lokale USB-Anschlüsse deaktivieren, Netzwerke segmentieren sowie eine sorgsame Kontrolle der verwendeten Master Images.
Virtuelle Desktops sind ein geeignetes Mittel, um die Anwender im Unternehmen mit Desktops zu versorgen. Wenn sie jedoch ohne ausreichende Vorbereitungen eingesetzt werden, entstehen schnell Sicherheitsrisiken. Deswegen ist es wichtig, von Anfang an auf eine sichere VDI-Umgebung zu setzen, um Datendiebstähle zu vermeiden. Mit den im Folgenden näher erläuterten Maßnahmen verbessern Sie die Sicherheit in Ihrer VDI-Umgebung und minimieren den Schaden, falls doch einmal ein Datenklau erfolgen sollte.
Lokale USB-Anschlüsse deaktivieren
Jedes lokal angeschlossene USB-Laufwerk stellt ein Sicherheitsrisiko dar. Praktisch alle Unternehmen gewähren ihren Mitarbeitern einen Zugriff auf sensible Geschäftsdaten. Wenn ein Mitarbeiter jedoch lokale USB-Geräte nutzen darf, dann könnte er sie dazu verwenden, um Daten von seinem virtuellen Desktop auf zum Beispiel einen USB-Stick zu kopieren.
Software zum Management der angeschlossenen Geräte kann dafür sorgen, dass alle auf lokale Laufwerke kopierten Daten automatisch verschlüsselt werden. Das reduziert zwar das Risiko durch zum Beispiel einen von einem Mitarbeiter verlorenen USB-Stick. Böswillige Insider werden dadurch jedoch nicht gestoppt. Der beste Weg, um Datendiebstähle zu verhindern, ist deswegen ein striktes Deaktivieren der lokalen USB-Anschlüsse.
Darüber hinaus können sich die Admins auch überlegen, Funktionen zum Kopieren und Einfügen von Daten zu deaktivieren, damit die Nutzer keine sensiblen Informationen mehr von einem virtuellen Desktop zu einem anderen kopieren können. Das wirkt sich allerdings möglicherweise negativ auf die Produktivität der betroffenen Anwender aus. Wenn es um besonders sensible Daten zum Beispiel im Finanzbereich geht, ist ein solches Vorgehen jedoch in manchen Fällen durchaus vorstellbar.
Netzwerke segmentieren und Zugriffsrechte einschränken
Ein Trennen der verwendeten IT-Managementlösung von den einzelnen VDI-Maschinen reduziert das Risiko, dass die gesamte Infrastruktur in Mitleidenschaft gezogen wird, wenn es in einem der Gäste zu einem Problem gekommen ist. Segmentierte virtuelle Netzwerke und sorgfältig konfigurierte Firewalls sind essentielle Bestandteile einer sicheren VDI-Umgebung. Wenn ein Benutzer außerdem keine Zugriffe auf bestimmte Protokolle benötigt, dann sollten die Admins sie ihm auch nicht zur Verfügung stellen. Mit Richtlinien und Gruppen können sie genau definieren, welche Desktops und welche Anwender bestimmte Netzwerkprotokolle nutzen dürfen. So benötigen zum Beispiel die Entwickler meist Zugriff auf Protokolle wie WebDAV (Web Distributed Authoring and Versioning), FTP (File Transfer Protocol) und SSL (Secure Socket Shell), während Mitarbeiter in der Verwaltung darauf in der Regel verzichten können.
Darüber hinaus ist es wichtig, den Zugriff auf alle Ressourcen einzuschränken, die den virtuellen Desktops zur Verfügung stehen. Wenn ein Anwender etwa auf einen externen E-Mail-Provider zugreifen darf, dann sind andere Maßnahmen wie das Deaktivieren der lokalen USB-Schnittstellen vergebliche Mühen. Wann immer es möglich ist, sollten Administratoren Whitelists einsetzen, wenn es um Zugriffe auf externe Webseiten geht. Es wird allerdings in den meisten Fällen eine Weile dauern, bis eine für alle Belange ausreichende Whitelist erstellt wurde. Diese Vorgehensweise ist jedoch weitaus sicherer als der Einsatz von Blacklists.
Sichere Master Images verwenden
Ein sorgsam eingerichtetes und gehärtetes Master Image ist die Basis einer jeden sicheren VDI-Umgebung. Administratoren sollten unnötige Services in diesem Image wie die Suchdienste von Windows oder die Warteschlange für Drucker bereits im Vorfeld abschalten. Die Bedürfnisse der einzelnen Anwender werden sich in der Regel voneinander unterscheiden, es gibt aber trotzdem eine ganze Reihe von Diensten, die kaum jemand für seine Tätigkeiten einsetzen muss und die ein Sicherheitsrisiko darstellen, wenn sie nicht deaktiviert werden. Überflüssige Dienste verbrauchen zudem unnötig Arbeitsspeicher. Wenn Administratoren sie in einer größeren VDI-Umgebung in zahlreichen virtuellen Maschinen abschalten, dann kann dadurch einiges an RAM eingespart werden.
Außerdem sollten die Administratoren der Versuchung widerstehen, alle benötigten Anwendungen direkt im Master Image unterzubringen. Stattdessen ist es besser, ein schlankes und sauberes Image zu erstellen und die benötigten Anwendungen mit Hilfe von Richtlinien und Gruppen zu verwalten und hinzuzufügen.
Sofern es möglich ist, sollten außerdem keine persistenten Systeme genutzt werden. Im Prinzip ist es sehr einfach, jeden Nutzer jedes Mal mit einem frischen Desktop zu versorgen, wenn er sich eingeloggt hat. Mit passenden Profilen und persistentem Speicher im Netzwerk können die Anwender dann weiterhin alle ihre Aufgaben erfüllen. Wenn bei der Konfiguration alles richtig gemacht wurde, wird den Anwendern der Unterschied gar nicht auffallen. Bei dieser Vorgehensweise muss ein Admin nur sicherstellen, dass das Master Image immer aktuell ist, während beim Einsatz von persistenten virtuellen Desktops weit mehr Patches benötigt werden.