Hauptnavigation:

Unternavigation:

Aktuelle Meldungen:

Inhalt:

BSI ergänzt IT-Grundschutz um Baustein für Virtualisierung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagiert auf die wachsende Verbreitung von Virtualisierung. Der »IT-Grundschutz« bekommt einen passenden Baustein, der auf Gefahren und Maßnahmen dagegen eingeht.

Bisher mussten Diebe einen Server aus dem Rechenzentrum tragen oder die Festplatten ausbauen, um die Daten dort zu stehlen. Mit der Virtualisierung geht das viel einfacher. Der Dieb erstellt im laufenden Betrieb einen Snapshot der virtuellen Maschine (VM) und kopiert die Daten. Wandert eine VM per Live-Migration über das Netzwerk, sind die Daten nicht verschlüsselt und damit ungeschützt. Dies sind nur zwei Beispiele für Gefahren, die mit der Virtualisierung kommen, und dies es so vorher nicht gegeben hat. Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es mit der Virtualisierung nicht nur Chancen, sondern auch neue, bisher so nicht dagewesene Gefahren. Dies führt dazu, dass die Behörde den »IT-Grundschutz« um einen Baustein für Virtualisierung ergänzt. Derzeit gibt es einen Entwurf dazu. Unterwerfen sich Unternehmen diesem Modul winkt nicht nur ein praktischer Schutz, sondern auch eine »Zertifizierungsfähigkeit«.

Das BSI unterteilt die Gefahren in organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen. Zu ersterem gehören etwa Fehler bei der Planung. Ein anderes Problem ist der Einsatz von Anwendungen, bei denen der Hersteller Virtualisierung nicht unterstützt. Dann verweigert der Hersteller den Support und das Unternehmen muss das Problem erst auf physikalischen Systemen reproduzieren. Das kostet viel Zeit und je nach Problem auch Geld.

Menschen machen Fehler und so kann es passieren, dass die Netzwerk-Anbindung einer VM nicht korrekt ist. Eine VM mit sensiblen Daten kann so nicht im geschützten Netz, sondern im Internet landen. Ein anderes Problem ist, wenn die Zeitsynchronisation bei VMs nicht korrekt arbeitet.

Zum technischen Versagen zählt für das BSI, wenn Dienste in einer virtuellen Landschaft nicht mehr arbeiten. Auch bei Netzwerk-Infrastruktur kann es Probleme geben. Ebenso wird es schwierig, wenn ein Server für das Management der virtuellen Landschaft versagt.

Es gibt aber auch neue Möglichkeiten, unerlaubt an Daten zu kommen. So lassen sich Daten auch ohne Autorisierung mitlesen oder das Virtualisierungsnetz behindern. Gelingt es einem Angreifer den Hypervisor eines Servers zu knacken, hat er auch Kontrolle über die VMs.
Maßnahmen für Sicherheit bei der Virtualisierung

Das BSI antwortet auf diese Probleme mit dem Grundschutz-Bausstein (GS) Virtualisierung. Dabei handelt es sich um ein Infrastruktur-Element, keine Applikation. Es geht darum die Bereiche Server-, Netz- und Applikationsbetrieb zusammenzuführen.

Der Baustein existiert nicht für sich allein. Er hat auch Auswirkungen auf Planung und Betrieb der Netzwerke und der SANs. Dadurch ändern sich in der Organisation Verwaltungs- und Betriebskonzepte sowie die Notfallvorsorge.

Der Baustein schlägt Maßnahmen für Planung und Konzeption sowie Umsetzung und Betrieb vor. Für ersteres gilt es etwa, die Administratoren für die Virtualisierungslandschaft zu schulen. Dazu gehört es auch die Verantwortlichkeiten, Administration und Betrieb anzupassen.
Software und Dienste müssen erst geprüft werden, bevor sie zum Einsatz kommen. Es müssen die Hardware-Ressourcen untersucht werden und Support des Herstellers für die Software geben, wenn sie auf einer VM läuft.
Für den laufenden Betrieb muss klar sein, wie mit Snapshots verfahren wird. Denn einmal kopiert, kann sie ein Angreifer wieder zum Laufen bringen und verschlüsselte Daten in aller Ruhe hacken. Auch für die Live-Migration braucht es Regeln.
Damit Administratoren nicht zu Super-IT-Verwaltern werden, braucht es Admin-Rollen und Beschränkungen der Zugriffsrechte. Auch die Verwaltungsschnittstellen müssen geschützt sein.

Quelle:www.networkcomputing.de
Autor: Werner Veith

BSI Grundschutz

Mit dem IT-Grundschutz bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine strukturierte und genormte Herangehensweise an das Thema “IT-Sicherheit”. apsec unterstützt Sie bei der Umsetzung des IT-Grundschutzes in Ihrem Unternehmen, basierend auf den BSI-Standards...mehr