Virtualisierung mit Verstand

Alle Sicherheitsprodukte wie Firewalls, Virenscanner und Intrusion-Prevention-Systeme (IPS) lassen sich nach Auffassung der Hersteller heute auch gut gegen virtualisierte Versionen eintauschen. Virtuelle Appliances können alles, was ihre physikalischen Gegenstücke vermögen. Dabei bestehen sie nur aus einer Software, die lediglich eine virtuelle Linux- oder Windows-Maschine benötigt. Christopher Hoff, Chief Security Architect von Unisys, warnt jedoch vor der Umstellung auf virtuelle Sicherheitssysteme. Der Sicherheitsexperte erklärte auf der amerikanischen Sicherheitskonferenz Black Hat, warum sich IT-Verantwortliche auf ein riskantes Spiel einlassen, wenn sie sämtliche Sicherheitsprodukte auf virtualisierte Versionen umstellen.

Hoff nannte die verfügbaren Module zur Absicherung der virtuellen Umgebungen allesamt untauglich. Die Sicherheitstools wären zu langsam, schlecht skalierbar und kosteten letztlich mehr, als Sie einsparen. Der Sicherheitsexperte bezweifelt, dass auch nur ein einziges der Security-Produkte für den VMware ESX Server so praxistauglich ist wie ein ausgereiftes Hardware-System. Selbst Martin Niemer, Senior Product Manager bei VMware, gibt zu, dass dedizierte Hardware-Produkte den virtuellen Appliances in bestimmten Szenarien immer noch weit überlegen sind. "Es wäre Wahnsinn, sie ersetzen zu wollen." Dieses Problem trete allerdings nur in großen Rechenzentren auf, wo hoch spezialisierte Security-Systeme ihren Dienst versehen. Normale Appliances ließen sich laut Niemer aber sehr gut virtualisieren.

Geht es nach Hoff, kann man die Sicherheitsaspekte bei der Servervirtualisierung in drei Bereiche einordnen: "Absicherung von virtualisierten Servern", "virtualisierte Sicherheitskomponenten" und "Absicherung durch Virtualisierung". Laut Hoff gibt es bei allen drei Punkten noch Verbesserungsbedarf. Die Diskussionen über Angriffe wie Blue Pill, die den Hypervisor zum Ziel haben, hält der Sicherheitsfachmann für Zukunftsmusik: "Erst einmal sollten die Anbieter von Sicherheitsprodukten die aktuellen Probleme lösen, dann mache ich mir Gedanken über Blue Pill und ähnliche Angriffe."

Der Hauptkritikpunkt des Unisys-Sicherheitsexperten ist aber die unzureichende Flexibilität von VM-Appliances. Wer seine vorhandenen und erprobten Sicherheitssysteme wie die Firewall oder Intrusion-Detection-Systeme komplett mit dem individuellen Regelwerk in eine virtualisierte Umgebung überführen will, wird schnell ernüchtert sein. Laut Hoff existiert keine virtuelle Appliance, die es in Sachen Leistung mit hardwarebasierenden Sicherheitsprodukten aufnehmen kann. Außerdem müssen die alten Sicherheitskomponenten weitergenutzt werden, will man auf die gewohnten Funktionen und Anpassungen nicht verzichten. Das treibt aber auch die Kosten in die Höhe und macht das System wieder ein Stück komplexer.

Ein Grund zur Besorgnis ist auch die Performance. Nach Ansicht von Hoff sind mit heutigen virtuellen Appliances weder hohe Performance noch Hochverfügbarkeit zu erreichen. Ein schwer wiegendes Problem ist die Unfähigkeit der Produkte, parallel mit anderen virtuellen Sicherheitssystemen zusammenzuarbeiten. Nach Informationen von Hoff kann auf jedem Host jeweils nur eine Appliance betrieben werden. Von Skalierbarkeit kann also keine Rede sein. Kommt es zu einem Ausfall der Appliance, dann gibt es keinen Ersatz, der sofort anläuft. Die virtuellen Maschinen gehen entweder offline oder bleiben im schlimmsten Falle schutzlos in Betrieb.

VMware-Mitarbeiter Niemer hat hier ein Gegenargument parat: "VMware HA" ist so konzipiert, dass es die virtuellen Maschinen auf einem anderen Host startet, wenn ein Gerät ausfällt. Das klappt auch bei virtuellen Sicherheits-Appliances, was ohne Virtualisierung nur mit kostenintensiver Hardware-Redundanz möglich wäre. "Wir sehen bei Kunden beispielsweise Mail-Virenscanner, die in der DMZ deswegen auf ESX laufen, weil die Administratoren dank VMotion unter anderem die Hardware ohne Ausfallzeiten warten können", merkt der VMware-Manager an.