Thought Leadership
2. Ein ressourcensparender Sicherheits-Agent für VDI
Einer der Vorteile virtueller Desktops ist, dass Administratoren gezielt nur die Anwendungen freigeben, die die Benutzer wirklich brauchen. Wenn dann aber jeder Desktop durch ressourcenverschlingende Security-Agenten aufgebläht wird, ist der Nutzen gering. Unternehmen können in Vergleichstests leicht messen, wieviel Prozessorleistung verschiedene Sicherheits-Agenten verbrauchen – und entsprechend entscheiden.
3. Eine gemeinsame Security-Konsole für alle Endpunkte
Generell gilt: Weniger Agenten bedeutet weniger Konsolen. Der Idealzustand ist eine einzige Konsole, die alle Aspekte der Security verwaltet, und zwar für die gesamte IT-Umgebung des Unternehmens, inklusive physischer Endpoints, Server, Storage und Cloud-Instanzen. Angesichts der heutigen Bedrohungslage sollte auch EDR (Endpoint Detection and Response) in der gleichen Konsole integriert sein. EDR zeichnet Aktivitäten und Ereignisse von Endgeräten auf und durchleuchtet sie auf verdächtige Aktivitäten. Ist das EDR mit der Endpoint Protection Platform (EPP) gebündelt, entstehen weitaus weniger Warnmeldungen, dafür aber relevantere.
4. Zentrales Scannen auf der Ebene des Hypervisors
Wenn man auf einem Server 200 VMs betreibt und jede dieser VMs scannt Dateien mit seinem eigenen Agenten, verbraucht dies natürlich erhebliche Ressourcen. Wenn man dagegen Zentrales Scannen für den gesamten Hypervisor nutzt, kann dies den Aufwand stark reduzieren. Die eleganteste Sicherheitsarchitektur für virtualisierte Umgebungen lässt sich so skizzieren: Es gibt pro Rechenzentrum nur eine einzige, zentrale Installation der Sicherheitslösung. Zu dieser Installation gehören typischerweise ein Communication Server, der die Kommunikation mit den Endpunkten übernimmt, ein Webserver für die Kommunikation mit dem Hersteller, ein Update Server, der sich die Updates beim Betreiber holt, und eine Datenbank. Hinzu kommt der Security Server. Dies ist die Instanz, die für das Malware-Scanning der Endpunkte zuständig ist. Auch dieses könnte, theoretisch, auf Rechenzentrumsebene zentralisiert werden. Das würde aber einen unnötigen Netzwerk-Traffic verursachen, der sich vermeiden lässt, wenn genau diese eine Teilkomponente der Security-Lösung direkt auf jedem Hypervisor installiert ist.
5. Überwachung des Arbeitsspeichers des Hypervisors
Hypervisor Introspection (HVI) überprüft den RAM des Hosts auf Hypervisor-Ebene. HVI erkennt Manipulationen des Speichers und die rund zehn gebräuchlichen Hacking-Techniken, die bei der Ausnutzung von Zero-Day-Exploits und bei APTs eingesetzt werden. Dies findet außerhalb des Betriebssystems des virtuellen Desktops statt, ist somit agentenlos und kompatibel mit jeder In-Guest-Sicherheitslösung. HVI benötigt eine Schnittstelle des Hypervisors und ist derzeit erhältlich für Citrix- und KVM-Umgebungen.
6. Automatisierung
Cybersicherheit entwickelt sich ständig weiter und erfordert konstante Fortbildung. Doch der Arbeitsmarkt für Sicherheitsspezialisten ist komplett leergefegt. Um dieses Problem auszugleichen, sollten Unternehmen die Chancen der Automatisierung nutzen und ausreizen. So lässt sich beispielsweise die Absicherung neu geschaffener VMs von der ersten Sekunde an Automatisieren. Das schafft natürlich Entlastung für die IT-Sicherheit, die sich fortan um ein komplexes Problem weniger kümmern muss. Auch ein EDR, das mit der Endpoint Security kommuniziert, entlastet IT-Sicherheitsteams. Das integrierte System kann Sicherheitsvorfälle automatisiert priorisieren und Vorschläge zur Lösung des Problems per Mausklick anbieten, zum Beispiel die Unterbrechung eines Prozesses, die Verschiebung in eine Sandbox oder die Prüfung einer Datei auf VirusTotal.
Die Nutzung dieser technischen Möglichkeiten kann zum Erfolg von Virtualisierungsprojekten beitragen. In vielen Fällen, in denen die Sicherheit als ein nachträglicher Aspekt der Virtualisierung betrachtet wurde, machte dies die erwarteten Vorteile wieder zunichte. Das Ergebnis ist im schlimmsten Fall eine anfällige, unsichere Umgebung, die gleichzeitig schwerer zu verwalten ist und unnötig hohe Computing-Ressourcen verbraucht.
Eine solide Sicherheitsstrategie für virtualisierte Umgebungen umfasst dagegen die frühzeitige Berücksichtigung der für die Sicherheit erforderlichen Hardware- und Personalressourcen. Geeignete Sicherheitslösungen für gemischte Umgebungen aus physischen und virtuellen Maschinen sowie Cloud-Ressourcen müssen über weit mehr Eigenschaften verfügen, als man anfangs vermuten mag. Doch auch wenn Technologien dabei helfen können, die Sicherheit von virtualisierten Umgebungen zu erhöhen, ohne die Leistung dessen auszubremsen, darf man den Faktor Mensch nicht außer Acht lassen: Die Voraussetzung für den Einsatz der richtigen Technologie ist es, dass die Verantwortlichen für die Virtualisierung und für die Security miteinander sprechen und an einem Strang ziehen.
