Seit vielen Jahren läuft ein Wettstreit zwischen Hackern und IT-Betreibern um die Datensicherheit. Etablierte Security-Lösungen haben signifikante Nachteile. Es ist deshalb an der Zeit, über einen neuen Security-Ansatz nachzudenken. Im RZ und bei virtualisierten Endgeräten gibt es eine interessante Option: den Hypervisor.

Der Hypervisor trennt als Virtualisierungsschicht die zugrunde liegende Hardware vom Betriebssystem und den darauf laufenden Applikationen. So ist er nah genug an der Applikation, um Einblick in die laufenden Prozesse zu erhalten, gleichzeitig aber weit genug entfernt, um vom Gastbetriebssystem nicht beeinflussbar zu sein. Das Szenario gleicht der habitablen Zone, in der sich die Erde befindet: weit genug von der Sonne entfernt, um nicht zu verbrennen, aber nah genug daran, um in der Wärme Leben entstehen zu lassen.

Natürlich könnte man auch im Hypervisor versuchen, Angreifer einfach mit signaturbasierten Methoden zu erkennen, doch dieser Ansatz würde zu keiner besseren Lösung führen. Die verfügbaren Ansätze versuchen, die Gefahr zu identifizieren und letztlich „die Bösen“ zu jagen – sei es mittels Prüfung auf schädliches Verhalten durch Heuristiken, durch Signaturen oder per Erkennung der Kommunikation einer Malware mit einem Command-and- Control-Server. Die Angriffsvektoren sind vielfältig – die Signaturdatenbanken aktueller Virenscanner enthalten Millionen von Signaturen und sind dennoch nicht in der Lage, einen heute erstellten Virus zu erkennen. Auch eine Sandbox, in der verdächtige E-Mail-Anhänge abgesichert ausgeführt werden, lassen sich potenziell mittels Warteschleifen in der Malware austricksen.

Ein Security-Ansatz sollte daher nicht auf Gefahrenerkennung setzen, sondern das richtige Verhalten schützen: Führt eine Applikation Aktionen durch, die sie immer durchführt, so ist von keiner Gefahr auszugehen. Werden allerdings Aktionen durchgeführt, die neu sind, zum Beispiel die Verschlüsselung von Daten oder die Datenabfrage von Servern, die vorher nie kontaktiert wurden, dann ist ein Eingreifen erforderlich. Eine solche Lösung fängt negatives Verhalten ab und lässt sich selbst von Warteschleifen nicht verwirren.

Statt „die Bösen“ zu jagen, stellt ein moderner Hypervisor-basierender Security-Ansatz den Sollzustand sicher („Ensuring Good“). Dank Nutzung der Hypervisor-Schicht ist das Sicherheitswerkzeug dabei selbst nicht angreifbar. Bild: VMware

Um diesen Ansatz zu implementieren, liefert der Hypervisor die ideale Schicht. Der Mechanismus ist im Hypervisor nicht angreifbar, da dieser weder von außen noch vom Gastsystem adressierbar ist. Durch den Speicherabdruck des Gastsystems lassen sich Überprüfungen direkt im Hypervisor durchführen, und auch der Applikations- und Benutzerkontext lässt sich herstellen.

Funktionsweise

Der Hypervisor beobachtet zu diesem Zweck über eine gewisse Zeit das normale Verhalten einer Gastapplikation. Dabei kann man vom sicheren Speicherbereich im Hypervisor über Prozesslisten der Gastbetriebssysteme bis zu Informationen der IT-Provisionierungs-Tools viele Daten sammeln, die sich zu einem Gesamtbild einer korrekt laufenden Applikation zusammensetzen lassen, dem sogenannten Manifest. Will ein SOC (Security Operations Center) diese Beobachtungsphase nicht selbst durchführen, kann es über Drittanbieter Regelwerte für Standardapplikationen wie zum Beispiel Microsoft Outlook erwerben. Diese machen Beobachtungsphasen überflüssig und berücksichtigen alle relevanten Daten bezüglich der Kommunikation der Anwendungen.

Im nächsten Schritt schaltet das Security-Team dieses Manifest scharf, sodass es den Normalzustand der Applikation überwachen kann. Erkennt der Hypervisor eine Abweichung – zum Beispiel weil eine Applikation plötzlich beginnt, Dateien auf der Festplatte zu verschlüsseln, die vorher nicht verschlüsselt wurden –, so kann das Security-Team sofort reagieren. Diese Erkennungsphase kann man durch Agenten auf den Anwendungsrechnern zusätzlich unterstützen. Die Agenten liefern ergänzende Informationen, zum Beispiel zur Speicher- oder CPU-Auslastung, zu laufenden Programmen oder angemeldeten Benutzern. Obgleich diese Agenten im Nutzerbereich der Server laufen, kann der Hypervisor sie überwachen und absichern.

Abhängig von den implementierten Möglichkeiten der Virtualisierungsschicht gibt es in der folgenden Reaktions- oder Response-Phase verschiedene Handlungsoptionen, um Schäden zu minimieren oder gar zu verhindern: von der Meldung auf einer Security-Console bis hin zur automatisierten Quarantäne oder sogar der Abschaltung der betroffenen virtuellen Maschine.

Dies erlaubt es dem SOC, Maßnahmen abhängig vom Angriffstyp automatisiert und vordefiniert durchzuführen, das Verhalten in einer Forensikabteilung untersuchen zu lassen oder es zunächst weiter zu beobachten. Zudem lassen sich die Alarme mit den Meldungen der restlichen Security-Infrastruktur korrelieren.

Weitere Sicherheitsvorteile

Die Virtualisierungsschicht bietet in Sachen Security noch weitere Vorteile. Zum Beispiel kann man neuen VMs schon beim Rollout entsprechende Sicherheitsmerkmale automatisch mitgeben. Mittels einer verteilten Firewall, die direkt im Hypervisor implementiert ist, wird die virtuelle Netzwerkschnittstelle mit ähnlichen Sicherheitsparametern wie die Applikationskontrolle versehen. Zudem erhalten neue VMs automatisch einen passenden Security-Kontext, der beim Umzug der VM von einem Host-System zum nächsten mit umziehen kann. Bei einer Abschaltung der virtuellen Maschine verschwindet die Firewall automatisch mit der VM, was Regelwerke für Firewalls deutlich übersichtlicher macht.

Dieses Szenario ist zum Beispiel bei virtuellen Desktops von Vorteil. Unabhängig davon, an welchem Rechner sich ein Benutzer anmeldet, erhält er seinen Desktop von einem nahegelegenen Rechenzentrum inklusiver seiner Arbeitsumgebung und dem passenden Security-Kontext.

Das in der Erkennungsphase etablierte Regelwerk („Manifest“) bildet die Grundlage für die Erkennung von Abweichungen und damit für die Abwehrreaktion auf vermutete Malware und Angriffe. Bild: VMware

Auch für den Betreiber solcher Lösungen geben sich im Betrieb Vorteile im SOC, denn die Security-Lösung lässt sich zentral überwachen sowie automatisch provisionieren, umziehen und abbauen – unabhängig von der Dynamik in der Infrastruktur. Außerdem kann die Reaktion auf Security-Vorfälle automatisiert erfolgen.

Die Skalierbarkeit der Lösung ist ebenfalls gegeben, weil durch jedes Host-System, auf dem man neue virtuelle Systeme implementiert, auch wieder neue Prozessorkapazitäten zur Verfügung stehen, die diese Security-Anforderungen abdecken können. Im Gegensatz zu physischen Firewalls, die immer mehr Bandbreite prüfen und damit immer mehr Leistung aufweisen müssen, wächst die Virtualisierungslösung direkt mit den Systemen, die ohnehin für einen Ausbau zu beschaffen sind.

Die Möglichkeiten der Virtualisierung bieten einen komplett neuen und ergänzenden Ansatz für moderne Security-Lösungen: Im Zusammenspiel mit etablierten Methoden zieht man eine automatisierte und skalierbare Security-Schicht ein, die das normale Verhalten von Applikationen garantiert, unabhängig davon, wo die jeweilige Applikation läuft. Zudem kann das SOC-Team die gesamte Security-Infrastruktur mit den etablierten Mechanismen der Automation zusammenführen und damit über den gesamten Lebenszyklus automatisieren.

Martin Rausche ist Systems Engineering Manager (SDDC Specialists) CEMEA Regional bei VMware. Gerd Pflüger ist NSX Systems Engineer EMEA bei VMware, www.vmware.com.