Endpunkte sind in vieler Hinsicht die Achillesferse des Netzwerks. Eine Virtual Desktop Infrastructure (VDI) in Verbindung mit Thin Clients und/oder Technologien wie VPN, lokaler Verschlüsselung und granularem Rechte-Management kann viele Angriffsvektoren eliminieren. Gleiches gilt für den DaaS-Trend (Desktop as a Service). Oft ist mehr Sicherheit neben der erhöhten Flexibilität einer der Hauptgründe für virtualisierte Arbeitsplätze. Doch auch virtuelle Endpunkte bleiben angreifbar, zum Beispiel durch Malware per E-Mail oder manipulierte Websites.

Aus Sicherheits- und Compliance-Sicht sollten virtualisierte Workloads das gleiche Schutzniveau wie physische Work­loads genießen. Und aus Administrationssicht sollte die Sicherheit wie die Virtualisierung selbst gestaltet sein: skalierbar, leicht zu verwalten und leistungsstark. Die Praxis zeigt jedoch: Je kleiner das Unternehmen, desto eher neigt es dazu, die Security-Herausforderungen von VDI zu unterschätzen. Der Schutz bekommt Löcher. Je größer das Unternehmen, desto eher neigt es dazu, die Datacenter-Herausforderungen von VDI zu vernachlässigen. Die IT-Umgebung wird langsam – oder teuer.

Diese Auswirkungen fallen drastischer aus, als sich viele Unternehmen eingestehen. Verwendet ein Unternehmen für virtuelle Desktops die gleichen Sicherheits-Tools wie für physische Endpunkte, verlangsamen diese die virtuelle Umgebung um bis zu 30 Prozent und um bis zu 20 Prozent in Bezug auf die Anwendungsleistung. Auf die Virtualisierungsdichte gemünzt: In einem Test konnte ein Host mit einer klassischen Endpoint Security eines namhaften Herstellers um 35 Prozent weniger VDI-Sessions gleichzeitig hosten als mit einer für diese Aufgabe entwickelten Sicherheitslösung.

Nutzt ein Unternehmen hingegen spezielle Sicherheits-Tools nur für die virtuelle Umgebung, benötigt es zusätzliche Teamressourcen und Security-Kompetenz. Denn Speziallösungen allein für virtuelle Maschinen erfordern zusätzliche Hardware in Form von Speicher, Prozessorpower oder weitere Cloud-Kapazitäten. Hinzu kommen Lizenzkosten für die Lösung und das darunterliegende Betriebssystem. Doch vor allem braucht das Unternehmen Fachpersonal, das die zusätzlichen Konsolen überwacht und bedient. Solche Fachkräfte sind derzeit kaum zu finden. Kann ein Unternehmen aber nicht sicherstellen, dass jeder virtuelle Endpunkt von Anfang an sicher ist und während seines gesamten Lebenszyklus geschützt bleibt, erhält es eine anfällige Umgebung. Ein typisches Einfallstor in Unternehmensnetzwerke sind virtuelle Maschinen, die ein Mitarbeiter „nur mal so auf die Schnelle“ aufgesetzt hat, um etwas auszuprobieren oder zu testen. An Security denkt er in dem Moment nicht – und später vergisst er, die VM wieder zu löschen. Ohne übergreifenden Schutz der gesamten Infrastruktur wird es immer Endpunkte geben, die als schwächstes Glied der Verteidigungskette zum einfachen Hacking einladen.

Die strategische Frage an VDI-Administratoren ist somit: Wie kann man die Vorteile von VDI auskosten und ein durchgängiges hohes Sicherheitsniveau gewährleisten, ohne die Ressourcen an Hardware und Fachpersonal in die Höhe zu schrauben? Um das zu bewältigen, bedarf es der sorgfältigen Planung einer Sicherheitsstrategie für VDI-Projekte in einer privaten oder auch öffentlichen Cloud. Erforderlich sind außerdem Tests verschiedener Sicherheitslösungen für physische und virtuelle Work­loads. Dabei lassen sich die Kennzahlen sammeln, die dann die endgültige Entscheidung untermauern.

Zu den Technologien, die helfen können, eine VDI effizient zu sichern, gehören ein einheitlicher, ressourcensparender Sicherheitsagent sowie eine gemeinsame Security-Konsole für alle Endpunkte. Denn Sicherheit besteht aus vielen Komponenten. Dazu zählen neben den Grundlagen wie Web-Security, Firewall, Antivirus, Anti-Malware und Anti-Exploit auch Funktionen wie Festplatten-Management, Gerätesteuerung, Patch-Management und Reporting. Benötigt eine Sicherheitslösung für jede dieser Funktionen eigene Softwareagenten in den VMs, schadet dies der Gesamtleistung wie auch der Administrierbarkeit. Ideal ist ein Agent für alles, der auf jeder Sicherheitsebene aktuelle Funktionen enthält, zum Beispiel Verhaltensanalyse, Machine Learning, Prozessüberwachung oder Sandboxing.

Virtuelle Desktops bieten den Vorteil, dass der Administrator gezielt nur jene Anwendungen freigeben kann, die der Anwender wirklich benötigt. Blähen dann aber ressourcenhungrige Security-Agenten jeden dieser verschlankten Desktops wieder auf, ist der Nutzen gering. Unternehmen können in Vergleichstests leicht messen, wieviel Prozessorleistung verschiedene Sicherheitsagenten verschlingen. Zudem gilt die Faustregel: je weniger Agenten, desto weniger Konsolen. Ideal ist eine einzige Konsole, mit der man alle Security-Aspekte verwaltet, und zwar nicht nur für die VDI, sondern für die gesamte IT-Umgebung des Unternehmens, inklusive physischer Endpoints, Server, Storage und Cloud-Instanzen. Königsdisziplin ist ein in die gleiche Konsole integriertes EDR-Tool (Endpoint Detection and Response). EDR zeichnet Aktivitäten und Ereignisse von Endgeräten auf und durchleuchtet sie auf verdächtige Aktivitäten. Ist das EDR-Werkzeug mit der Endpoint-Protection-Plattform (EPP) gebündelt, entstehen weitaus weniger – dafür aber relevantere – Warnmeldungen.

HVI stoppt illegitime Prozesse auf dem Hypervisor.
Bild: Bitdefender

Scannen auf Hypervisor-Ebene

Es liegt auf der Hand: Wenn man auf einem Server 200 virtuelle Desktops betreibt und jeder seine Dateien mit seinem individuellen Agenten scannt, verbraucht dies erhebliche Computing-Ressourcen. Scannt man dagegen zentral die gesamte Hypervisor-Umgebung, kann dies den Aufwand auf einen Bruchteil reduzieren. Die eleganteste Sicherheitsarchitektur für VDI lässt sich so skizzieren: Es gibt für das gesamte Rechenzentrum nur eine einzige, zentrale Installation der Sicherheitslösung. Zu dieser Installation gehören typischerweise ein Communications-Server, der die Kommunikation mit den Endpunkten übernimmt, ein Web-Server für die Kommunikation mit dem Hersteller, ein Update-Server, der sich die Updates beim Betreiber holt, und eine Datenbank. Hinzu kommt der Security-Server, der die Endpunkte auf Malware hin scannt. Auch dies könnte man theoretisch auf Rechenzentrumsebene zentralisieren. Das würde aber unnötigen Netzwerk-Traffic verursachen. Dies lässt sich vermeiden, wenn genau diese eine Teilkomponente der Security-Lösung (und nur diese) direkt auf jedem Hypervisor installiert ist. Beim zentralen Scan aller Endpunkte pro Hypervisor benötigen Unternehmen ein Minimum an RAM, CPU-Power und Netzwerkressourcen und erreichen die maximale Dichte an Virtual-Desktop-Instanzen pro Server. Skalierbare Lösungen für zentrales Scannen kommen in Form von Software-Appliances inklusive Betriebssystem, damit keine Mehrkosten für zusätzliche Windows-Lizenzen pro Hypervisor anfallen.

Hypervisor Introspection (HVI) überprüft dabei auf Hypervisor-Ebene den RAM des Hosts. HVI erkennt Speichermanipulationen und die rund zehn gebräuchlichen Hacking-Techniken, die bei der Ausnutzung von Zero-Day-Schwachstellen und bei APTs (langanhaltenden, gezielten Angriffen) zum Einsatz kommen. Dies findet außerhalb des Betriebssystems der virtuellen Desktops statt, ist agentenlos und kompatibel mit jeder In-Guest-Sicherheitslösung.

Cybersicherheit erfordert täglich mehr Know-how, während der Arbeitsmarkt für Sicherheitsspezialisten leergefegt ist. Vor diesem Hintergrund sollten Unternehmen jegliche Chance zur Automatisierung der Sicherheit nutzen. Für Entlastung sorgt zum Beispiel ein System, das neu geschaffene virtuelle Endpunkte automatisch von der ersten bis zur letzten Sekunde des Betriebs schützt. Das gleiche gilt für ein EDR-Tool, das mit der EPP Informationen austauscht, Sicherheitsvorfälle anhand eines Scores priorisiert und Vorschläge zur Remediation per Mausklick anbietet.

DaaS schützen

Technisch gesehen ist DaaS eine Cloud-basierte VDI, die dadurch in aller Regel noch höher skaliert. DaaS-Provider haben somit das größte Interesse an hoher Wirtschaftlichkeit und werden ebenfalls von den genannten Techniken profitieren. DaaS-Anwenderunternehmen könnten sich also zurücklehnen – doch in der Praxis sind sie gut beraten, sich die Sicherheitsarchitektur erklären zu lassen, damit der Effizienzgedanke nicht auf Kosten ihrer Sicherheit geht.

Es ist unverzichtbar, dass die Security- und die Datacenter-Verantwortlichen miteinander reden und an einem Strang ziehen. In vielen VDI-Rollouts, in denen man Sicherheit als ein nachträglicher Aspekt der Virtualisierung betrachtete, hat dies die erwarteten Vorteile des VDI-Projekts zunichte gemacht: Das Ergebnis war weniger Leistung, mehr Aufwand und mehr Risiko. Mit einer guten VDI-Sicherheitsstrategie hingegen berücksichtigt man frühzeitig die Hardware- und Personalressourcen, die für die Sicherheit erforderlich sind.

Herbert Mayer ist Sales Engineer bei Bitdefender, www.bitdefender.de.