Beim Betrieb virtueller Maschinen wird oft von einer hohen Sicherheit ausgegangen, aber das ist nicht der Fall. VMs können auch infiziert werden. Schutz vor Angriffen ist wichtig.
Virtuelle Maschinen bieten Isolierung, Flexibilität und Benutzerfreundlichkeit und sind daher für die Entwicklung, das Testen und die Ausführung von Anwendungen in einer isolierten Umgebung beliebt.
Die Sandbox-Natur virtueller Maschinen verhindert theoretisch, dass Malware innerhalb der VM das Host-System erreicht. Aus Sicherheitsperspektive sind VMs jedoch nicht automatisch oder von Natur aus sicher. Darüber hinaus kann ein falsches Sicherheitsgefühl zu unzureichenden Sicherheitsmaßnahmen und Zugriffskontrollen führen, wodurch sowohl VMs als auch Hosts einem Angriffsrisiko ausgesetzt sind.
Was ist eine virtuelle Maschine?
Eine virtuelle Maschine ist eine Softwareemulation eines physischen Computers. Sie führt ein Betriebssystem und Anwendungen wie ein physischer Computer aus, wird jedoch von einem Hypervisor verwaltet, einer Softwareschicht, die Ressourcen vom Hostcomputer – CPU, Arbeitsspeicher und Storage – der VM zuweist. Die Netzwerksegmentierung steuert den Datenverkehr zwischen VMs und Hosts, und jede VM verfügt über eine eigene virtualisierte Hardware, das heißt, sie interagiert nicht direkt mit der physischen Hardware des Hosts.
Wie kann der Host einer virtuellen Maschine kompromittiert werden?
Trotz der Isolierung können mehrere Vektoren die Infektion von VM-Hosts verursachen. Hier sind einige häufige Angriffsvektoren, die möglicherweise zu solchen Infektionen führen können.
Hypervisor-Schwachstellen
Der Hypervisor ist die Softwareschicht, die VMs verwaltet. Wenn der Hypervisor Schwachstellen aufweist, können Angreifer diese ausnutzen, um die Kontrolle über das Host-System zu erlangen. Ein Hacker könnte eine Schwachstelle ausnutzen, um beliebigen Code auf dem Host auszuführen. Ein übermäßiges Vertrauen in die Sicherheit des Hypervisors kann dazu führen, dass andere wichtige Sicherheitsmaßnahmen vernachlässigt werden. Obwohl Hypervisoren unter Berücksichtigung der Sicherheit entwickelt werden, sind sie nicht unfehlbar und können Schwachstellen aufweisen, die Angreifer ausnutzen könnten.
VM-Escape-Angriffe
Dies ist der Fall, wenn Angreifer Schwachstellen ausnutzen, um aus der Sandbox der VM auszubrechen und Code auf dem Host auszuführen. Obwohl selten, sind VM-Escape-Angriffe möglich. Wenn ein Angreifer eine Schwachstelle im Hypervisor ausnutzen kann, kann er aus einer VM ausbrechen und Zugriff auf das Host-System erlangen, wodurch möglicherweise auch andere VMs gefährdet werden.
Das Risiko geteilter Ressourcen
Wenn ein virtuelles und ein Host-System Ressourcen wie Ordner, Netzwerkschnittstellen oder die Zwischenablage gemeinsam nutzen, kann sich Malware über diese gemeinsam genutzten Kanäle verbreiten. Benutzer aktivieren häufig aus Bequemlichkeit freigegebene Ordner, ohne sich der Sicherheitsrisiken bewusst zu sein.
Ein Angreifer kann eine Schwachstelle in einem Drittanbieter-Verwaltungs-Plugin für den Hypervisor ausnutzen, um Zugriff auf den Host zu erhalten.
Fehlkonfigurationen
Die Sicherheitskonfigurationen im Hypervisor könnten in ihrer Zusammensetzung fehlerhaft sein und die Isolierung schwächen. Wenn beispielsweise der uneingeschränkte Netzwerkzugriff für eine VM aktiviert wird, kann das Host-System netzwerkbasierten Angriffen ausgesetzt sein.
Fehler durch menschliches Versagen
Benutzer können versehentlich Malware von einer VM auf das Host-System übertragen, indem sie infizierte Dateien kopieren oder gemeinsam genutzte Geräte wie USB-Sticks verwenden. Durch schwache Zugriffskontrollen kann ein Angreifer Konten mit höheren Berechtigungen nutzen, als ihm zustehen.
Veraltete Systeme
Ein nicht gepatchter oder veralteter Hypervisor oder VM-Betriebssystem mit Schwachstellen erhöht das Risiko, dass diese ausgenutzt werden. Administratoren konzentrieren sich möglicherweise ausschließlich auf die Sicherung von VMs und vernachlässigen die Sicherheit des Host-Systems.
Da der Host ein wichtiger Teil der Infrastruktur ist, kann seine Kompromittierung weitreichende Folgen haben.
Drittanbieter-Tools und Plug-ins
Ein Angreifer kann eine Schwachstelle in einem Drittanbieter-Verwaltungs-Plugin für den Hypervisor ausnutzen, um Zugriff auf den Host zu erhalten.
Die Schwachstelle „Virtualized Environment Neglected Operations Manipulation“ aus dem Jahr 2015 betraf mehrere Virtualisierungsplattformen, darunter Xen, Kernel-based Virtual Machine und Quick Emulator. Aufgrund von VENOM konnten Angreifer aus einer VM entkommen und beliebigen Code auf dem Host-System ausführen, indem sie eine Schwachstelle im Code des virtuellen Diskettenlaufwerks ausnutzten.
Strategien zur Risikominderung zum Schutz virtueller Maschinen und ihrer Hosts
Indem sie bewährte Verfahren für die VM-Sicherheit als wesentlichen Bestandteil eines umfassenden Cybersicherheitsrahmens betrachten, können IT-Abteilungen ihre virtualisierten Umgebungen schützen. Dies umfasst nicht nur technische Maßnahmen, sondern auch strenge Richtlinien, Benutzerschulungen und kontinuierliche Wachsamkeit, um potenzielle Bedrohungen zu erkennen und darauf zu reagieren.
Um das Risiko von VM-Ausbrüchen und Infektionen bei Wirten zu minimieren, sollten Organisationen die bewährten Verfahren der Branche befolgen und anwenden.
Sicherheitssoftware verwenden
Setzen Sie Antivirus-, Intrusion-Detection- und -Prevention- sowie andere Sicherheitssysteme sowohl auf VMs als auch auf dem Host ein. Diese Tools können dabei helfen, böswillige Aktivitäten zu erkennen und einzudämmen.
Regelmäßige Updates und Patches durchführen
Halten Sie Hypervisoren, VMs und Host-Systeme mit den neuesten Sicherheitspatches und Antivirus-Update-Definitionen auf dem neuesten Stand. Nehmen Sie Virtualisierungsmanagement-Tools in den Update-Zeitplan auf.
Netzsegmentierung anwenden
Isolieren Sie VM-Netzwerke vom Netzwerk des Host-Systems. Verwenden Sie virtuelle LANs und Firewalls, um den Datenverkehr zwischen VMs und dem Host zu kontrollieren und zu überwachen. Isolieren Sie Management-Schnittstellen vom allgemeinen Netzwerkverkehr, um unbefugten Zugriff zu verhindern.
Konfigurationen härten
Befolgen Sie die von den Hypervisor-Anbietern bereitgestellten Richtlinien zur Sicherheitshärtung. Wenden Sie bewährte Sicherheitsverfahren an, um den Hypervisor, das Host-Betriebssystem und die VM-Konfigurationen zu schützen. Dazu gehören die Deaktivierung unnötiger Dienste und die Anwendung des Prinzips der geringsten Privilegien.
Begrenzung oder Aufhebung gemeinsam genutzter Ressourcen
Vermeiden oder minimieren Sie die Verwendung von gemeinsamen Ordnern, Zwischenablagen und Geräten zwischen VMs und dem Host. Wenn nötig, verwenden Sie sie mit strengen Zugriffskontrollen und Überwachung.
Überwachung und Protokollierung verwenden
Implementieren Sie eine kontinuierliche Überwachung und Protokollierung sowohl für VMs als auch für das Host-System. Die Analyse von Protokollen kann Administratoren helfen, verdächtige Aktivitäten frühzeitig zu erkennen. Führen Sie regelmäßig Sicherheitsaudits und Schwachstellenbewertungen der Virtualisierungsumgebung durch.
Sicherungen durchführen
Stellen Sie sicher, dass regelmäßige Backups sowohl von VMs als auch von kritischen Host-Konfigurationen erstellt werden. Stellen Sie sicher, dass die Backups sicher gespeichert und regelmäßig auf Wiederherstellung getestet werden.
Tools von Drittanbietern begrenzen
Prüfen Sie alle Tools oder Plug-ins von Drittanbietern gründlich auf ihre Sicherheit, bevor Sie sie in die Virtualisierungsumgebung integrieren.
Schulung von Benutzern und Administratoren
Ständige Sicherheitsschulungen für Benutzer und Administratoren, um das Bewusstsein für potenzielle Bedrohungen wie Phishing-Angriffe und Social Engineering zu schärfen. Setzen Sie Richtlinien durch, die sichere Verfahren für den Zugriff auf die Virtualisierungsumgebung und deren Verwaltung vorschreiben.
Kumulative Updates sorgen für Stabilität und Sicherheit einer lokalen Exchange Server-Umgebung. In diesem Leitfaden wird erklärt, wie Sie das Update ...
Weiterlesen
Erfahren Sie mehr über Anwendungs- und Plattformsicherheit
