Schutz von Endgeräten: Die richtigen Security-Tools für Virtualisierung

Viele Security-Tools für Virtualisierung setzen auf Agenten. Moderne Software nutzt dagegen die APIs der jeweiligen Hypervisoren.

Mehr und mehr Netzwerkinfrastruktur wird in Private- und Public-Cloud-Umgebungen virtualisiert. Wie sieht es bei herkömmlichen Sicherheitslösungen für Endgeräte aus, um mit dieser Entwicklung Schritt zu halten?

Für Host-basiertes Security-Monitoring und entsprechenden Schutz in virtuellen Umgebungen existieren mehrere Security-Tools für Virtualisierung. Der erste Ansatz für den Schutz von Endpunkten ist recht traditionell. Security-Teams verwenden in der virtuellen Maschine (VM) entweder eine alleinstehende Antiviren-Software oder den Agenten eines HIDS/HIPS (Host-basiertes Intrusion Detection System /Host-basiertes Intrusion Prevention System). Weitere Optionen sind Antivirus und Host-basiertes Monitoring, die mithilfe von Hypervisor-APIs speziell für virtuelle Infrastrukturen angepasst wurden.

Spezielle Tools sind für virtuelle Umgebungen nicht so häufig anzutreffen. Einige Technologien für Endpunktsicherheit bieten allerdings sogenanntes Whitelisting und Agenten für das Monitoring der Dateiintegrität oder forensische Agenten an. Dazu gehören Bit9 + Carbon Black, Mandiant (FireEye) und die EnCase-Plattform von Guidance Software. Andere Tools für den Schutz von Endgeräten wie zum Beispiel Bromium und Invincea machen sich Virtualisierungs-Leistungsmerkmale zunutze, auch wenn diese Art an Software oftmals auf herkömmlichen Endpunkten anzutreffen ist.

In virtuellen Umgebungen sind Pools an Ressourcen die Norm. Sämtliche Security-Tools für Virtualisierung, die Systemressourcen pro VM verbrauchen, sollte man als potenzielles Risiko für das gesamte Ökosystem der Virtualisierung einstufen. Tatsächlich sieht es so aus, dass sich noch viele in der Antiviren-Branche bewegen müssen, um ihre Produkte für virtuelle Maschinen anzupassen. 

Das gilt im Hinblick auf die Performance-Auswirkungen beim Modell der gemeinsam genutzten Ressourcen bei der Virtualisierung. Beispiele für virtualisierungsfreundliche Antiviren-Software sind Kaspersky Security for Virtualization, Bitdefender Security for Virtualized Environments und Symantec Endpoint Protection. Diese Antiviren-Tools wurden in Hinblick auf Performance und Scheduling optimiert. Sie bieten verglichen mit herkömmlichen Endpunktlösungen leichtgewichtigere Einsatzoptionen.

Es entwickeln sich gerade neue Architekturen, die eine HIDS/HIPS-VM mit dem Hypervisor Kernel anbinden. Sämtlicher Traffic der virtuellen Maschine wird dort durchgeleitet und gesäubert. VMwares vShield Endpoint, ein kommerzielles Produkt, ist in erster Linie eine integrierte Schnittstelle und Architektur. Sie erlaubt es Antimalware-Produkten wie zum Beispiel Trend Micro Deep Security, Sophos Antivirus for vShield und Intel Security MOVE Antivirus (McAfee Management for Optimized Virtual Environment), effizient innerhalb des Hypervisors zu operieren. 

Die Architektur ist sehr innovativ. Es handelt sich dabei um eine einzelne virtuelle Maschine, die als Antivirus / HIDS VM designiert ist. Ein niedrig angesiedelter Bus im Hypervisor Kernel schickt jeglichen Traffic und alle Daten dorthin und nur in dieser virtuellen Maschine werden sie unter die Lupe genommen. Somit spart man sich einen enormen Overhead, weil keine der produktiven virtuellen Maschinen einen schwergewichtigen Agenten installiert haben muss.

Die wichtigsten Auswahlkriterien

Die wichtigsten Kriterien für die Teams bei der Evaluierung von Host-basierter Security für virtuelle Maschinen sind Kompatibilität, Spezifizierungen für die Performance und Skalierbarkeit für Agenten und Tools in der virtuellen Umgebung. Die für IT-Sicherheit und den Betrieb zuständigen Teams sollten außerdem unter die Lupe nehmen, ob und wie sich die Tools integrieren lassen. Untersuchen Sie auf jeden Fall, ob die Host-basierten Security Tools mit Management-Konsolen für die Virtualisierung kompatibel sind. 

Dazu gehören vCenter (VMware), System Center Virtual Machine Manager (SCVMM für Hyper-V) oder XenCenter für XenServer. Diese Art von Integration kommt nicht so häufig vor. Die meisten HIDS/HIPS- und Antimalware-Agents besitzen bereits eine separate Konsole. Sie sollten allerdings jegliche Integrationsmöglichkeiten evaluieren. 

Das gilt vor allen Dingen dann, wenn es seitens des Betriebs eine Notwendigkeit für ein konsolidiertes Management gibt. Einfache Überlegungen zur Architektur spielen ebenfalls eine Rolle. Würde es zum Beispiel eine bessere Verwendung der Ressourcen bedeuten, wenn man eine Management-Konsole für HIDS/HIPS in einer virtuellen Maschine auf derselben Hypervisor-Plattform installiert? In einer Cloudumgebung kann das durchaus der Fall sein. Das gilt vor allen Dingen dann, wenn das Hosting irgendwo anders vorgenommen wird.

Als Alternative kommen Tools wie zum Beispiel Bromium und Invincea in Frage. Es handelt sich dabei um zwei Host-basierte Sicherheitstechnologien, die Virtualisierung nutzen, um Angriffe abzuwehren. Bromium wurde von Xen-Schöpfer Simon Crosby entwickelt. Es ist ein hybrider Typ-1-Hypervisor. Das Produkt verwendet die Chipsatz-Virtualisierung Intel VT-X, um unter dem eigentlichen Betriebssystem wie beispielsweise Windows eine dünne Hypervisor-Schicht zu erstellen. 

Jegliche Malware oder Angriffe auf das System werden von einer lokalen Policy Engine abgefangen, die die Hardwareschicht als Exekutivorgan verwendet. Das emuliert in irgendeiner Weise die Idee der Security-Expertin Joanna Rutkowska mit ihrem Blue-Pill-Rootkit. Invincea setzt hingegen auf Virtualisierung der Applikation innerhalb des Betriebssystems. Um diverse, besonders riskante Anwendungen wie  Browser oder E-Mail-Programme wird ein aus Richtlinien bestehender Wrapper gelegt.

Wie sieht die Zukunft bei Virtualisierung für Endpunkt-Security aus?

Der Markt für Virtualisierung der Endpunkt-Security entwickelt sich sehr schnell. Die meisten Tools folgen einem herkömmlichen Modell und verwenden einen dedizierten Agenten. Einige Technologien lagern Ressourcen an eine dedizierte VM aus und benutzen die APIs des entsprechenden Hypervisors, um die Aufgaben für Erkennung und Vermeidung zu erledigen. Immer mehr Software für Endpunkt-Security macht sich die Leistungsmerkmale der Virtualisierung zunutze. Sie verhindern, dass Angriffe erfolgreich mit Hardware, Arbeitsspeicher oder Betriebssystem kommunizieren.

Über den Autor:
Dave Shackleford ist der Eigentümer und leitender Consultant von Voodoo Security. Er hat bereits mehrere Hundert Unternehmen in den Bereichen Security, Compliance und Netzwerkarchitektur beraten. Zudem ist er erfahrener VMware-Experte für das Design und die Konfiguration von sicheren virtualisierten Umgebungen. Shackleford hat als CSO für Configuresoft, als CTO beim Center for Internet Security und für diverse Fortune-500-Unternehmen als Security-Architekt, Analyst und Manager gearbeitet. Er ist Autor des Buchs „Virtualization Security: Protecting Virtualized Environments“ sowie Co-Autor von „Hands-On Information Security” von Course Technology. Er war Co-Autor für die Erstausgabe des vom SANS-Institut entworfenen Kurses über Virtualisierungs-Sicherheit tätig. Derzeit ist er im Vorstand des SANS Technology Institutes und unterstützt die Leitung der Cloud Security Alliance.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de

Close