Drei Überlegungen zum Malware-Schutz in VDI-Umgebungen

Wer VDI-Umgebungen vor Malware schützen will, muss vor allem auf VDI-Server, VDI-Images und Anwenderprofil-Ordner achten. Drei Experten-Tipps.

Ein allgemein akzeptierter Standard für Malware-Schutz in virtuellen Desktop-Infrastrukturen (VDI) existiert nicht. Jeder VDI-Hersteller hat seine eigenen Empfehlungen hinsichtlich der Implementierung des Schutzes, daher gibt es auch keine allgemeingültige Schritt-für-Schritt-Anleitung. Trotzdem gibt es aber generell drei Bereiche, die geschützt werden müssen: VDI-Server, virtuelle Desktop-Images und Ordner mit den Anwender-Profilen.

Malware-Schutz bei VDI-Server: Vorsicht beim Hypervisor

Im Großen und Ganzen können Sie VDI-Server mithilfe derselben Methoden und Techniken schützen, die Sie auch zum Schutz jedes anderen Servers einsetzen. Es gibt allerdings eine Ausnahme: Der Hypervisor, der die virtuellen Desktops hostet, muss gesondert betrachtet werden.

Ich möchte noch einmal erwähnen, dass die Details je nach Hersteller der VDI-Lösung sehr stark variieren. Zudem ist es üblich, bestimme Prozesse und Ordner nicht in den Malware-Scan einzubeziehen. In einer Microsoft-Umgebung müssen Sie zum Beispiel alle virtuellen Festplatten ausschließen, die Ihre virtuellen Desktops  bilden. Genauso müssen bestimmte System-Ordner ebenfalls außen vor bleiben. Daher ist es wichtig, dass Sie die Dokumentation Ihres spezifischen Hypervisors zu Rate ziehen, dort finden Sie alle nötigen Vorgaben für den Malware-Schutz Ihrer VDI-Umgebung.

Anti-Malware-Software auf dem VDI-Image verschlechtert die Performance

Welche Details für den Schutz der Images beachtet werden müssen hängt ebenfalls von dem von Ihnen genutzten Produkt ab. Die einfachste Herangehensweise dürfte es allerdings sein, die Antivirus-Software direkt auf dem virtuellen Desktop-Abbild zu installieren. Dieses Verfahren ist allerdings nicht immer das Beste, weil die Performance durch den Scan-Vorgang negativ beeinträchtigt werden kann. Zusätzlich kann es schwierig werden, die Anti-Malware-Software auf dem neusten Stand zu halten.

Virtuelle Desktop-Images in VDI-Umgebungen sind oftmals statisch, d.h. jeder einzelne virtuelle Desktop nutzt einen separaten Datenträge, der mit einem statischen virtuellen Desktop-Image verknüpft ist. In diesem Fall besteht wenig Gefahr, dass das virtuelle Desktop-Abbild mit Malware infiziert wird. Es handelt sich schließlich um ein sogenanntes Read-Only-Image, das sich nur lesen und nicht beschreiben lässt. Somit ist es wichtiger, das Abbild vor dem produktiven Einsatz zu überprüfen, wohingegen eine Überwachung während des laufenden Betriebes eigentlich nicht mehr notwendig ist.

Browser-Cache der Anwender-Profile als Infektionsquelle

Verzeichnisse mit Anwender-Profilen sind die bei Weitem anspruchsvollste Komponente, wenn es um Malware-Schutz in VDI-Umgebungen geht. Diese Verzeichnisse enthalten alle Daten und Ordner, die der Endanwender angelegt hat, und liegen oft innerhalb der differenzierenden Datenträger.

Es gibt normalerweise zwei Quellen für potenzielle Malware-Probleme innerhalb der Verzeichnisse mit Anwender-Profilen: Die Anwender-Daten an sich sowie den Browser Cache des Anwenders, der zur Infektionsquelle werden kann. Um Verzeichnisse mit Anwender-Profilen zu schützen stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Eine besonders erfolgversprechende besteht zum Beispiel darin, die Dateien entweder auf einem anderen Datei-Server oder auf einem SharePoint-Server abzuspeichern, die ihren eigenen Malware-Schutz haben. Dadurch verhindern Sie, dass Ihre Daten innerhalb der Anwender-Profile selbst gespeichert werden und zu einem Risiko werden.

Nachdem keine Daten in den Profil-Verzeichnissen der Anwender liegen, lassen sich die separaten Datenträger mit den Profilen der Anwender am Ende jeder VDI-Sitzung zurücksetzen. Alle bösartigen Dateien werden somit bei Sitzungsende zusammen mit den übrigen Inhalten des Browser-Caches beseitigt. Damit garantieren Sie dem Anwender beim Aufbau einer jeden neuen Sitzung einen fehlerfreien Ablauf in einer frischen Umgebung.

Beachten Sie aber, dass dies nur eine von vielen Herangehensweisen ist, um Anwender-Profile zu schützen. Diese Methode ist zudem nicht in jeder Situation die beste. Wer beispielsweise allerhöchste Ansprüche an die Unternehmenssicherheit stellt ist oft besser beraten, die Leistungs-Einbußen hinzunehmen und die Anti-Malware-Software innerhalb der individuellen virtuellen Maschinen laufen zu lassen.

Virtuelle Maschinen vor Malware zu schützen ist immer ein Balance-Akt. Der Schutz ist notwendig, sollte dabei aber die Performance nicht negativ beeinträchtigen. Ihre Aufgabe ist es dabei, den Malware-Schutz so zu implementieren, dass die darunter liegende virtualisierte Umgebung so wenig wie möglich beeinträchtigt wird.

Artikel wurde zuletzt im April 2014 aktualisiert

Erfahren Sie mehr über Server- und Desktop-Virtualisierung

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close