Private Cloud: Wie Sie VM-Wildwuchs in privaten Clouds entdecken und vermeiden

Private Clouds gelten als sicherste Variante dieser Technologie. Jedoch geht dieser Vorteil oft zu Lasten von zusätzlichen Sicherheitsproblemen.

Private Clouds gelten weithin als sicherste Variante dieser Technologie, weil die Sicherheitsmaßnahmen für sie vollständig in den Händen der jeweiligen Organisation liegen. Aber wie immer sind die Verhältnisse in der Realität viel komplizierter: Die Vorteile einer privaten Cloud werden mit einer Reihe von zusätzlichen Sicherheitsproblemen erkauft.

Am problematischsten ist der Abbau von Hürden bei der Erstellung und Änderung virtueller Produktions-Images.

Stellen Sie sich die Entwicklung einer privaten Cloud-Umgebung über einen längeren Zeitraum hinweg vor: Die Mitarbeiter erzeugen zur Einhaltung wichtiger Termine oder zur Unterstützung der Qualitätssicherung Images, die vielleicht nur einmal gebraucht werden. Dadurch ergibt sich ein VM Sprawl-Wildwuchs, der die Systemsicherheit beeinträchtigt, da diese nur teilweise dokumentierten virtuellen Images mitunter auf unbegrenzte Zeit bestehen bleiben. Darüber hinaus kann eine rasche Umwidmung von Images auch zu einer unpassenden Nutzung führen, etwa wenn ein für die Entwicklung angelegtes Image zur Basis für eine Produktionsanwendung wird.

Das sind natürlich keine wirklich neuen Probleme – Server-Wildwuchs und Konfigurationsprobleme gab es schon in den alten Zeiten der rein physischen Rechenzentren. Neu aber ist, dass in einer privaten Cloud die Schranken verschwinden. Bei herkömmlichen Rechenzentrum wurde der Wildwuchs dadurch im Zaum gehalten, dass entsprechende  Hardware angeschafft werden musste. Auch in einer öffentlichen Cloud ist es zumindest so, dass Mitarbeiter für neue virtuelle Server mit Externen interagieren (oder für jedes Image bezahlen) müssen. In einer privaten Cloud aber bilden Speicher- und Rechenkapazitäten die einzigen Grenzen, und die erreichen mittlerweile fast unendliche Größen.

Gewöhnlich wird zur Eindämmung dieser Probleme schlicht zu Selbstdisziplin geraten. Sicherheitsbewusste Organisationen aber wissen, dass keine reine Präventionsstrategie zu 100 Prozent erfolgreich ist – genauso wichtig wie vorbeugende Maßnahmen ist die Erkennung von Problemen. In diesem Artikel finden Sie Hinweise dazu, wie Organisationen VM-Wildwuchs eindämmen können, indem sie VM Sprawlinadäquat konfigurierte oder „wilde“ Images sowie die zweckwidrige Verwendung von Images aufspüren.

Wie man wilde Images lokalisiert

Images schießen in sämtlichen virtualisierten Umgebungen wie Pilze aus dem Boden und verändern sich rasch – meist auf kontrollierte und zulässige Weise. Deshalb geht es nicht einfach darum, herauszufinden, dass sich etwas geändert hat, sondern speziell um die Aufdecken von unangemessenen Änderungen. Möglich ist dies über die Definition eines Soll-Zustands, der dann mit den tatsächlichen Verhältnissen verglichen wird.

Es ist kein Kunststück, sich eine Liste der Images zu besorgen – jeder am Markt erhältliche Hypervisor bietet das automatisch an. Schwierig wird es herauszufinden, „was sein soll“. Die Verwendung der Funktionen eines Standard-Hypervisor kann hier problematisch sein. Denn Sie wollen ja nicht einfach nur wissen, welche Images Sie haben: Um Fehlentwicklungen auf die Spur zu kommen, brauchen Sie auch eine Norm – Sie müssen wissen, welche Images existieren sollten und wie diese konfiguriert sein sollten.

Es gibt ein paar Strategien, die hier funktionieren. Die beste ist eine Kombination von Discovery-Möglichkeiten und Werkzeugen für Asset Management und Inventar-Tracking. Wenn Sie über Derartiges bereits verfügen (für den Fall, dass Sie aus einem herkömmlichen Rechenzentrum migrieren, ist das wahrscheinlich so), können Sie auf diesen Werkzeugen aufbauen, zum Beispiel auf schon vorhandener Inventar/Discovery-Software wie IBM Tivoli oder SolarWinds Orion.

In der Regel ist jedoch auch Kostensenkung ein wichtiger Grund für den Aufbau einer Cloud, daher kann man nicht unbedingt davon ausgehen, dass Ihnen Geld für kommerzielle Werkzeuge zur Verfügung steht. Zum Glück gibt es aber auch einige Gratis-Varianten. Dazu zählt Spiceworks, eine kostenlose, bedienerfreundliche Software mit Discovery-Funktion für Netzwerke (integriert) und virtuelle Images (über ein Tool). Vergessen Sie dabei aber nicht, dass die Netzwerk-Entdeckung nur aktive reagierende Hosts aufspürt. Zur Sicherheit sollten Sie deshalb beide Erkennungsarten verwenden.

Ebenfalls kostenlos (aber schwieriger zu konfigurieren und zu verwenden) ist die Open-Source-Software FusionInventory mit SNMP-, NetBIOS- und IP-Erkennung (zum Auffinden von „Live“-Images). Über einen Agenten und andere Erweiterungen liefert sie auch Informationen über abgeschaltete virtuelle Maschinen. Die Konfiguration kann sich als problematisch herausstellen, doch es gibt eine vorkonfigurierte virtuelle Appliance, die dabei hilft, eine Live-Konfiguration zum Laufen zu bringen (allerdings nicht für den Gebrauch in einer Produktionsumgebung empfohlen).

Wie man unsachgemäße Verwendungen erkennt

Wilde und schlecht konfigurierte Images zu finden, ist ein guter Anfang. Doch was passiert, wenn ein sauber konfiguriertes Image eines bestimmten Typs (sagen wir „Qualitätssicherung WebLogic-Server“) für einen ganz anderen als den ursprünglichen Zweck (etwa als produktive Payment-Anwendung) verwendet wird?

Bislang ist dieses Problem schwierig zu lösen. Entwicklungen im Hypervisor-Bereich, die ein  leichteres Aufspüren wilder Daten versprechen, werden mit großem Interesse beobachtet, wie zum Beispiel die Ergänzung von VMware vShield App 5 um Schutz vor Datenverlusten. Doch diese kosten erstens Geld und sind zweitens für die meisten von uns nur Zukunftsträume. Einstweilen müssen wir uns deshalb selbst mit der Suche und Kontrolle der Daten herumschlagen. Data Loss Prevention (DLP), der Schutz vor Datenverlusten, ist eine mögliche Strategie dafür.

Über den Einsatz von DLP vor und während einer Cloud-Migration ist schon viel gesprochen worden. Ich konzentriere mich hier auf eine spezifische Anwendung von DLP auf ein Image – und zwar nach abgeschlossener Migration; diese kann als kurzzeitiges Provisorium zum Auffinden von Produktionsdaten auf Images für Tests oder Entwicklungsabbildungen dienen. Dazu müssen Sie einen DLP-Agenten in Ihre Basis-Images für Test- und Entwicklungszwecke aufnehmen. Ist DLP bei Ihnen schon firmenintern verfügbar, können Sie dieses verwenden. Ansonsten gibt es auch kostenlose Alternativen wie OpenDLP oder MyDLP, die ein- und ausgehende Datenströme mit Kreditkarten-Nummern, Sozialversicherungsnummern sowie individuelle, vom Anwender definierte Inhalte überwachen. Beide gibt es als virtuelle Appliances, die rasch installiert und in Betrieb genommen werden können.

Auf jeden Fall kann ein wachsames Auge auf Inventar-Veränderungen und ein zweites auf Veränderungen bei den Aufbewahrungsorten von Daten dabei helfen, so manche Sicherheitsprobleme in Zusammenhang mit VM-Wildwuchs in einer privaten Cloud lösen.

Über den Autor: Ed Moyle ist leitender Sicherheitsstratege bei Savvis und Gründungspartner von Security Curve

Erfahren Sie mehr über Server- und Desktop-Virtualisierung

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close