Sicherheit virtueller Umgebungen bezweifelt

Der CTO von XenSource, Simon Crosby, hat in einer Rede auf der RSA-Konferenz vor Sicherheitsproblemen in virtualisierten Umgebungen gewarnt. Seiner Ansicht nach führen vor allem Konfigurationsfehler zur Öffnung von Sicherheitslücken.

“Virtualisierung ist eine Herausforderung für die Infrastruktur einer IT-Abteilung, da diese plötzlich dynamisch wird”, sagte Crosby. “Man kann eine Aufgabe von Server A nach Server B verschieben, aber wenn man die Sicherheitsrichtlinien nicht anpasst, dann können diese außer Kraft gesetzt werden. Das ist das Problem.”

Ein anderes Risiko ergebe sich aus Fuzzing-Angriffen auf das Interface zwischen dem Gast-System und dem Hypervisor. “Bisher war Sicherheit kein wirklich ernstes Thema”, sagte Crosby. “Angriffe auf den Hypervisor sind eher selten, aber es werden bestimmt mehr.”

Crosby riet IT-Managern zum Einsatz von Systemen, die die Integrität virtueller Anwendungen überprüfen. Risiken sah er vor allem beim Einsatz vorgefertigter Server für virtuelle Anwendungen, sogenannter JeOS, und bei Microsofts Hypervisor Hyper-V. “Hyper-V bietet die volle Angriffsfläche eines Betriebssystems, was keine gute Sache ist.”

Zuletzt hatte IBM auf der RSA-Konferenz eine Forschungsinitiative für den Schutz virtueller Umgebungen vorgestellt. Kern der Sicherheitstechnologie ist eine Software zum Schutz vor Versuchen Dritter, in Netzwerke und Hosts einzudringen. Die Software wird in einer geschützten Partition installiert und schottet den Hypervisor oder den Virtual Machine Monitor nach außen ab.

Mit der zunehmenden Verbreitung virtualisierter Server und Desktops wächst auch das Interesse an der Sicherheit dieser Systeme. Auch
VMware hatte bereits im letzten Jahr eine Sicherheitsoffensive angekündigt und musste schon mehrfach Schwachstellen in seinen Anwendungen schließen.