Virtualisierung kann Sicherheit gefährden Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


23.04.2010 Rudolf Felser

Virtualisierung kann Sicherheit gefährden

Dass die Einführung von Virtualisierungslösungen gleichbedeutend mit einer Erhöhung der Sicherheit ist, bezeichnet Security Software-Anbieter Cyber-Ark als Trugschluss.

Im Gegenteil: Vielfach sei gerade die Implementierung einer virtualisierten IT-Infrastruktur mit zahlreichen neuen und zusätzlichen Gefahren verbunden - insbesondere im Hinblick auf die unterlassene Beschränkung der Zugriffsrechte von Administratoren.

Cyber-Ark sieht drei zentrale Gefahren bei der Virtualisierung:

  • Keine klaren Verantwortlichkeiten und keine adäquate Überwachung der administrativen Accounts Bei Virtualisierungslösungen sind Administratoren in der Regel - und im Unterschied zu physikalischen Systemen - nicht mehr nur für ein System oder eine Applikation verantwortlich, sondern für die gesamte IT-Infrastruktur. Dadurch werden sie zu Super-Admins mit uneingeschränkten privilegierten Rechten. Das heißt, es erfolgt keine strikte Separation of Duties und keine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen.
  • Keine Trennung von unternehmenskritischen und weniger wichtigen VMs (Virtual Machines) Häufig befinden sich nach einer Virtualisierung Anwendungen mit unterschiedlichen Sicherheitslevels auf demselben physikalischen System - ohne adäquate Trennung. Das bedeutet, dass die Sicherheitslücken eines Systems genutzt werden können, um auf unternehmenskritische Applikationen und Daten zuzugreifen.
  • Keine Erfahrung der Administratoren Mit der Implementierung von virtualisierten Umgebungen erweitert sich auch der Aufgabenbereich von Administratoren: zum Beispiel im Hinblick auf das Management unterschiedlicher Infrastruktur-Bereiche wie Server, Storage, Netzwerk und Applikationen. Dabei besteht die große Gefahr, dass sie nicht über genügend Praxiserfahrung in der Verwaltung all dieser Lösungen verfügen. Und dies führt zu zusätzlichen Sicherheitsrisiken und sei es nur bedingt durch falsche Konfigurationen.
  • Zu ähnlichen Ergebnissen wie Cyber-Ark kommt Gartner in der aktuellen Studie "Addressing the Most Common Security Risks in Data Center Virtualization Projects", in der die Marktforscher mehrere Bereiche identifiziert haben, die bei der Virtualisierung Sicherheitsrisiken darstellen. Gartner prognostiziert hier zudem, dass im Jahr 2012 rund 60 Prozent der virtuellen Server weniger Sicherheit bieten als die physikalischen Systeme, die sie ersetzen.

    RISIKO VIRTUALISIERUNG Die Brisanz des Themas zeigt sich auch daran, dass das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen ersten "IT-Grundschutz-Tag" des Jahres 2010 Mitte März unter das Motto: "Virtualisierung von IT-Systemen - Risiken und Abhängigkeiten" gestellt hat. Dabei hat das BSI auch eine Vorabversion des neuen Bausteins "Virtualisierung" vorgestellt, der in der nächsten Version seiner IT-Grundschutzkataloge enthalten sein soll. Auch hier wird dezidiert darauf hingewiesen, dass es erforderlich ist, eindeutige Regelungen zur Verteilung der Aufgaben zwischen den Administratoren zu treffen.

    Natürlich hat der Privileged Identity Management-Spezialist Cyber-Ark auch eine Lösung im Portfolio, die sich dieses Problems annimmt: den Enterprise Password Vault (EPV). Die Software soll einerseits eine sichere, zentrale Verwahrung und anderseits eine regelmäßige automatische Änderung der Passwörter - bis hin zu individuellen Passwörtern auf allen Systemen - sicherstellen. Der Anwender kann dabei die Komplexität und den Änderungszyklus selbst festlegen. Die Passwörter befinden sich verschlüsselt in einem "digitalen Tresor", dem Vault. Der Passwort-Zugriff wird über eine klar definierte Rollen- und Berechtigungsstruktur sowie eine eindeutige Identifikation des Anwenders sichergestellt. Durch eine vollständige Überwachung kann die Nutzung der entsprechenden Accounts überprüft werden: Alle Aktivitäten werden in einem Audit-Log aufgezeichnet. Damit entspricht die Lösung den Anforderungen externer Prüfungen, gängigen Compliance-Vorschriften sowie aktuellen gesetzlichen und aufsichtsrechtlichen Bestimmungen. (pi/rnf)

    Diesen Artikel

    Bewertung:

    Übermittlung Ihrer Stimme...
    Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
    Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
      Sponsored Links:

    IT-News täglich per Newsletter

    E-Mail:
    Weitere CW-Newsletter

    CW Premium Zugang

    Whitepaper und Printausgabe lesen.  

    kostenlos registrieren

    Aktuelle Praxisreports

    (c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

    Zum Thema

    • Matrix42 AG

      Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
    • ETC - Enterprise Training Center

      ETC - Enterprise Training Center E-Learning, Datenschutz, B2B Dienste und Lösungen, Outsourcing, IT-Personalbereitstellung, Aus- und Weiterbildung mehr
    • Bechtle IT-Systemhaus Österreich

      Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
    • SEQIS GmbH

      SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr

    Hosted by:    Security Monitoring by: