Die IT-Infrastrukturen von Unternehmen sind zunehmend virtuell. Damit stellt sich auch die Frage, ob Virtualisierung neue Gefahren birgt und ob die Technik auch neue Sicherheitskonzepte erfordert oder ob man mit den bestehenden Ansätzen auch virtuelle Infrastrukturen gut im Griff behalten kann.
Virtualisierung spielt sich im Unternehmen auf vielen Ebenen ab. Server, Storage, Desktops und Anwendungen können virtualisiert werden, also die logischen Systeme von der physischen Infrastruktur entkoppelt werden.
Neue Risiken durch Virtualisierung
Aus dem Aspekt der Sicherheit gibt es dabei zwei wesentliche Gesichtspunkte zu bedenken. Zum einen weiß man nicht mehr, was auf welchem physischen System wann passiert – virtuelle Maschinen können mal auf dem einen, mal auf dem anderen System laufen.
Wichtiger ist aber der zweite Punkt: Es gibt eine weitere Schicht, die natürlich auch ein potenzieller Angriffspunkt ist. Dort, wo die Virtualisierung erfolgt, hat man eine Schicht, die umfassenden Zugriff auf Systemressourcen hat. Je mächtiger diese Schicht und hier insbesondere die Hypervisor bei der Server- und Client-Virtualisierung werden, desto größer das Angriffsrisiko.
Und, nicht zu unterschätzen: Es gibt auch zusätzliche Management-Anwendungen für die Virtualisierung. Dort werden privilegierte administrative Aufgaben durchgeführt – mit vielen Möglichkeiten. Man denke nur an die Möglichkeit, dass Administratoren einen Klon einer Umgebung mit sensitiven Informationen erstellen und auf dem Unternehmen entfernen, um die Daten in aller Ruhe „verarbeiten“ zu können.
Die alten Risiken bleiben bestehen
Klar ist aber auch, dass die Virtualisierung nicht zu fundamental neuen Sicherheitsproblemen führt. Letztlich geht es darum, die logischen Systemumgebungen ausreichend abzusichern und dabei insbesondere auch die privilegierten Benutzer und deren Handeln genau zu kontrollieren. Was sich primär ändert, ist die Komplexität. Sicherheitskonzepte, die nur auf bestimmten physischen Merkmalen beruhen, reichen aber auch in nicht-virtualisierten Umgebungen alleine nicht aus, sondern können allenfalls ein zusätzliches Element in einem Sicherheitskonzept sein.
Damit ist die Frage, ob es eigenständige Sicherheitslösungen für virtualisierte Infrastrukturen braucht, praktisch schon beantwortet. Die Antwort ist eindeutig ein „nein“. Es braucht keine spezielle Sicherheit für virtualisierte Umgebungen.
Aber die Sicherheitskonzepte müssen die Besonderheiten von virtualisierten Umgebungen unterstützen. Sie müssen einbeziehen, dass ein logisches System mal auf dem einen, mal auf dem anderen physischen Server laufen muss. Sie müssen beim Management von privilegierten Zugriffsberechtigungen auch die Management-Werkzeuge für die Virtualisierungsinfrastruktur berücksichtigen. Sie müssen letztlich so erweitert werden, dass sie die heutige und zukünftige Realität von IT-Infrastrukturen abbilden – aber eben durch die Integration in bestehende, konsistente IT-Sicherheitskonzepte statt der Schaffung neuer Welten.
Das wird noch deutlicher, wenn man den Blick auf das eigentliche strategische IT-Thema wirft, das Cloud Computing und damit die verstärkte Nutzung auch externer IT-Dienste. Die Virtualisierung ist dafür eine wichtige technische Voraussetzung. Eine IT-Welt, in der Dienste mal intern und mal extern bezogen werden, wird man aber auch nicht dadurch besser beherrschen, dass man isolierte Cloud-Sicherheitskonzepte aufsetzt.
Das schafft man nur, indem man alle IT-Dienste, gleich wo sie laufen, einheitlich verwaltet und einheitliche Sicherheitskonzepte dafür umsetzt. Klar ist beispielsweise, dass es ein PxM (Privileged Access/User Management) für externe Cloud-Infrastrukturen braucht. Das muss aber eng mit den internen Ansätzen in diesem Bereich integriert sein.
Fazit
Virtualisierung braucht keine neuen Sicherheitslösungen. Es geht um die Erweiterung, über die Virtualisierung hin zur Unterstützung von privaten und hybriden Cloud-Infrastrukturen. Dass dabei manches Sicherheitskonzept vielleicht nicht mehr ausreicht, ist ein anderes Thema. Denn auch dann geht es nicht darum, nun was speziell für die Virtualisierung oder die Cloud zu machen, sondern darum, ein integriertes Sicherheitskonzept zu schaffen, dass die Weiterentwicklung der IT flexibel unterstützt.