Vmware - Sicherheitsbedenken bei Virtualisierung

Vmware

Sicherheitsbedenken bei Virtualisierung

Marc Ruef
von Marc Ruef
Lesezeit: 3 Minuten

Bei einer Virtualisierung mit VMware wird auf einem Host-System, das kann ein herkömmliches Windows oder Linux sein, ein virtuelles System umgesetzt. Dieses funktioniert innerhalb des Mutter-Systems und verrichtet dort im Rahmen von VMware autonom seine Aufgabe. Der parallele Betrieb mehrerer Betriebssysteme auf derselben Hardware wird so möglich. Viele Firmen beginnen nach und nach zum Zweck der Kosteneinsparung und wegen der vereinfachten Backup-Möglichkeiten mit der Virtualisierung ganzer Umgebungen.

Beim Zusammenschluss mehrerer netzwerkfähiger Systeme muss bedacht werden, dass damit die physikalischen Schranken zwischen den einzelnen Elementen fallen. Auf ein und demselben Host werden neu die jeweiligen Systeme betrieben. Es finden dabei Zugriffe auf die gleiche Hardware statt. Der Hersteller VMware ist natürlich darum bemüht, dass sich ein Gast-System nur in seinem eigenen Kontext bewegen und keine erweiterten Zugriffe auf andere VMware-Elemente oder das Mutter-System umsetzen kann.

Die Vergangenheit hat aber an einzelnen Beispielen gezeigt, dass diese Limitierung nicht immer umfassend und reibungslos funktioniert. So wurde die eine oder andere Schwachstelle publiziert, wie aus einer VMware ausgebrochen und damit andere Teile des Systems attackiert werden können (seit Mitte 2003 sind 7 Schwachstellen in VMware Workstation bekannt). Aufgrund der Virtualisierung – dem Nutzen der gleichen Hardware – kippen sämtliche Betriebssysteme wie aneinandergereihte Domino-Steine um.

Dies soll verdeutlichen, dass man mit der Virtualisierung weitestgehend von einer ansonsten in der Sicherheit proklamierten strengen Trennung von Objekten absieht. Gleiches betrifft indirekt auch den Netzwerk-Zugriff der jeweiligen VMware-Systeme. Obschon diese komplett autonom und mit eigenen IP-Adressen betrieben werden können, werden Zonenkonzepte des klassischen Firewallings nicht mehr physikalisch gelebt. Mit dem Abbau etwaiger Segmentierungen kann so das Mass an Sicherheit verringert werden.

Umso wichtiger ist es, dass man eine Klassifizierung der Systeme vornimmt und nicht pauschal alle Hosts auf einem VMware-Server zusammenfasst. Das Risiko ist nicht für alle Assets identisch und damit die Auswirkungen einer Kompromittierung ebenso. So sollten höchstens nur Systeme zusammengefasst werden, die ursprünglich ebenfalls im gleichen Segment eingesetzt wurden.

Die sicherheitstechnische Stärke von Firewall oder VMware lässt sich nur schwer vergleichen, dürfte aber bei richtiger Umsetzung jeweils ein annehmbares Mass an Sicherheit versprechen. Der grosse Unterschied beider Technologien ist jedoch, dass der Impact einer Kompromittierung anders gewichtet wird. Der Angreifer muss innerhalb von VMware nicht mehr über ein Netzwerk und verwundbare Dienste den Angriff auf einen anderen Host initiieren – Durch lokale Eingriffe (z.B. Zugriff auf RAM und Harddisk) lassen sich direkt die Attacken anstreben. Hürden werden so überwunden.

Ganz besonders wichtig bleibt zu beachten, dass das Mutter-System, auf dem die VMware-Systeme betrieben werden, ebenfalls sauber gepflegt werden muss. Das Absichern und das Einspielen aktueller Patches ist auch dort ein wichtiges Thema. Denn sollte ein Angreifer irgendwie (Netzwerk-) Zugriff auf das Host-System erlangen, könnten sich fehlende Schutzmassnahmen als fatal erweisen. Durch eine derartige Kompromittierung würden nämlich zeitgleich sämtliche Gast-Systeme ihre Integrität verlieren. Der Zugriff vom Mutter- auf ein Gast-System ist innert Sekunden umgesetzt.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Hochschulen, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

3D Printing

3D Printing

Marc Ruef

Contact Tracing App DP3T

Contact Tracing App DP3T

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv