Virtual Appliances als Klasse von Sicherheitsproblemen

    Virtual Appliances TeaserAuf virtualization.info macht Claudio Criscione darauf aufmerksam, dass Virtual Appliances (VA) potentiell eine Klasse von Sicherheitsproblemen darstellen, denen in klassischen IT-Umgebungen bislang noch zu wenig Aufmerksamkeit geschenkt wird.

    Als Ursache macht er aus, dass VAs weithin als Software wahrgenommen werden, obwohl sie eben das nicht darstellen, sondern virtualisierte Hardware. Begünstigt wird das durch den Vorgang des Herunterladens und Ausführens, der die Psyche täuscht. Man soll sich aber darüber klar sein, dass der Start einer VA ein Vertrauen gegenüber ihrem Hersteller erfordert, die Lieferanten echter Hardware, die zur Türe hereingeschafft und angeschlossen werden muss, meist erst nach längeren Geschäftsbeziehungen erlangen.

    Updates, Patches, Fixes

    Jede VA stellt einen Rechner mit Betriebssystem und Anwendungen dar, und muss genau wie ein solcher auch gewartet werden. In der Praxis findet man allerdings oft Versionen, denen sicherheitskritische Updates, Patches und Fixes fehlen, weil sie als „Black Box“ betrieben werden und sie nicht als Computer wahrgenommen werden.

    Rücksendungen

    Wenn Service-Anbieter ihre Software in Form einer VA anbieten ist es denk- und auch leicht handhabbar, zum Zwecke der Fehlersuche die ganze VA zur Einsendung anzufordern statt etwa nur Log-Dateien. Hier gibt man eventuell sicherheitskritische Daten aus dem Hause, die man danach nicht mehr kontrolliert. VAs müssen vor der Herausgabe genauso gesäubert werden wie physische Rechner, die extern gewartet werden sollen.

    Kettenreaktionen

    Bei heruntergeladenen VAs besteht zudem die große Gefahr, dass bekannt gewordene Sicherheitslücken, Passwort-Kombinationen, Kryptographie-Schlüssel oder ähnliches nicht nur die kompromittierte „Mutter“-VA, sondern auch viele ihrer Implementationen betreffen. Begünstigt wird dies oft durch Marketing, das VAs mit dem Versprechen anbietet, eigenen Administrationsaufwand zu sparen. Der Administrator muss jedoch darauf achten, auch bei VAs keine Voreinstellungen bestehen zu lassen, wie er dies auch bei selbst aufgesetzten Services täte.

    Keine Kommentare