5nine Cloud Security schützt Hyper-V vor Viren und Hackern

    Virtual FirewallVirtuelle Maschinen und Hypervisor, auf denen sie laufen, benötigen die gleichen Schutz­mechanismen gegen Attacken, Viren und Trojaner wie physikalische Systeme. Jedoch erweisen sich die herkömmlichen Sicherheits­lösungen wie Firewalls und Anti-Malware in vielerlei Hinsicht als ungeeignet für virtualisierte Umgebungen.*

    In diese Lücke stößt 5nine mit seiner Security-Lösung Cloud Security for Hyper-V. Die kürzlich veröffentlichte Version 4.0 etabliert einen zusätzlichen Security-Layer für Hosts und VMs, die auf Basis von Hyper-V Server 2012 bzw. Windows Server 2012 R2 betrieben werden. Das Paket liefert speziell auf Hyper-V abgestimmte Anti-Malware, eine eigene virtuelle Firewall sowie ein Intrusion Detection System (IDS).

    Verzicht auf Agenten

    Die Sicherheitssoftware vermeidet dabei gezielt die Schwachstellen herkömmlicher Anti-Malware-Lösungen in Hyper-V Installationen: Diese bedürfen in aller Regel der Installation eines Agents bzw. einer dedizierten Software in der VM selbst. Neben der Tatsache, dass dies in Umgebungen mit vielen VMs den Management-Aufwand unnötig aufbläht, bewirkt die Ausführung der Software in virtuellen Maschinen bei der Suche nach Malware eine hohe CPU-Belastung des Hosts und eine erhebliche IO-Beanspruchung des Storage. Dies reduziert die mögliche VM-Dichte und in ungünstigen Fällen kann es bei simultaner Ausführung zu regelrechten AV-Storms kommen, die sämtliche VMs ausbremsen.

    5nine nutzt die Möglichkeit der VM-Introspektion, die Hyper-V Drittherstellern zur Verfügung stellt. Unter VMware vSphere hat sich dieses Verfahren schon lange etabliert, wo die meisten Antivirus-Hersteller zu diesem Zweck die mittlerweile abgekündigten VMsafe-APIs nutzen. Bei Hyper-V wurde dieser Mechanismus bis dato von den Security-Anbietern weitgehend ignoriert. 5nine beansprucht daher, der erste Hersteller einer Host-basierten Antiviren-Lösung für Hyper-V zu sein.

    Zentrales Management der Hosts und VMs

    5nine liefert im Paket einen Host-Management-Service, der pro Hyper-V-Server in der Parent Partition installiert wird. Eine Management-Konsole, die auch als Plugin für Microsofts System Center Virtual Machine Manager (VMM) verfügbar ist, kann über einen Management-Dienst alle kontrollierten Hosts von zentraler Stelle verwalten.

    Für die Installation der Konsole und des Management-Services muss zuvor das .Net 4.5 Framework installiert worden sein, sonst erhält man eine nicht funktionierende Software, welche durch keine Fehlermeldungen auf den Missstand aufmerksam macht. Quittiert die Konsole den Start mit Warnungen, kann es sich lohnen, in der Log-Datei im Programmverzeichnis nachzusehen, um der Ursache auf den Grund zu gehen.

    Schnelle Antivirus Engine

    Der Viren-Scanner operiert auf Basis des Change Block Tracking (CBT) des Hypervisors und ist somit in der Lage, immer nur jene Dateien prüfen zu müssen, welche sich tatsächlich geändert haben. Die daraus resultierende Beschleunigung liegt laut Hersteller gegenüber herkömmlichen Verfahren bei bis zu 50 Prozent. Um den Host vor Lastspitzen zu bewahren, verteilt die Management-Komponente die Scans intelligent über die verschiedenen VMs.

    Wie von Antivirus-Lösungen gewohnt, können Scans zeitgesteuert laufen oder vom Administrator ad hoc ausgelöst werden. Zudem steht eine Active Protection genannte Funktion zur Verfügung, die virtuelle Maschinen in Echtzeit prüfen. Allerdings benötigt auch die 5nine-Lösung für diese Funktion einen Agenten. Dieser kann jedoch bequem über die Management-Konsole in die VMs installiert werden.

    Die Antivirus-Engine kann auch pro VM ausgeführt werden.

    Da 5nine VMs von außen inspiziert, ist die Lösung Betriebssystem-agnostisch, d.h. neben Windows-VMs können beispielsweise auch Linux-Systeme in den virtuellen Maschinen geschützt werden.

    Der Antiviren-Scanner verrichtet seine Arbeit ohne visuelle Rückmeldung. Möchte man zu einer konkreten VM den aktuellen Status ermitteln, klickt man auf dem Reiter Antivirus auf den Button Query.

    Firewall isoliert VMs

    Die Virtual Firewall als weitere Komponente der Software ergänzt den Viren-Scanner bei der Abwehr von Malware, indem sie den Verkehr zwischen den VMs sowie zwischen den virtuellen Maschinen und externen Netzen überwacht.

    Sie ist als Erweiterung von Microsofts Extensible Switch, der zentralen Netzwerkkomponente im Hypervisor, implementiert und bietet die gängigen Funktionen physischer Firewalls wie Filterung von MAC-Adressen, zustandsorientierte Paketüberprüfung (Stateful Packet Inspection), Analyse von Traffic-Anomalien sowie QoS und Bandbreitendrosselung für ein- und ausgehende Verbindungen.

    Über die Management-Konsole kann der Administrator VM-Gruppen definieren, um für diese effizient einheitliche Firewall-Regeln zu definieren. Zusätzlich kann er den Traffic zwischen VMs verschiedener Mandanten unterbinden. Mit Letzteren können entsprechende Admin-Benutzer und Berechtigungen verknüpft.

    Neue Firewall-Regeln können auf Basis vorgefertigter Templates für viele gängige Protokolle und Dienste schnell angelegt werden.

    Die Anwendung der Firewall auf VMs erfolgt regelbasiert. Sobald man die Firewall für eine VM aktiviert, ist damit zunächst der gesamte ein- und ausgehende Verkehr blockiert. Der Administrator kann nun über die Konsole einzelne Ports freigeben, Filter-Regeln definieren und gezieltes Logging einschalten. Vorgefertigte Templates für eine Vielzahl bekannter Protokolle beschleunigen das Anlegen von Regeln.

    Intrusion Detection

    Die dritte und letzte Sicherheitskomponente der 5nine-Software scannt den gesamten ein- und ausgehenden Datenverkehr von VMs auf verdächtige Muster und mögliche Angriffsszenarien. Dieser Intrusion Detection Mechanismus (IDS) ist auf Basis der verbreiteten Open-Source-Software Snort implementiert.

    Die IDS Komponente liefert auf Wunsch ein detailliertes Protokoll aller verdächtigen Aktionen.

    Wird eine mögliche Bedrohung erkannt, löst das Prorgamm einen Alert aus und führt pro VM ein entsprechendes Protokoll. Damit können beispielsweise Cross-Site Scripting (XSS), Port Scans oder SMB-Probes erkannt und für die spätere Analyse oder Beweissicherung mitgeschrieben werden.

    Editionen und Preise

    5nine Security for Hyper-V wird in drei Ausführungen angeboten. Lizenzen für die Datacenter Edition werden pro 2 CPUs erworben und gelten für eine unlimitierte Zahl von VMs, der Preis liegt bei 1100 Dollar pro Jahr. Die Enterprise Edition für bis zu 20 VMs kostet 499 Dollar je 2 CPUs pro Jahr. Die Standard Edition kostet bei einer Limitierung auf 6 VMs 199 Dollar pro 2 CPUs und Jahr.

    Die Anti-Malware-Engine wird von ThreatTrack Vipre beigesteuert (ehemals GFI Vipre, zusätzlich ist Kaspersky geplant) und ist im Preis enthalten.

    Die Free Edition enthält eine einfache Ausführung der Firewall auf Basis der Windows Filtering Platform sowie Funktionen zur Erkennung und Abwehr von Malware. Sie unterstützt Hyper-V auf Windows 8.x und Server 2012 R2. Sie kann kostenlos von der Website des Herstellers heruntergeladen werden.

    Fazit

    5nine liefert mit Cloud Security for Hyper-V eine für die meisten virtualisierten Umgebungen unabdingbare Sicherheitskomponente - so profitieren beispiels­weise VDI-orientierte Installationen primär von Performance-Gewinnen und vereinfachter Administration bei der Abwehr von Viren. Für Hosting- und Cloud-Szenarien dürfte, gerade aufgrund der Mandantenorientierung, die Firewall einen spürbaren Sicherheits- und Management-Gewinn bringen.

    *Dieser Text ist ein bezahlter Beitrag von 5nine Software.