Warum Sicherheit unerlässlich für den Erfolg des Cloud-Computings ist

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

Wenn Ihre Server sich im Internet befinden, bietet Ihnen Ihr eigener Netzwerkrand keinen Schutz. Die Sicherheitslösung erfüllt maximal Minimalstandards; dies untergräbt Vertrauen und Regeleinhaltung. Ein gemeinsamer Stand- und Speicherort virtueller Instanzen und Daten mit denen von Fremden, Mitbewerbern und möglicherweise sogar bösartigen Akteuren (wir haben ja bereits gesehen, dass im EC2-Cloud von Amazon kriminelle Aktivitäten gehostet werden) bergen eine Reihe neuer Herausforderungen. Wie bewahrt man das Vertrauen, dass eine inaktive virtuelle Maschine nicht infiziert ist? Wie wird der Verkehr zwischen virtuellen Maschinen sicherheitstechnisch verwaltet? Wie wird mit sich entwickelnden Bedrohungen umgegangen, z. B. mit Malware, die aus einer virtuellen Maschine ausbrechen kann, um das Betriebssystem des Hosts zu infizieren? Wie können interne Angriffe abgewehrt werden? Wie wird das Übernehmen von Patches in einer Umgebung ohne jegliche Ausfallzeiten garantiert?

Damit Sicherheit im Internet wirksam ist, muss sie auf Ebene der virtuellen Maschinen durchsetzbar, konfigurierbar und nachprüfbar sein. Deep-Packet-Inspection-Firewalls und die Abwehr von Eindringlingen in die Anwendungsschicht sind hier Schlüsseltechnologien. Laut des vor Kurzem veröffentlichten „IBM X-Force Trend“-Berichts waren Ende 2008 noch für 74 % aller in diesem Jahr entdeckten Web-Anwendungsschwachstellen keine Patches vom Anbieter bereitgestellt worden. Gleichzeitig ist SQL-Injection zum gängigsten Übertragungsweg für Angriffe geworden. SQL-Injection-Angriffe auf webbasierte Services eröffnen die Möglichkeit großangelegter Dateninfektionen und begünstigen im Extremfall sogar den Upload bösartigen Codes. Firewalls für Webanwendungen sollten anormalen Verkehr ausfiltern, bevor er Daten und Server schädigen kann.

Bei den Schwachstellen, für die ein Patch verfügbar ist, ist es oft schwierig, diese Patches zeitnah auf webbasierte Services zu verteilen, bei denen Ausfallzeiten unerwünscht sind. In vielen Fällen werden virtuelle Maschinen in Umgebungen eingesetzt, wo das Zeitfenster für Patches entweder minimiert wurde oder ganz ausfällt, so dass virtuelle Maschinen anfällig für Angriffe und Infektionen sowohl innerhalb als auch außerhalb der Host-Umgebung sind. Es ist unumgänglich, dass das System in einem Zustand betrieben wird, in dem es nicht anfällig für Angriffe ist, auch wenn noch keine Patches verteilt wurden. Mit Host-basierter Abwehr von Eindringlingen sollten Sie hierzu in der Lage sein.

Herkömmliche Anti-Malware-Lösungen für virtuelle Maschinen haben sich in etlichen Bereichen als unzureichend erwiesen. Am offensichtlichsten ist die hohe Belastung für das Host-Betriebssystem, insbesondere, wenn eine zeitgesteuerte Suche ausgeführt werden muss. In der Regel sind sie nicht VI-fähig, so dass gleichzeitige Komplettsuchen enorme Leistungseinbußen zur Folge haben können. Auch können viele VM-Sicherheitslösungen keine inaktiven Maschinen durchsuchen oder aktualisieren. Geht ein solcher Computer dann online, ist seine Viren-Pattern-Datei möglicherweise veraltet, und es besteht ein Infektionsrisiko. In diesem Jahr wurde eine VMware-Schwachstelle offengelegt, durch die Malware auf einer infizierten virtuellen Maschine Code auf dem Host ausführen konnte. Es steht also immer mehr auf dem Spiel (zumal auch Malware-Forscher manchmal eine Denkpause einlegen müssen)!

Letztlich ist Web-Sicherheit einfach deshalb unerlässlich, weil die Sicherheit Ihrer Kunden, Ihrer Mitarbeiter und Ihres Unternehmens nicht im Namen von Wirtschaftlichkeit geopfert werden sollte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*