Schlagwort-Archive: Virtualisierung

Abenteuer Internet – Vorsicht vor DDoS-Angriffen

Original Artikel von Todd Thiemann (Senior Director, Data Protection, Trend Micro)

Benutzer von Amazon EC2 sind kürzlich einem gezielten DDoS-Angriff (Distributed Denial of Service) zum Opfer gefallen, der beim webbasierten Code-Hosting-Service Bitbucket für Fassungslosigkeit sorgte (Nachricht mit freundlicher Genehmigung meiner Lieblings-IT-Zeitschrift The Register). Eine der Schattenseiten des Lebens ist, dass es bei massiven DDoS-Angriffen, wie Bitbucket ihn erlebte, nur eine Schutzmaßnahme gibt, wenn die eingehenden Netzwerkkanäle erst einmal überfüllt sind: das Abschotten des DDoS.

Trend Micro hat mit DDoS-Angriffen gleich an zwei Fronten zu kämpfen: im Antiviren-Geschäft und im Hosted-Security-Geschäft (schamlose Verkaufswerbung von meiner Seite: schauen Sie sich InterScan Messaging Hosted Security an, um mehr über unsere Angebote rund um gehostete/SaaS-Mail-Sicherheit zu erfahren). Ich habe einige unserer CTOs und Sicherheitsarchitekten nach ihrer Sicht der Dinge zur Bitbucket-Geschichte gefragt und dabei viel über das schwerwiegende Problem, das DDos-Angriffe darstellen, gelernt.

Anbieter und SaaS-/IaaS (Infrastructure as a Service)-Provider können zwar die Presse täuschen, um sich vor negativen Schlagzeilen zu schützen, vom technologischen Standpunkt aus aber gibt es kein Entkommen, wenn eingehende Netzwerkkanäle erst einmal aufgrund eines DDoS-Angriffs überfüllt ist. Es gibt zwar keine Architektur, die vor DDoS-Angriffen schützt, aber Sie können eine Netzwerkarchitektur implementieren, die diese Angriffe zumindest abschwächt. Mit der Haltung „Einmal konfigurieren und fertig“ kommen Sie hier allerdings nicht weit – Sie müssen eine gute Zusammenarbeit mit vorgelagerten Providern entwickeln und Informationen in Echtzeit austauschen, um Angriffe zu mildern.

Die wenigsten netzwerkbasierten Maßnahmen können Sie vor DDoS-Angriffen schützen, da sie weder den zunehmenden Verkehr aufhalten noch zwischen guten und bösen Inhalten unterscheiden können. Intrusion-Prevention-Systeme (IPS) sind wirksam, wenn die Angriffe bereits identifiziert wurden und bekannte Signaturen aufweisen. Geht es allerdings um rechtmäßige Inhalte mit bösartigen Absichten, sind auch diese Systeme unwirksam. Ähnlich ist es um Firewalls bestellt: Sie verwenden üblicherweise einfache Regeln, die Protokolle, Ports oder IP-Adressen zulassen oder verweigern. Für DDoS-Angriffe ist es ein Kinderspiel, Firewalls und IPS-Geräte zu umgehen, da sie so konzipiert sind, dass sie rechtmäßigen Verkehr wie HTTP-Anfragen an einen Webserver versenden. Angriffe generieren so viel Verkehr von so vielen unterschiedlichen Hosts, dass ein Server – bzw. meistens dessen Internet-Verbindung – den Verkehr nicht bewältigen kann.

Ich vermute zwar, dass diese Art von Angriffen recht selten bleiben wird, da die meisten Angriffe heutzutage auf unrechtmäßige Gewinne abzielen und DDoS-Angriffe im Allgemeinen „Ruhm“ oder „Rache“ zum Motiv haben; dennoch bleiben sie ein Grund zur Sorge für Kunden, IaaS-Anbieter und ISPs. Egal, welcher böse Hacker die bei diesem DDoS-Angriff benutzten Rechner infiziert hat – er hat sie natürlich auch identifiziert. Für ISPs hat das die unangenehme Aufgabe zur Folge, ihre Kunden über den Angriff zu informieren oder die betroffenen Rechner abzuschalten. Tausende von Kunden sind weder schnell noch einfach zu benachrichtigen.

All das ist irrelevant, wenn Sie eine nicht systemkritische Anwendung im Internet verteilen. Lehnen Sie sich entspannt bei einer Tasse Kaffee zurück, bis der DDoS-Angriff vorüber und Ihre Anwendung wieder zugänglich ist.

Anders verhält es sich jedoch, wenn Sie eine systemkritische Anwendung im Internet bereitstellen: Sie müssen die Anwendung so konzipieren, dass sie bereits ab dem 1. Tag des Angriffs ausfallsicher ist. Im Klartext: Sie müssen die Anwendung auf mehrere IaaS-Anbieter verteilen und die Daten zwischen diesen Anbietern replizieren. Und das bedeutet außerdem, dass Sie die Latenzzeiten zwischen den unterschiedlichen IaaS-Anbietern in den Griff bekommen müssen. Internet-Computing und SaaS/IaaS sind ohne Frage großartig, aber Unternehmens- und Anwendungsarchitekten müssen die Sicherheit sorgfältig überdenken, ehe sie sich in das Abenteuer Internet stürzen.

Virtuell sicher?

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

dollman8

Das Konzept „Sicherheit und Virtualisierung“ steht stellvertretend für eine Vielzahl von Implementierungen, wie z. B. virtuelle Software-Appliances, virtuelle Maschinen, die auf Virtualisierungsservern Dritter ausgeführt werden, Saas (Software-as-a-Service) und die virtuellen Appliances, die auf Blades in Gehäuse-basierten Lösungen ausgeführt werden.

Auf Grund der vielfältigen Angebote wird diese Technologie von kleinen Unternehmen, die von SaaS-Angeboten wie gehosteter E-Mail-Sicherheit profitieren, bis hin zum Großunternehmen übernommen, wo sich die nicht unbedeutenden Vorteile der Virtualisierung in der Unternehmensbilanz niederschlagen. Zu den Faktoren, die bei der Nutzenrechnung für Virtualisierung zu berücksichtigen sind, zählen geringere Energiekosten (mit einer entsprechenden Verringerung des Kohlendioxidausstoßes), geringere Investitionskosten durch den kosteneffektiveren Einsatz von Hardware-Ressourcen und eine höhere Lebensdauer dieser Investitionen. Bei den weniger greifbaren Vorteilen von Virtualisierung und Konsolidierung handelt es sich um nicht messbare Größen wie Hochverfügbarkeit, einschließlich der rasanten Verteilung neuer Kapazitäten bei Bedarf, geringere Verwaltungskosten und verbesserte Wiederherstellung nach einem Systemausfall mit Hilfe von Tools zur Virtualisierungsverwaltung.

Service-Provider für Cloud-Computing bieten darüber hinaus Virtualisierungstechnologien in Kombination mit Selbstbedienungsfunktionen, um über das Internet kostengünstigen Zugang zu Computerressourcen anzubieten. Damit sie bestmöglich von den Effizienzvorteilen der Virtualisierung profitieren können, müssen sich virtuelle Maschinen verschiedener Unternehmen gemeinsam auf demselben physischen Server befinden. Unternehmen wollen Cloud-Computing nutzen, um ihre lokal installierte Infrastruktur zu erweitern, dürfen aber nicht die Sicherheit ihrer Anwendungen und Daten aufs Spiel setzen.

Herkömmliche Endpunkt-Sicherheitslösungen für virtuelle Maschinen haben sich in etlichen Bereichen als unzureichend erwiesen. Am offensichtlichsten ist die hohe Belastung für das Host-Betriebssystem, insbesondere, wenn eine zeitgesteuerte Suche ausgeführt werden muss. Typische Anti-Malware-Lösungen sind nicht VI-fähig, so dass gleichzeitige Komplettsuchen enorme Leistungseinbußen zur Folge haben können. Auch können viele VM-Sicherheitslösungen keine inaktiven Maschinen durchsuchen oder aktualisieren. Geht ein solcher Computer dann online, ist seine Viren-Pattern-Datei möglicherweise veraltet. Außerdem kann er bereits mit Malware infiziert sein, die von den Pattern-Dateien nicht erkannt wurde, als der Computer offline ging.

In vielen Fällen werden virtuelle Maschinen in Umgebungen mit hoher Auslastung eingesetzt, wo das Zeitfenster für Patches entweder minimiert wurde oder ganz ausfällt, so dass virtuelle Maschinen anfällig für Angriffe und Infektionen sowohl inner- als auch außerhalb der Host-Umgebung sind.

Dieser Trend in Richtung komletter Servervirtualisierung hat sich inbesondere in den letzten beiden Jahren beschleunigt, zusammen mit einer stärkeren Verlagerung von Services und Anwendungen ins Internet. Von der unternehmensweiten Virtualisierung aller Systeme bis hin zum Desktop-Computer des Endbenutzers sind wir nicht mehr weit entfernt, da sich die Technologie weiterentwickelt und nun in einer sicheren und verwaltbaren Umgebung ausgeführt werden kann.

In diesem Jahr wurde eine VMware-Schwachstelle offengelegt, durch die Malware auf einer infizierten virtuellen Maschine Code auf dem Host ausführen konnte (Video von Immunity Inc.). Es steht also immer mehr auf dem Spiel (zumal auch Malware-Forscher manchmal eine Denkpause einlegen müssen)!