24. März 2010

Server-Virtualisierung weniger sicher

Category: Work — Christian @ 21:07

„Oh mein Gott, wir werden alle störben“ ((C) by Fefe). Ach nein, Irrtum. Ist ja nur eine Prophezeiung von Gartner. Die Wahrsager mit der Glaskugel behaupten, dass im Jahre 2012 60% der virtualisierten Server weniger sicher sind als die Systeme die sie ersetzen.

Wie das? Werden alle Linux-Server durch Windows ersetzt? Oder umgekehrt? Liegt es daran, dass nur noch schlecht ausgebildete Administratoren auf den Markt kommen? Sogenannte Daudministratoren? Nein, die Virtualisierung ist schuld!

    „So argumentieren die Marktforscher an mehreren Stellen mit der Möglichkeit, dass ein Angreifer über Sicherheitslücken in der Virtualisierungssoftware aus einer VM ausbrechen und den Hypervisor oder andere VMs auf dem selben Server erfolgreich attackieren könnte.“

Aha … VMware ist also Schuld. No shit Sherlock ((C) by Fefe). Nun gut, eigentlich ist das nichts sonderlich neues. Aber schön, dass die Glaskugelleser von Gartner das auch schon bemerkt haben.

Und die Lösung? Die könnte von Captain Obvious ((C) by Fefe) kommen. Einfach IT-Sicherheit von Anfang an im Planungs- und Designprozess berücksichtigen, dann klappt’s auch mit der Nachbarin Virtualisierung. Und dafür verlangt Gartner Geld

11 Comments

  1. Virtualisierung ist net schlecht, habe so zwei alte Server konsoldieren können (für unsere Serviceabteilung notwendig), sowie den Blackberrydienst und die Printserver, alles andere wie AD Controler, Exchange, SQL usw. laufen auf auf physikalisch eigenständigen Servern – ist mir persönlich preformanter und vor allem sicherer (fällt HW aus so sind nicht direkt mehrer Dienste betroffen). Und die Kosten sund durch die „i“ Version vom Server auch gut im Griff zu bekommen 😉

    Ajo und zum testen sind solche System auch gut

    Comment by Shaq — 24. März 2010 @ 21:30

  2. Ich habe nie behauptet, daß Virtualisierung schlecht ist. Aber viel zu viele Firmen sehen Virtualisierung als Lösung für alle möglichen Probleme ohne sich Gedanken zu machen, welche Konsequenzen das hat.

    Was ist mit Systemen die einmal installiert werden und dann nur alle drei Monate gestartet und gebraucht werden? Ich habe selbst so Systeme. Patchen ist echt ein Problem bei denen .
    Was ist mit Systemen die flexibel mit VMotion von einer Kiste auf die andere verschoben werden, ohne darauf zu achten ob die andere Kiste auch hinter der gleichen Firewall steht?
    Was ist mit Systemen komplett unterschiedlicher Sicherheitsanforderungen die sich auf der gleichen Hardware befinden?
    Ich hab schon VMware-Installationen gesehen, da gab es eine Kiste und darauf lief der AD-Server im LAN, der Exchange-Server im LAN und der Webserver in der DMZ. Da hat man halt dann ein Kabel an das LAN-Interface der Firewall und ein anderes an das DMZ-Interface der Firewall angesteckt. Wenn dann auf dem Webserver was schiefgeht und gerade eine Lücke im Hypervisor bekannt wird, ist das ganze Netz kompromittiert.

    Die Obergaudi hatte ich mal bei einer Anfrage, da wollte ein Kunde ernsthaft eine Check Point FireWall-1 virtualisiert auf VMware installieren und im Fehlerfall mittels VMotion von einem Node auf den anderen schieben weil das billiger ist als ein Check Point Cluster. Auf der gleichen(!) Hardware lief auch der Webserver aus der DMZ, AD und Exchange.
    Ich hatte mich damals dann geweigert das zu installieren.

    Comment by Christian — 25. März 2010 @ 10:23

  3. ajo – alle Dienste auf einem physikalische Server halte ich für sehr gefährlich, Hardware FW & VPN Entry sind eine separate Kiste dahinter steht dann ein MS FF Server und ab da kann man dann erst in Netz, irgendwo da tummelt sich dann der VM Server wo halt die o.g. Dienst laufen.

    Ich denke auch eher, dass die Gefahr von innen kommt weil irgendwelche coolen Leute wieder mal ein noch coolere Seite gefunden haben wo man durch „Testen“ das halbe Netzwerk lahmlegt oder durch „selbst-Verkabelung“ das Netz lahmlegt weil man von Port 1 auf Port 3 direkt gepatched hat … naja seit dem haben wir managbare switche die das unterbinden (2 Tage haben wir nach dem „simplen“ fehler gesucht ;-).

    Aber zurück zum Thema – „kritische“ Systemanwendung würde ich nach wie vor auf dedizierten Einheiten betreiben, der App Server für die CAD Anwendung und das Teil für den Service, werden eh nie gepatched, eher der Reset-Button gedrückt weil wieder mal das Java App das System abstürzen lässt 😉 und wenn der Blackberry Dienst mal nicht verfügbar ist (dazu reicht schon 1h wo keine Email „reinkommen“) ruft Chefe eh an :).

    Comment by Shaq — 25. März 2010 @ 20:30

  4. Das Problem ist vielleicht auch bissi das Marketing. Den Ahnungslosen in der Chefetage wird halt gerne erzählt, wie viel Geld man mit Virtualisierung einsparen kann. Und wenn man denen dann vorrechnet, daß ihr Netz gar nicht so groß ist, daß man das alles sparen könnte, dann kommen die halt auf dumme Ideen.

    Comment by Christian — 25. März 2010 @ 21:26

  5. mein Chef hat auch nicht viel Ahnung von der Materie und dem muss man es dann Bildlich darstellen was man genau meint, hätte da sogar ein Beispiel warum wir für unseren SQL Server neue Festplatten brauchen „jetzige Festplatten sind wie ein Passat 3.0 TDi und die wir brauchen (15k rpm) sind wie RX8 Spider und das ganze kostet Summe x“, das hat er Verstanden sich allerding aufgeregt warum ich denn einen Audi als Beispiel genommen habe ;).

    Comment by Shaq — 25. März 2010 @ 21:47

  6. Tja, bei Kunden ist das bissi schwieriger. Ich kann meinen Kunden nicht so gut sagen: „Sie fahren doch auch einen Mercedes/Audi/BMW, warum schaffen Sie sich in der IT dann lauter lausige Japaner an?“. Das Zeug kommt ja alles aus Asien. Obwohl … ich könnte mit französischen Autos vergleichen. Renault z.B., das schlechteste Auto das ich je gefahren bin.

    Comment by Christian — 25. März 2010 @ 22:57

  7. Es kommt auch immer darauf an, wo man VMWare & Co einsetzt. Wenn man darauf ’nur‘ Testserver lagert, die man intern benutzt ist es so oder so kein Problem. Außerdem muss man berücksichtigen, dass es in fast jeder Software Sicherheitslücken bringt. Auch bei VMWare sollte man am besten immer die neusten Updates installieren.

    Comment by Stefan Wienströer — 26. März 2010 @ 19:20

  8. das dumme war eigentlich nur: der mag kein Audi ist strikter BMW Fan 🙂 die Diskussion ging nachher nicht mehr um die Kosten der Hardware sondern nur warum ich denn ein RX8 genommen habe.

    Comment by Shaq — 26. März 2010 @ 23:22

  9. Selbst „nur intern benutzte“ Testserver muß man patchen. Klassisches Beispiel, so ähnlich selbst erlebt: Ein Admin fährt einen nicht gepatchten Testrechner mit Microsoft SQL-Server hoch. Noch nichtmal die Vollversion, nur die kleine Desktop Engine an die sich niemand mehr erinnert hat. Irgendein anderer Depp testet grad, wie der SQL-Slammer funktioniert hat. Das Netz stand erstmal.

    Comment by Christian — 27. März 2010 @ 14:50

  10. Meine Theorie zu Virtualisierung ist, daß tatsächlich die Kosten für Strom und Hardware runtergehen, weil aber mehr „virtalisierte“ Server installiert werden, gleichzeitig die Kosten für Lizenzen und Administration hochgehen und sich damit ein Nullsummenspiel ergibt. Lediglich Geld von HP/IBM/Dell wandert zu VMware/Microsoft.

    Comment by Christian — 27. März 2010 @ 14:51

  11. Kommentare gesperrt wegen Spam

    Comment by Christian — 4. April 2010 @ 23:17

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.