{"id":19669,"date":"2021-10-02T11:05:00","date_gmt":"2021-10-02T09:05:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=19669"},"modified":"2021-09-13T10:19:01","modified_gmt":"2021-09-13T08:19:01","slug":"cybersecurity-virtuelle-maschinen-und-container-einheitlich-sichern","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=19669","title":{"rendered":"Cybersecurity: Virtuelle Maschinen und Container einheitlich sichern"},"content":{"rendered":"\n

Autor\/Redakteur: Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation und Compliance, GDPR, bei Veritas Technologies<\/a>\/gg<\/p>\n\n\n\n

L\u00e4ngst sind die meisten Applikationen virtualisiert und Firmen nutzen inzwischen Container wie Kubernetes, um ihre Anwendungen schneller und effizienter in die Cloud auszurollen. Aber wie bei jeder neuen Plattform, so sind l\u00e4ngst erste Malware- und Ransomware-Varianten in der Wildnis aufgetaucht, die diese Plattformen und ihre Daten kompromittieren wollen. Wer alle seine alten und die neuen Workloads mit dem gleichen Tool zentral per Backup sichern kann, wird die Folgen eines erfolgreichen Cyber-Angriffs deutlich besser in den Griff kriegen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Veritas Technologies<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Die Menge der Workloads bei den meisten Firmen ist in den vergangenen zw\u00f6lf Monaten signifikant schnell gewachsen, da zahlreiche Unternehmen wegen der Corona-Pandemie ihre digitale Transformation beschleunigen mussten. Die Planungsphasen wurden verk\u00fcrzt, neue Dienste und Workloads ausgerollt, wodurch die IT-Infrastruktur an Gr\u00f6\u00dfe und Komplexit\u00e4t gewann. Anwendungen sind einfach gewachsen und Umgebungen mit bis zu 10.000 virtuellen Maschinen (VMs) sind keine exotischen Ausnahmen mehr.<\/p>\n\n\n\n

Um neue Dienste m\u00f6glichst schnell zu entwickeln und sie bestm\u00f6glich an die Cloud anzupassen, setzen immer mehr Firmen auf containerbasierte Umgebungen. Container sind eine virtuelle Einheit, in der Micro-Services isoliert ausgef\u00fchrt werden. Sie sind sehr schlank, da sie im Grunde nur einige wenige Code-Elemente des Betriebssystems und die programmierte Funktion enthalten, die sie am Ende autonom abwickeln. Zu den etabliertesten Technologien z\u00e4hlen die Softwares Docker und Kubernetes, die Anwendungen mithilfe von Container-Virtualisierung isolieren.<\/p>\n\n\n\n

Mit den Container-Grundbausteinen k\u00f6nnen Entwickler Cloud-f\u00e4hige Anwendungen schnell und skalierbar auf Basis von Micro-Services zusammensetzen. Eine gro\u00dfe Anwendung besteht dann aus mehreren, voneinander unabh\u00e4ngigen Komponenten, die auf klar definierte Gesch\u00e4ftsfunktionen ausgerichtet sind. Daf\u00fcr brauchen Container wenig CPU-Ressourcen und Arbeitsspeicher: W\u00e4hrend virtuelle Maschinen mehrere Gigabyte gro\u00df werden k\u00f6nnen, sind Container meist nicht gr\u00f6\u00dfer als 100 Megabyte. Analysten von Gartner<\/a> erwarten, dass bis zum Jahr 2022 mehr als 75 Prozent der Unternehmen Container als Grundlage f\u00fcr ihre Anwendungen nutzen werden.<\/p>\n\n\n\n

Die Welt der Anwendungen wird jedes Jahr bunter, die Konzeption und Strukturen der vielen Dienste sind sehr unterschiedlich und damit auch die Anforderungen an die Sicherheit. F\u00fcr die IT-Abteilung wird es wieder einmal schwieriger, den \u00dcberblick zu behalten und die Daten in den Anwendungen ausreichend zu sch\u00fctzen.<\/p>\n\n\n\n

Es w\u00e4re also ideal, wenn man alle seine alten und die neuen Workloads zentral mit dem gleichen Werkzeug per Backup absichern k\u00f6nnte. Der Status des Backups aller Dienste und ihrer Daten w\u00e4re an einer Stelle sichtbar, unabh\u00e4ngig davon, wo sich die Daten befinden und wo sie gespeichert sind – sei es klassisch lokal, in einem hybriden Cloud-Konzept oder nativ in der Cloud.<\/p>\n\n\n\n

Au\u00dferdem w\u00e4ren Automatismen m\u00f6glich, bei denen jede neu aufgesetzte virtuelle Maschine automatisch in den Backup-Plan mit aufgenommen wird und keine VM mehr durchs Raster f\u00e4llt. Auch bei der Wiederherstellung der Daten \u2013 der wichtigsten Aufgabe – w\u00e4ren Service-Level durchsetzbar, sodass wichtige Daten und Workloads in einer festgelegten Zeit wieder verf\u00fcgbar w\u00e4ren. Diese Idee einer zentralen Backup-Plattform hat Veritas bereits jetzt umgesetzt und mit Zertifizierungen f\u00fcr neue Workloads wie Docker belegt, dass neue Applikationskonzepte genauso unterst\u00fctzt werden wie die Legacy-Welt.<\/p>\n\n\n\n

Ernste Cyberattacken gegen Container<\/strong><\/p>\n\n\n\n

Es ist ein Gesetz der IT, dass Cyberkriminelle Malware f\u00fcr eine neue Plattform entwickeln, sobald diese ernsthaft bei Firmen und Privatanwendern genutzt wird. Je mehr Ziele die Angreifer finden k\u00f6nnen, desto attraktiver die Plattform. Bereits 2019 sind mit dem Cryptojacking-Wurm erste Varianten in der Wildnis aufgetaucht, die auf ungesicherten Docker-Plattformen Ressourcen genutzt haben.<\/p>\n\n\n\n

Im Sommer dieses Jahres hat Palo Alto mit Siloscape eine Malware entdeckt, die \u00fcber Windows-Container auf Kubernetes-Cluster abzielt. Ihr Hauptziel sei es, eine Hintert\u00fcr in schlecht konfigurierte Kubernetes-Cluster zu \u00f6ffnen, um sch\u00e4dliche Container auszuf\u00fchren. Siloscape will den Kubernetes-Knoten kontrollieren und sich im Cluster verbreiten. Die Malware nutzt die Rechenressourcen dann f\u00fcr Cryptojacking und extrahiert sensible Daten von Hunderten von darauf laufenden Anwendungen.<\/p>\n\n\n\n\n\n\n\n

Das Risiko von Datenverlusten bei Containern ist aus einem weiteren Grund gestiegen. Konzeptionell sollten Container anfangs nur w\u00e4hrend ihres Lebenszyklus speichern. Wird der Container gel\u00f6scht, verschwinden auch die Daten. Dieser Container eignet sich also nur zum Speichern tempor\u00e4rer Daten, die nach dem Lebensende eines Pods nicht mehr ben\u00f6tigt werden.<\/p>\n\n\n\n

Aber die Entwicklung der Container ist nicht stehen geblieben und inzwischen ist es m\u00f6glich, sogenannte Persistent Volumes anzulegen. Sie bleiben unabh\u00e4ngig vom Status des Containers erhalten. Typische Anwendungen f\u00fcr Persistent Volumes sind Datenbanken, die unabh\u00e4ngig von den Lebenszyklen der Container bestehen sollen. Hier werden also dauerhaft Daten abgelegt, die ausreichend gesichert sein sollten.<\/p>\n\n\n\n

Entscheidend dabei ist, dass der Agent der Backup-Software nicht selbst als Container definiert und sozusagen an jeden erstellten Container angekoppelt wird. Dies hat in der Praxis Nachteile beim Management, der Skalierbarkeit und der Wiederherstellung der Daten.<\/p>\n\n\n\n

Das Backup selbst muss der Container-Umgebung gerecht werden und die wichtigen Befehle und Operationen als kleine Code-Elemente direkt in jeden Container einbetten. Dadurch wird man dem Konzept der Microservices gerecht und kann alle Vorteile der Container tats\u00e4chlich beibehalten. Veritas hat dies bereits umgesetzt und wurde von den f\u00fchrenden Distributionen bereits zertifiziert.<\/p>\n\n\n\n

Jeder Workload an jedem Ort<\/strong><\/p>\n\n\n\n

Die Zahl echter Kubernetes-Anwendungen in der Praxis ist im Vergleich zu anderen Cloud-Diensten noch gering. Um m\u00f6glichst schnell Remote Working zu erm\u00f6glichen, haben viele Firmen unterschiedliche Dienste auf verschiedenen Cloud-Infrastrukturen ausgerollt.<\/p>\n\n\n\n

Jeder Provider liefert eigene Tools mit, die mit Snapshot-Techniken die Daten der Dienste sichern. F\u00fcr jede Umgebung in der Multicloud wird in der Praxis ein unterschiedlicher Ansatz gew\u00e4hlt. Dadurch entstehen Insell\u00f6sungen, die die Komplexit\u00e4t der IT-Infrastruktur erh\u00f6hen \u2013 und neue Angriffsfl\u00e4chen offenlegen. Denn die Gefahr einer l\u00fcckenhaften Abdeckung steigt, weil sich Einzell\u00f6sungen nicht \u00fcberschneiden. Dies kann zur Folge haben, dass Daten \u00fcbersehen werden und in keinem Backup zu finden sind. Ein zuverl\u00e4ssiges und auch schnelles Backup- und Recovery-System ist auf diese Weise nicht m\u00f6glich.<\/p>\n\n\n\n

Deswegen empfehlen sich ganzheitlich konzipierte L\u00f6sungen zur Datensicherung. Holistische Security-Plattformen gew\u00e4hren ein gleichm\u00e4\u00dfiges und hohes Sicherheitsniveau f\u00fcr alle Daten und Applikationen der IT-Infrastruktur \u2013 in Multi- und Hybrid-Clouds sowie unabh\u00e4ngig vom Betriebssystem. Daher lassen sich mit einem solchen Sicherheitskonzept auch heterogene IT-Landschaften besser verwalten. Die Plattformen bieten deutlich mehr Vorteile als Insell\u00f6sungen, die zwar dediziert f\u00fcr die Cloud entwickelt werden, aber nur wenige Workloads unterst\u00fctzen.<\/p>\n\n\n\n

Das ist insbesondere in O365-Umgebungen wichtig, f\u00fcr die in der Regel kein Backup aufgesetzt wird. Auch diese Cloud-Umgebung wird von Veritas in seinem zentralen holistischen Backup-Tool mit eingebunden.<\/p>\n\n\n\n

Automatismen helfen Fehler zu vermeiden<\/strong><\/p>\n\n\n\n

F\u00fcr ein holistisches Sicherheitskonzept braucht es jedoch auch einheitliche Regeln und deren konsequente Umsetzung \u2013 f\u00fcr alle virtuellen Maschinen und Container. Beispielsweise muss stets ein entsprechender Schutzplan mit allen Richtlinien und Konfigurationen verf\u00fcgbar sein. Damit l\u00e4sst sich ein automatisierter \u201eSet and Forget\u201c-Ansatz umsetzen. Die IT-Abteilung muss nicht mehr jede Ressource im Backup-Plan selbstst\u00e4ndig per Hand \u00fcberpr\u00fcfen. Automatisierte Backup-Prozesse vermeiden zudem Fehler bei un\u00fcbersichtlichen Infrastrukturen und erleichtern das Management der firmeninternen IT-Landschaft.<\/p>\n\n\n\n

Trotzdem sollten bei einer Automatisierung auch granulare Wiederherstellungen bei Bedarf m\u00f6glich sein. Dies erh\u00f6ht die Nutzerfreundlichkeit und bietet den IT-Administratoren gr\u00f6\u00dfere Flexibilit\u00e4t. M\u00f6glich ist beispielsweise, bestimmte VMDK-Objekte zu reparieren, ohne die komplette virtuelle Maschine zu mounten. So l\u00e4sst sich die komplette VMware booten, und die Wiederaufnahme des Betriebs ist ohne Zeitverlust m\u00f6glich. Au\u00dferdem k\u00f6nnen grafische Oberfl\u00e4chen die Usability der Plattformen erh\u00f6hen und der IT-Abteilung den \u00dcberblick auch bei komplexen Infrastrukturen erleichtern.<\/p>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Ganzheitliche und automatisierte L\u00f6sungen sind essenziell f\u00fcr die Sicherheit von modernen und komplexen IT-Infrastrukturen. Sie bieten eine hohe Flexibilit\u00e4t und Nutzerfreundlichkeit f\u00fcr s\u00e4mtliche Backup- und Recovery-Ma\u00dfnahmen. Mithilfe einer Plattform auf Grundlage eines \u201eSet and Forget\u201c-Ansatzes lassen sich virtuelle Umgebungen einfach und risikolos sch\u00fctzen. Alle IT-Ressourcen eines Unternehmens \u2013 jede virtuelle Maschine und jeder Container \u2013 lassen sich auf diese Weise schnell und zuverl\u00e4ssig wiederherstellen.<\/p>\n","protected":false},"excerpt":{"rendered":"

L\u00e4ngst sind die meisten Applikationen virtualisiert und Firmen nutzen inzwischen Container wie Kubernetes, um ihre Anwendungen schneller und effizienter in die Cloud auszurollen. Aber wie bei jeder neuen Plattform, so sind l\u00e4ngst erste Malware- und Ransomware-Varianten in der Wildnis aufgetaucht, die diese Plattformen und ihre Daten kompromittieren wollen. Wer alle seine alten und die neuen Workloads mit dem gleichen Tool zentral per Backup sichern kann, wird die Folgen eines erfolgreichen Cyber-Angriffs deutlich besser in den Griff kriegen.<\/p>\n","protected":false},"author":1,"featured_media":19671,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,18],"tags":[6257,3137,5081,7360,36,5513,3766],"class_list":["post-19669","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-virtualisierung","tag-cloud","tag-container","tag-docker","tag-kubernetes","tag-sicherheit","tag-veritas","tag-workload"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19669","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19669"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19669\/revisions"}],"predecessor-version":[{"id":19676,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19669\/revisions\/19676"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/19671"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19669"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19669"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19669"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}