VIRTUALIZATION SECURITY IM GLEICHGEWICHT Kombinieren von Schutz und Leistung in einer virtualisierten Umgebung GLOBAL SECURITY INTELLIGENCE

Transkript

1 GLOBAL SECURITY INTELLIGENCE VIRTUALIZATION SECURITY IM GLEICHGEWICHT Kombinieren von Schutz und Leistung in einer virtualisierten Umgebung #EnterpriseSec kaspersky.de/enterprise

2 Inhaltsverzeichnis Einleitung 3 Virtualisierung 4 Sicherheit für virtualisierte Systeme Die Risiken 5 Sicherheit für virtualisierte Systeme Das Gleichgewicht 6 Die Option Agentenbasierter Schutz 7 Die Option Agentenloser Schutz 9 Die Option Light Agent 11 Fazit 13 Über Kaspersky Lab 14 2

3 EINLEITUNG Die Virtualisierung hat die IT-Umgebungen von Unternehmen nachhaltig verändert Unternehmen sind global in größerem Umfang Cyberbedrohungen ausgesetzt als je zuvor. Daher ist es von entscheidender Bedeutung, dass sowohl physische als auch virtualisierte Systeme umfassend und wirksam geschützt werden. Mehr Sicherheit für IT-Systeme bedeutet jedoch auch immer ein gewisses Maß an Ressourcenverbrauch. Das Ziel lautet dabei immer, maximalen Schutz bei minimaler Auswirkung auf die Leistung zu erzielen ein ausgewogenes Verhältnis zwischen Sicherheit und Systemeffizienz. Dieses Problem betrifft insbesondere virtualisierte Infrastrukturen. Die größten Vorteile, die Unternehmen durch Virtualisierung realisieren können, sind höhere Performance und Optimierung sowie die damit einhergehenden Kosteneinsparungen. Die Installation ressourcenintensiver Sicherheitslösungen kann diese Vorteile zunichte und damit die ursprüngliche Wirtschaftlichkeitsrechnung der Investitionen in die Virtualisierung hinfällig machen. Die Auswahl der richtigen Sicherheitslösung für eine bestimmte virtualisierte Umgebung ist nicht einfach. Dieses Dokument soll ein Leitfaden für die Identifizierung des richtigen Sicherheitsansatzes das heißt des korrekten Verhältnisses zwischen Sicherheit und Performance für Ihre virtualisierte Umgebung sein. Da dieses richtige Verhältnis für jedes Unternehmen jedoch etwas anders aussieht, gibt es hierauf keine eindeutige oder allgemeingültige Antwort. Entscheidend für dieses Gleichgewicht sind aber in erster Linie Vorhandensein und Typ des Sicherheitsagenten am virtualisierten Endpoint; das Gleichgewicht zwischen der Möglichkeit, Sicherheitsfunktionen am Endpoint zu aktivieren und des Umfangs der dabei anfallenden Menge an Arbeitsspeicher. Wir stellen Ihnen drei Ansätze zum Thema Sicherheit bei virtualisierten Endpoints und ihre Auswirkungen auf das Erzielen des besten ROI vor. Außerdem erhalten Sie Ratschläge dazu, wie Sie die bestmögliche Kombination aus Sicherheit und Leistung sowohl in Ihren virtualisierten als auch in Ihren physischen und mobilen Umgebungen erzielen. Die drei Ansätze sind: Agentenbasiert Agentenlos Light Agent Das Verständnis dieser Ansätze mit ihren Stärken und Schwächen ist Grundvoraussetzung dafür, das richtige Gleichgewicht zu finden. 3

4 VIRTUALISIERUNG Eine aktuelle Umfrage von Gartner ergab, dass Desktop- Virtualisierung in mindestens einer Form von mehr als 60 % der Befragten genutzt wird. 1 Gartner prognostiziert für 2014 ein Gesamtwachstum von 13,14 % am weltweiten Unternehmensmarkt für gehostete virtualisierte Desktops, mit andauerndem Wachstum in Höhe von 7,38 % bis Die Virtualisierung von Servern und Desktops kann enorme geschäftliche Vorteile bringen. Hierzu gehören insbesondere: Kosteneindämmung: Durch Virtualisierung lässt sich die gesamte Hardware-Bilanz reduzieren. Die Folge: geringere Ausgaben für Hardware, weniger Platzbedarf, niedrigerer Energieverbrauch, geminderter Verwaltungsbedarf usw. Geschwindigkeit: Dank der Virtualisierung lässt sich die IT-Bereitstellungszeit durch neue On-Demand-Kapazität beschleunigen. Unterm Strich führt diese Flexibilität zu einer erhöhten Wettbewerbsfähigkeit des gesamten Unternehmens. Stabilität: Einfachere, redundante Standardsysteme führen zu erhöhter Widerstandsfähigkeit und besserer Systemverfügbarkeit, sodass Mitarbeiter zu jedem Zeitpunkt und an allen Standorten produktiver arbeiten können. Zentrale Verwaltung: Virtualisierte Systeme können bei Bedarf sofort zentral erstellt, verwaltet und konfiguriert werden, sodass sich die Verwaltungs- und Supportkosten senken lassen. Fazit: Unternehmen setzen auf Virtualisierung, um die IT-Effizienz zu verbessern und Kosten zu reduzieren. 1 Market Trends: Desktop Virtualization, 2013, 10. Oktober 2013 Gartner, Inc. 2 Forecast: Enterprise Software Markets, Worldwide, , Q413 Update Gartner, Inc. 4

5 SICHERHEIT VIRTUALI- SIERTER SYSTEME: DIE RISIKEN Anfang 2011 waren in der Hauptdatenbank von Kaspersky Lab noch 35 Millionen Bedrohungen aufgezeichnet. Ein Jahr später hatte sich diese Datenbank mit über 67 Millionen Einträgen fast verdoppelt. Inzwischen nimmt Kaspersky Lab täglich durchschnittlich neue Bedrohungen in die Datenbank auf. Sind virtualisierte Maschinen (VMs) von Natur aus sicherer als physische Maschinen? Die Antwort ist Nein. VMs sind zwar widerstandsfähiger gegenüber einigen Angriffsvektoren: Beispielsweise sind virtualisierte Server von Ransomware-Bedrohungen weniger betroffen. Sie zeigen aber die gleichen Schwachstellen wie physische Maschinen gegenüber Malware in Form von schädlichen -Anhängen, Drive-by-Downloads, Botnet-Trojanern und selbst zielgerichteten Spearfishing-Angriffen. Diese Bedrohungen bleiben so lange bestehen, wie das virtuelle System aktiv und in Verwendung ist. Eine Aussage des National Institute of Standards and Technology hierzu lautet: Durch Virtualisierung werden Technologieschichten hinzugefügt, was ein erhöhtes Sicherheitsmanagement und somit zusätzliche Sicherheitskontrollen erforderlich macht. Das Zusammenfassen einer Reihe von Systemen in einem einzigen physischen Computer kann bei einer Sicherheitsgefährdung schwerwiegendere Auswirkungen haben. Außerdem basieren Virtualisierungssysteme auf einer Infrastruktur mit gemeinsam genutzten Ressourcen, die eine gefährliche Angriffsmöglichkeit bietet, da sich eine einzige infizierte Maschine (VM) auf die gesamte virtuelle Infrastruktur auswirkt. 3 Weitere Risiken in der virtualisierten Umgebung: Netzwerkinfektionen: Malware, die durch Außerbetriebnahme einer nicht-persistenten VM unschädlich gemacht wurde, kann möglicherweise bereits andere Maschinen über das virtualisierte Netzwerk infiziert haben. Bedenkt man die Geschwindigkeiten, die in diesen Netzwerken möglich sind, kann sich eine Infektion wie ein Lauffeuer ausbreiten und dabei neue Maschinen direkt beim Hochfahren infizieren. Speicherinfektion: Malware kann auch über die Datenspeicher verbreitet werden, auf die VMs zugreifen. Eine infizierte VM kann für Lauschangriffe auf den Datenverkehr einer anderen VM eingesetzt werden. Malware-Entwickler dehnen außerdem ihre Angriffsstrategien aus, indem sie Code schreiben, der auf physische und virtualisierte Maschinen gleichermaßen abzielt. Der Anstieg von Bedrohungen durch Malware ist besorgniserregend Anfang 2011 waren in der Hauptdatenbank von Kaspersky Lab noch 35 Millionen Bedrohungen aufgezeichnet. Ein Jahr später hatte sich diese Datenbank mit über 67 Millionen Einträgen fast verdoppelt. Inzwischen nimmt Kaspersky Lab täglich durchschnittlich neue Bedrohungen in die Datenbank auf. Die in der elektronischen Kriegsführung gegen Unternehmen eingesetzten Waffen werden immer kunstvoller ausgearbeitet. Sie reichen beispielsweise von Hit-and-run-Angriffen auf die Lieferkette bis hin zu Watering-Hole-Attacken, in denen Spearphishing und Drive-by- Downloads kombiniert werden. Immunität gibt es nicht. Jedes Unternehmen kann zum Opfer werden. Jedes Unternehmen besitzt Daten, die für Cyberkriminelle wertvoll sein können, oder die als Sprungbrett für Angriffe auf andere Unternehmen benutzt werden können. David Emm, Mitarbeiter des GReAT-Teams (Global Research and Analysis) bei Kaspersky Lab 4 Kurz gesagt: Unternehmen sind mehr auf den Schutz ihrer IT-Systeme angewiesen als je zuvor, sowohl in der physischen als auch in der virtualisierten Welt. Da die Virtualisierungstechnologie im geschäftlichen Bereich Einzug gehalten hat, und zwar insbesondere bei Großunternehmen, die reiche Ausbeute bieten, haben Cyberkriminelle jeden Grund, ihren Einsatz zu erhöhen und sich in zunehmendem Maße auf das Infiltrieren, Infizieren und Manipulieren virtualisierter Systeme zu konzentrieren. 3 Guide to Security for Full Virtualization Technologies, National Institute of Standards & Technology, Kaspersky Security Bulletin

6 SICHERHEIT VIRTUALI- SIERTER SYSTEME: DAS GLEICHGEWICHT Unternehmen investieren in Virtualisierung, um ihre Effizienz zu steigern und Kosten zu sparen. Die optimierte Performance, die diese Kosteneinsparungen möglich macht, muss erhalten bleiben. Ein Element jedoch, das Systemkapazität beansprucht, ist dabei die Sicherheitssoftware. Tatsache ist auch, dass manche Implementierungen von Antiviren-Software die gesamte virtuelle Infrastruktur verlangsamen können, was auf Kosten der Konsolidierungsraten und der ROI-Optimierung geht. Ein Benchmark-Whitepaper, das sich mit dem Thema Sicherheit beschäftigt, weist darauf hin, dass bestimmte Antiviren-Konfigurationen die Leistung eines virtualisierten Desktop-Hosts um bis zu 40 % reduzieren können. 5 Tatsache ist aber auch, dass virtualisierte Systeme anfällig für Cyberattacken sind und geschützt werden müssen. Ganz gleich, wie hoch die Kosten für die Implementierung von Sicherheitsmaßnahmen auch sein mögen, der finanzielle Schaden durch einen Sicherheitsvorfall kann bedeutend höher sein und der entstandene Imageverlust kann das gesamte Unternehmen gefährden. Der Mythos, dass virtualisierte Umgebungen von Haus aus sicher sind und keinen Schutz benötigen, wurde schon vor längerer Zeit enttarnt. Teilweise durch die engagierte Arbeit von Cyberkriminellen weltweit, die ihr neues Betätigungsfeld längst erkannt haben und nun den neuen Schauplatz der von virtualisierten Systemen erschlossenen Möglichkeiten ausnutzen (Morcut, auch bekannt als Crisis, wurde als erster Trojaner-Angriff gegen VMs bereits 2012 erkannt). Die im Vergleich zu physischen Systemen eher zurückhaltende Investitionsbereitschaft in Sicherheit im Bereich virtualisierter Systeme bleibt jedoch bestehen. Doch wo liegen die Gründe für die offenkundig paradoxe Entwicklung zunehmender Virtualisierung bei abnehmender Sicherheit? Gartner bringt die Krux an der Sache klar auf den Punkt: Der Schutz der [virtualisierten] Plattform ist mit Kosten verbunden, nicht nur durch die Sicherheitssoftware-Lizenzierung, sondern auch durch mögliche Leistungseinbußen. Produkte, die Schadsoftware finden, können die Plattformleistung deutlich reduzieren, insbesondere wenn diese nicht optimal für die Umgebung konfiguriert sind. 6 Höhere Leistungseffizienz und Kosteneinsparungen gelten als Hauptbegründung für Investitionen in Virtualisierung. Wenn die Plattformleistung jedoch durch eine nicht optimal entwickelte und konfigurierte Sicherheitssoftware beeinträchtigt wird, ist diese Begründung hinfällig. Bisher haben die Optionen zum Schutz virtualisierter Maschinen vor Schadsoftware alle zu einem unvorteilhaften Kompromiss zwischen Sicherheit, Leistung und Verwaltung geführt. Was also kann ein verantwortungsvoller IT-Manager unternehmen, um eine effiziente und gleichzeitig gut geschützte virtualisierte Umgebung zu betreiben, mit der die Geschäftsvorteile der Virtualisierung vollständig realisiert werden? Wo liegt das Gleichgewicht, und wie kann es erreicht werden? Die Antwort liegt darin, wie das Sicherheitssystem aufgebaut ist und bis zu welchem Grad seine Architektur den speziellen Bedingungen virtualisierter Umgebungen gerecht wird, insbesondere im Vorhandensein und in der Funktionalität eines Sicherheitsagenten am virtualisierten Endpoint. Lassen Sie uns nun die drei Ansätze prüfen: agentenbasierte, agentenlose und Light-Agent- Sicherheit. 5 Phase 5 Antivirus and best practices on VDI V1, Januar 2013, Project Virtual Reality Check (VRC) 6 Know the Security Implications of Adopting Hosted Virtual Desktops, 8. April 2013 Gartner, Inc. 6

7 DIE OPTION AGENTENBASIERTER SCHUTZ Ein möglicher Ansatz liegt in der Verwendung einer traditionellen, agentenbasierten Sicherheitslösung. Hierbei wird eine Vollversion der Antiviren-Software auf jede VM geladen, genau wie dies bei den meisten physischen Endpoint-Sicherheitslösungen der Fall ist. Dieser Ansatz ermöglicht zwar ein angemessen hohes Sicherheitsniveau, ist aber auch sehr kostenintensiv in Bezug auf Ressourcen und Leistungsniveau, da die für physische Umgebungen entwickelte Software über eine gemeinsam genutzte Ressource bereitgestellt wird. Die Vorteile In Fällen, in denen ein veraltetes physisches Sicherheitssystem auf eine virtualisierte Umgebung ausgeweitet wird, hat dies den Vorteil der Vertrautheit mit operativen Abläufen, und der Beschaffungsprozess entfällt. Größenbedingte Einsparungen und mehr Effizienz können erzielt werden, indem ein einzelnes Sicherheitssystem sowohl auf physischen als auch auf virtualisierten Umgebungen betrieben wird. Unternehmen, die nur sehr wenige virtualisierte Maschinen einsetzen und keine Erweiterung planen, sehen die finanzielle Investition in eine virtualisierungsspezifische Sicherheitssoftware unter Umständen nicht als gerechtfertigt an. Die Einschränkungen Leistungseinbußen Das Laden der Antiviren- und Signaturdatenbanken auf die einzelnen VMs kann sich negativ auf die Leistung virtualisierter Systeme auswirken. Durch die Duplizierung der Signaturdatenbanken und das Scannen redundanter Dateien werden wertvolle Systemressourcen unnötig belastet. Zudem wirken sich diese und andere Redundanzen negativ auf Festplattenspeicher, Arbeitsspeicher und CPU-Verfügbarkeit aus, was den Ressourcenverbrauch in die Höhe treibt und die Konsolidierungsraten verringert. Ressourcenkonflikte und AV-Storms Wenn jeder virtualisierte Endpoint-Agent alle Sicherheitsaufgaben unabhängig ausführt, können Ressourcenkonflikte zum Problem werden. Die Symptome: Scan-Storms Wenn geplante Scan-Vorgänge auf mehreren VMs gleichzeitig gestartet werden, wird die Rechenleistung des Hostcomputers möglicherweise erheblich beeinträchtigt. Dies kann zur Überlastung des Hosts und zu Leistungsproblemen (mit der Gefahr des völligen Host-Stillstands) führen. Update-Storms Diese treten ähnlich wie Scan-Storms auf, wenn alle VMs mit lokalen Signaturdatenbanken Updates gleichzeitig herunterladen und installieren. 7

8 Sicherheitslücken Virtuelle Maschinen können schnell stillgelegt werden und über lange Zeiträume offline bleiben. Wenn sie wieder aktiviert werden, sind möglicherweise Sicherheitslücken vorhanden, z. B. fehlende Patches für Software und veraltete Viren-Signaturdatenbanken, wodurch ein Zeitfenster für Angriffe entsteht, das Cyberkriminelle nur allzu gerne ausnutzen. Inkompatibilität Zwischen virtualisierten und physischen Maschinen gibt es wichtige Unterschiede: beispielsweise die Verwendung nicht persistenter Festplatten und der Live-Migrationsprozess der VMs. Standard-Malware-Schutz für physische Endpoints berücksichtigt in der Regel die Merkmale virtualisierter Maschinen nicht in ausreichendem Maße, sodass unerwartete Verzögerungen, Störungen oder sogar Totalausfälle möglich sind. Inkompatibilität ist nicht unumgänglich. Bei der Konzeption der Endpoint Security for Business- Lösung von Kaspersky Lab wurde berücksichtigt, dass es Unternehmen gibt, die ein und dieselbe agentenbasierte Lösung sowohl für physische als auch für virtualisierte Infrastruktur einsetzen. Daher kann Endpoint Security for Business von Kaspersky Lab in virtualisierten Umgebungen reibungslos und wirksam eingesetzt werden, und spezielle Anpassungen zur Optimierung der Leistung virtualisierter Systeme machen Kaspersky Endpoint Security for Business zum ernstzunehmenden Mitbewerber, wenn eine agentenbasierte Lösung bevorzugt wird. Das Gleichgewicht Eine agentenbasierte Option geht zu Ungunsten von Leistungseffizienz, Reduzierung der VM-Dichte und ROI. Mit dem agentenbasierten Ansatz wird zwar eine relativ starke Sicherheit erreicht, dies geht jedoch auf Kosten der Ressourcen, was Unternehmen, die Virtualisierungstechnologie einsetzen, als untragbar erachten werden. 8

9 DIE OPTION AGENTENLOSER SCHUTZ Traditionelle Sicherheitssoftware-Agenten sind für VM-Umgebungen einfach zu ressourcenintensiv und unflexibel. Was wäre aber, wenn die Sicherheit virtualisierter Systeme auch ohne die Implementierung eines Endpoint-Agenten realisierbar wäre? Dies ist möglich, wenn das Sicherheitssystem fest in die Virtualisierungsplattform integriert ist und diese zur Kommunikation mit den einzelnen VMs nutzen kann. Ein einzelnes separates virtualisiertes Gerät ist dann in der Lage, den Malware-Schutz für alle VMs bereitzustellen. Die Vorteile Da auf der einzelnen VM keine Scanprozesse mehr erfolgen, werden Speicherressourcen geschont, sodass eine Erweiterung der physischen Hardwarefunktionen und eine erhöhte Konsolidierungsdichte möglich sind. Die Schwachstelle beim Erstellen einer neuen Maschine existiert nicht mehr, da sich die virtualisierte Security Appliance kontinuierlich selbst aktualisiert. Da nur die virtualisierte Security Appliance Virenscans ausführt und Updates vom Anbieter der Sicherheitssoftware erhält, werden AV-Storms vermieden und der E/A-Verbrauch begrenzt. Die Einschränkungen Der agentenlose Ansatz überzeugt zwar durch sein Beitragen zu einem höheren ROI, aber auch hier gibt es Einschränkungen. Unterstützte Plattformen Der agentenlose Ansatz lässt sich derzeit nur in VMware-Umgebungen realisieren, für welche die vshield Endpoint-Lösung genau vor diesem Hintergrund entwickelt wurde. vshield weist jedoch eigene Einschränkungen auf, die wiederum das Maß an implementierbarer Sicherheit einschränken. Kritisch zu sehen ist, dass vshield die Sicherheitslösung mit VM-Zugriff nur auf Dateisystemebene bietet. Eingeschränkter Schutz Ohne vollständigen Zugriff auf die Aktivitäten und Daten einzelner VMs über irgendeine Art von Agent ist die Bereitstellung von Endpoint-Schutz und -Kontrollen nicht möglich. Ein moderner agentenbasierter Malware-Schutz umfasst Sicherheitsmodule auf mehreren Ebenen, etwa Programmkontrolle, Webfilter, Host-Angriffsschutz, eine Personal Firewall und weitere, die alle irgendeine Art von Endpoint-Agent benötigen. Natürlich kann jedes Sicherheitssystem nur so gut sein wie die Bedrohungsanalysen, über die es seine Informationen erhält, und die Anti-Malware-Engine, die zum Schutz verwendet wird. Daher ist die bestmögliche Sicherheitsgrundlage gegen Malware entscheidend für jedes Sicherheitssystem ob agentenbasiert oder nicht. 9

10 Aber wenn dieser mehrschichtige Ansatz nicht angewandt werden kann, da die erforderlichen Tools nicht vorhanden sind, muss die verbleibende Engine zur Malware-Erkennung so leistungsstark und intelligent wie möglich sein. Keine Anti-Malware-Engine ist jedoch in der Lage, mit dem Sicherheitsniveau mitzuhalten, das mit dem Zugriff auf VM-Speicher und -Prozesse möglich wird. Agentenlose Lösungen für virtualisierte Umgebungen bieten einen eingeschränkten Schutz, da sie lediglich herkömmlichen Malware-Schutz bereitstellen. Separates Systems Management Zum gegenwärtigen Zeitpunkt ist in den meisten Unternehmen mit virtualisierten Systemen die Verwaltung sowohl physischer als auch virtualisierter Umgebungen erforderlich. Das Deployment zweier separater Sicherheitssysteme, eines für virtualisierte und eines für physische Maschinen, beinhaltet auch zwei separate Verwaltungskonsolen. Richtlinien müssen dann separat über zwei Umgebungen bereitgestellt und das Reporting manuell zusammengeführt werden, um ein Gesamtbild der Sicherheit zu erhalten. Durch den Einsatz zweier paralleler, aber separat verwalteter Systeme erhöhen Sie unter Umständen den Kostenaufwand, da doppelte Verwaltungskosten anfallen und neue Fehlermöglichkeiten entstehen. Dies ist jedoch nicht immer der Fall. Der von Kaspersky Lab verfolgte Ansatz einer einzelnen integrierten Sicherheitsplattform bedeutet, dass virtualisierte und physische Sicherheitslösungen gemeinsam über eine einzige Konsole nahtlos integriert und verwaltet werden. Das Gleichgewicht Es gibt Situationen, in denen eine agentenlose Lösung die effizienteste Option ist. Ein Beispiel hierfür wären virtualisierte Server, die für Speicher- und Datenbankverwaltung eingesetzt werden. Für diese internen Hochleistungsumgebungen, in denen die Maschinendichte von höchster Bedeutung und die Angriffsfläche für Bedrohungen eher gering ist, schlägt die Waage zugunsten der Leistungsoptimierung durch den Einsatz einer agentenlosen Lösung aus. Die Risiken sind jedoch sorgfältig abzuwägen. Und in Fällen, in denen man sich alleine auf die Anti-Malware-Engine verlässt, spielen Breite und Tiefe des von dieser Engine bereitgestellten Schutzes und die Qualität der zugrundeliegenden Bedrohungsinformationen natürlich eine entscheidende Rolle. 10

11 DIE OPTION LIGHT AGENT Die Light-Agent-Sicherheitslösung für virtualisierte Umgebungen vereint die Performance-Vorteile einer agentenlosen Lösung mit dem mehrschichtigen Sicherheitsansatz der besten agentenbasierten Sicherheitssysteme. Wann ist ein Agent ein Light Agent? Wenn die Funktionen des Agenten allein auf die Funktionen beschränkt sind, die auf dem Endpoint benötigt werden. Wie schon beim agentenlosen Ansatz wird zudem eine separate Virtual Security Appliance installiert, welche die höchste Arbeitslast übernimmt. Die Arbeitslast des auf der VM installierten Light Agent ist dabei so gering wie möglich, sodass seine Auswirkung auf die Leistung der Maschine auf ein absolutes Minimum beschränkt wird. Die Vorteile Mehrschichtige Sicherheit Durch das Vorhandensein eines Light Agent besteht nun die Möglichkeit, die Lösung um die im Folgenden beschriebenen fortschrittlichen Endpoint-Sicherheits- und Kontrollfunktionen zu erweitern: Kontrollfunktionen Eine Reihe von Endpoint-Kontroll-Tools können nun ins Spiel gebracht werden. Der Einzelzugriff auf bestimmte Programme kann blockiert, eingeschränkt oder zugelassen werden, sodass die Möglichkeit von Malware-Infektionen durch unbekannte oder nicht gepatchte Schwachstellen, insbesondere bei Vorhandensein eines Default Deny -Szenarios, massiv eingeschränkt wird. Schädliche oder nicht arbeitsbezogene Webseiten können blockiert oder mit bestimmten Regeln belegt werden die Kontrolle unangemessener oder zeitraubender Online-Aktivitäten bedeutet mehr Benutzerproduktivität und Sicherheit. Der Anschluss von Peripheriegeräten kann eingeschränkt oder blockiert werden, sodass das Hochladen von Malware oder das Herunterladen von Unternehmensdaten unterbunden wird. Zusätzliche Sicherheitstechnologien HIPS (Host Based Intrusion Prevention) Zur Überwachung des System- und Netzwerkverhaltens sowie für aktiven Schutz vor Angriffen auf den VM-Speicher. Eine host-basierte Firewall, verhindert die Verbreitung von Malware-Infektionen, indem sie den Netzwerkzugriff auf Maschinenebene begrenzt. Eine Light-Agent-Lösung bietet Interaktionsmöglichkeiten mit Cloud-basierten Schutztechnologien für den Einsatz fortschrittlicher Technologien wie AEP (Advanced Exploit Prevention) und BSS (Behavior Stream Signatures). Die Qualität der Anti-Malware-Engine ist auch hier von höchster Bedeutung, die virtualisierte Sicherheit kann nun aber das gesamte Arsenal an Sicherheitstechnologien nutzen, das auch für physische IT-Umgebungen verfügbar ist. Leistungseffizienz Durch den Einsatz einer separaten Virtual Security Appliance sind die meisten Gewinne an Leistungseffizienz, die eine agentenlose Lösung bringt, hier replizierbar. 11

12 E/A-Operationen am Hypervisor, CPU- und Speicherauslastung werden ebenfalls minimiert. Die Handhabung von Updates erfolgt nämlich nicht auf jeder VM einzeln, sondern über eine einzelne Virtual Appliance, sodass AV-Storms vermieden werden. Da Updates über die einzelne Appliance kontinuierlich erfolgen, entfallen Zeitfenster für Angriffe auf Maschinenebene fast gänzlich und der Schutz ist stets auf dem neuesten Stand. Bei Kaspersky Security for Virtualization ist dieser kontinuierliche Updateprozess besonders intensiv, da das Cloud-basierte Kaspersky Security Network (KSN) sofortigen Schutz vor den neuesten Bedrohungen gewährleistet. Die Zentralisierung dieses Prozesses ist daher entscheidend. Cache-Technologien können implementiert werden das Ergebnis einer einmal gescannten Datei kann auf allen VMs eines Hosts verfügbar gemacht werden, sodass überflüssige erneute Überprüfungen nicht mehr erforderlich sind. Das Resultat ist eine deutliche Reduzierung sowohl der Scan-Zeit als auch der Ressourcennutzung. Die Einschränkungen Ein Agent ist auch hier vorhanden. Ein Light Agent wird naturgemäß immer mehr Ressourcen verbrauchen als ein nicht vorhandener Agent. Separates Systems Management Die meisten virtualisierten Sicherheitslösungen benötigen eine von der Sicherheitslösung separate Konsole. Dies muss jedoch nicht zwangsläufig so sein. Wir möchten hier Ihre Aufmerksamkeit auf die Einzelplattformarchitektur von Kaspersky Lab lenken. Security for Virtualization von Kaspersky Lab baut auf der Einzelplattform Endpoint Security for Business und unseren physischen Sicherheitsoptionen auf. Dies bedeutet, dass physische und virtualisierte Sicherheit, obwohl sie eigentlich separate Lösungen sind, die für eine optimierte Performance in den unterschiedlichen Umgebungen konzipiert wurden, gemeinsam über eine einzelne Konsole verwaltet werden. Sie können gemeinsame Richtlinien erstellen und bereitstellen sowie gemeinsames Reporting realisieren. Der Verwaltungsaufwand ist extrem gering, und die Vorteile liegen darin, dass das Sicherheitsniveau der gesamten IT-Umgebung über eine einzige zentrale Konsole auf einen Blick sichtbar ist. Das Gleichgewicht Mit Light-Agent-Lösungen erhalten Sie die Möglichkeit, Performance und Schutz nach Ihren Maßgaben ins Gleichgewicht zu bringen. Das Vorhandensein eines Agent ermöglicht die Bereitstellung erweiterter Sicherheits- und Kontrollfunktionen am virtualisierten Endpoint, während eine separate Security Appliance alle zentral ausführbaren Aufgaben übernimmt, sodass Duplizierung und Leistungseinbußen vermieden werden. Eine effizient konzipierte Light-Agent-Lösung ist grundsätzlich die attraktivste Option, wenn es darum geht, das Gleichgewicht zwischen fortschrittlicher Sicherheit und Performance zu finden. 12

13 FAZIT Die meisten Unternehmen sind sich über den attraktiven Mehrwert, den Virtualisierung bietet, und die Gefahren, die von einer sich ständig weiterentwickelnden Bedrohungslage ausgehen, im Klaren. Die Implementierung des falschen Sicherheitssystems kann jedoch enorme Auswirkungen auf die Performance virtualisierter Systeme und den tatsächlich erreichten Schutzumfang haben. Mit der idealen Sicherheitslösung lassen sich die Unzulänglichkeiten veralteter Schutzlösungen überwinden. Der Ansatz dazu entspricht dem der Virtualisierung selbst: Er ist flexibel, anpassbar und ermöglicht einen ROI-Anstieg durch hochwertigen Schutz, der nicht zu Lasten der Performance geht. Mit der Implementierung von Kaspersky Security for Virtualization können Sie das Gleichgewicht herstellen. Durch die Flexibilität, Light Agent, agentenlose und agentenbasierte Programme in Kombination zu implementieren, bietet Kaspersky Security for Virtualization den Schutz unserer branchenführenden Anti-Malware-Engine, den Vorteil einer optimierten Performance durch effizientes, an die Anforderungen der Virtualisierung angepasstes Design, und einen integrierten zentralen Verwaltungsansatz für all Ihre Sicherheitsanforderungen. Die weltweit anerkannten Experten für IT-Sicherheit des F&E-Teams von Kaspersky Lab haben eine flexible Lösung geschaffen, mit der Sie von den notwendigen Performance-Vorteilen profitieren und dank des Kaspersky Security Network (eines der besten Bedrohungsinformationsnetzwerke der Welt) Ihre virtualisierte Umgebung optimal schützen können. Das Kaspersky Security Network sowie die international anerkannten Threat Research and Global Research and Analysis Teams (GReAT) ermöglichen uns eine umfassende Sicht auf Millionen von Bedrohungen aus allen Teilen der Welt. Diese Informationen sorgen dafür, dass wir Sicherheitsvorfälle erkennen und häufig vorhersagen können, und dazu beitragen, dass Unternehmen einen besseren Schutz und einen aktiven Sicherheitsansatz realisieren können. Wir konzentrieren unsere Bemühungen auf die Lösung globaler Probleme im IT- Sicherheitsbereich vom kritischen Infrastrukturschutz, über Enterprise Mobility und sichere Virtualisierung bis hin zu Betrugsprävention und Sicherheitsinformationsdiensten. Kaspersky Lab engagiert sich stets aufs Neue dafür, IT-Sicherheitsbedrohungen vorauszusehen und zu verhindern um so Risiken für Unternehmen heute und in einer zunehmend komplexen Zukunft zu reduzieren. 13

14 Über Kaspersky Lab Kaspersky Lab ist der weltweit größte Privatanbieter von Lösungen für den Schutz von Endpoints. Das Unternehmen rangiert unter den vier Top-Anbietern von Sicherheitslösungen für Endpoint-Benutzer*. In seiner 16-jährigen Firmengeschichte hat Kaspersky Lab stets eine Vorreiterrolle bei der IT-Sicherheit gespielt und bietet Einzelverbrauchern ebenso wie Unternehmen jeder Größenordnung wirksame Lösungen für die Datensicherheit. Kaspersky Lab, dessen Muttergesellschaft in Großbritannien registriert ist, ist derzeit in fast 200 Ländern und Gebieten weltweit tätig und bietet Schutz für mehr als 300 Millionen Benutzer auf der ganzen Welt. Weitere Informationen finden Sie unter kaspersky.com/enterprise. * Das Unternehmen belegte in der IDC-Aufstellung Worldwide Endpoint Security Revenue by Vendor aus dem Jahr 2012 den vierten Rang. Die Aufstellung stammt aus dem IDC-Bericht Worldwide Endpoint Security Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Für diesen Bericht wurden Softwarehersteller anhand ihrer Einnahmen aus den Verkäufen von Endpoint- Sicherheitslösungen im Jahr 2012 eingestuft.