Virtuelle Maschinen? Aber sicher!

Sicherheit in der M2M-Kommunikation: Identität von Maschinen muss geschützt werden

Frank Strobel

© Shutterstock / Profit_Image

Virtuelle Maschinen (VM) lassen sich schnell erstellen, ändern und wieder löschen. So sind sie zu einem wichtigen Bestandteil der App-Entwicklung geworden. Doch wenn neue VMs nicht sorgfältig behandelt werden, können sie die Infrastruktur belasten und Schwachstellen verursachen. Die Sicherheit beginnt dabei mit dem Schutz der Maschinen-Identität.

In der IT-Infrastruktur ist heute schon vieles softwaredefiniert: vom Netzwerk über Speicher bis hin zum Rechenzentrum. Durch den Trend zur Maschine-zu-Maschine-(M2M)-Kommunikation schwappt diese Welle auch auf vernetzte Geräte über. Schließlich benötigt die Verbindung Code, der in physischen Geräten, APIs, Containern, Serverless-Architekturen und virtuellen Maschinen (VM) läuft.

Da insbesondere VMs softwaredefiniert sind, lassen sie sich leicht bearbeiten und sind zu einem wichtigen Bestandteil des Workflows zur App-Entwicklung geworden. In der gesamten Pipeline für Continuous Integration und Continuous Delivery (CI/CD) ist die einfache Erstellung neuer VMs eine entscheidende Voraussetzung zur schnellen Entwicklung und zum Testen von Anwendungen. Dies ermöglicht eine kurzfristige Markteinführung von neuen Funktionen oder Applikationen.

Mögliche Gefahren

Für App-Entwickler bringt eine schnelle CI/CD-Pipeline zahlreiche Vorteile wie höhere Effizienz und Geschwindigkeit. Aber wenn die VMs nicht sorgfältig und überlegt erstellt werden, können sie die Performance und Kapazität der Infrastruktur beeinträchtigen sowie Sicherheitslücken verursachen. Daher sind sie mit entsprechenden Maßnahmen abzusichern.

Ähnlich wie bei den Nutzern basiert diese Absicherung auf dem Schutz der Identität. Denn wenn sich ein Angreifer als legaler Anwender ausgeben kann, erhält er dessen Zugriffsrechte. Ähnliches gilt auch für virtuelle Maschinen. Wenn Maschinen-Identitäten nicht bekannt oder ungesichert sind, können sie von Cyberkriminellen dazu verwendet werden, Netzwerke zu infiltrieren. Sobald dies geschieht, sind auch die Applikationen, die durch dieses Netzwerk bedient werden, Angriffen ausgesetzt. Dieses Problem betrifft alle Maschinen, ob virtuell oder physisch, inklusive Prozesse, Dienste, Container und Hosts.

So erfolgen heute die meisten Angriffe auf Netzwerke über verschlüsselten Datenverkehr, wobei Cyberkriminelle mithilfe gestohlener oder gefälschter Maschinen-Identitäten die vorhandenen Sicherheitslösungen umgehen und so unentdeckt bleiben. Nur durch fortlaufende Überwachung der Maschinen-Identitäten, die den Zugriff auf jede Maschine im gesamten Unternehmen ermöglichen, bleibt das Netzwerk geschützt.

IT Security Summit 2019

Hands-on workshop – Hansel & Gretel do TLS

mit Marcus Boiton (Synchromedia Limited)

Sichere Logins sind doch ganz einfach!

mit Arne Blankerts (thePHP.cc)

Maßnahmen zum Schutz

Zur Absicherung der Maschinen-Identitäten lassen sich gängige Konzepte für das Privileged Access Management (PAM) auf nicht-menschliche Netzwerkeinheiten wie Prozesse, Dienste, Container und Hosts anwenden. Dazu gehören unter anderem Identitätsschutz, Authentifizierung, Role-based Access Control (RBAC), das Prinzip der geringsten Rechte oder Überwachung. Für eine vertrauenswürdige Kommunikation zwischen Maschine und Maschine kommen zudem zwei wesentliche Komponenten zum Einsatz:

  • Digitale Zertifikate: Diese verknüpfen einen öffentlichen Schlüssel mit seinem Besitzer, in diesem Fall einer virtuellen Maschine, Software oder Web-Domain. Zertifikate haben immer ein Ablaufdatum und lassen sich zuvor meist einfach verlängern.
  • Kryptographische Schlüssel: Mit privaten Schlüsseln können die jeweiligen Besitzer Informationen digital signieren. Damit lässt sich beweisen, dass die Informationen vom Eigentümer dieses privaten Schlüssels stammen. Öffentliche Schlüssel werden vom Empfänger verwendet, um zu überprüfen, ob die digitale Signatur von einem bestimmten privaten Schlüssel stammt. Dieses Verfahren stellt auch sicher, dass sich mit einem öffentlichen Schlüssel verschlüsselte Daten nur vom Eigentümer des zugehörigen privaten Schlüssels entschlüsseln lassen.

Herausforderungen bei der Implementierung

Eine der größten Herausforderungen bei der Einführung dieser Schutzmaßnahmen ist die schiere Masse von Maschinen-Identitäten. Schon heute gibt es weltweit Milliarden von physischen und virtuellen Maschinen – und der Zuwachs ist enorm. Die effiziente und sichere Verwaltung einer solch großen Menge von Identitäten ist selbst für sehr erfahrene IT-Experten äußerst schwierig. Daher sind Automatisierung und Orchestrierung wichtige Voraussetzungen, um die Masse zu bewältigen und dabei manuelle Fehler zu vermeiden.

Die Aufrechterhaltung einer sicheren Maschine-zu-Maschine-Kommunikation hängt zudem von der einwandfreien Implementierung und Koordination von Zertifikaten und Schlüsseln im gesamten Netzwerk aus physischen Geräten und VMs ab. Das Erzeugen und Nutzen von immer mehr kurzlebigen Zertifikaten hat dabei zu einem riesigen Zuwachs geführt. Aus diesem Grund ist es wichtig, eine robuste Lösung einzusetzen, welche auch bei der Verwaltung von Zertifikaten Automatisierung und Orchestrierung bietet. In Kombination mit effektiver Verschlüsselung des gesamten Netzwerkverkehrs bietet die automatische Verwaltung von digitalen Zertifikaten die optimale Lösung, um ein Netzwerk vor Cyberkriminellen zu schützen.

Proaktives Management

Dabei kann ein proaktives Management von vorneherein zertifikatsbedingte Ausfälle vermeiden. Mit geeigneten Lösungen lassen sich Schlüssel und Zertifikate einfach automatisieren und orchestrieren, um Identitäten von physischen und virtuellen Maschinen zu schützen. Dies umfasst deren Erkennung, Verfolgung, Verwaltung und Überwachung in der Cloud, im eigenen Rechenzentrum oder in Colocation-Strukturen.

Das Zertifikate-Management automatisiert dabei die Prozesse zur Bereitstellung, Erneuerung oder Änderung von SSL/TLS-Zertifikaten. Zudem sollte die Lösung rechtzeitig Warnmeldungen ausgeben, bevor Zertifikate ablaufen. Dann sind Unternehmen, die eine Internet-Präsenz besitzen oder Applikationen über das Internet bereitstellen, vor Maschinen-Identitätsdiebstahl sicher.

Geschrieben von
Frank Strobel

Frank Strobel arbeitet seit 2010 als Strategic Alliance and Business Development Executive bei F5 und ist verantwortlich für Partnerschaften im Bereich Cybersecurity und IoT.

Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: