Virtualisierung oder Separation? Ein gewaltiger Unterschied! - GeNUA

Virtualisierung oder Separation? Ein gewaltiger Unterschied!
Von Alexander von Gernler, Technischer Botschafter der genua mbh
Virtualisierung vereinfacht IT-Betrieb
In den letzten Jahren geht der Trend eindeutig zur Virtualisierung von Rechnern –
Treiber sind hier besonders die Administratoren. Zu gewichtig sind die Vorteile, die
sich durch das Zusammenfassen mehrerer, bisher physikalischer Rechner auf
einem großen Virtualisierungs-Host für den täglichen Betrieb ergeben. Zum einen
werden ganz offensichtlich Ressourcen sowohl auf Seiten des Hardware-Einsatzes
als auch bei den laufenden Stromkosten eingespart. Zum anderen schafft
die Zusammenlegung auch eine viel bessere Ausnutzung der vorhandenen Hardware
sowie ein größeres Potenzial hinsichtlich Peak Performance: Sind einzelne
Instanzen gerade wenig beschäftigt, steht die nicht genutzte Leistung automatisch
anderen Instanzen zur Verfügung, die dadurch möglicherweise noch viel besser
nach oben skalieren können, als sie es auf realer Hardware hätten tun können.
Ein Virtualisierungs-Host hat eben ganz andere Leistungsdaten als ein einzelner
kleiner Server.
Eine günstige Lösung
All diese tollen Merkmale kommen – vordergründig gesehen – zu einem relativ
geringen Preis: Der Leistungsverlust durch die Virtualisierung ist zwar zu sehen,
hält sich aber in Grenzen – vor allem im Angesicht der entgegenstehenden Vorteile.
Hinzu kommen eventuell noch Anschaffungskosten für die verwendete
Virtualisierungssoftware, sofern nicht auf eine ohnehin freie Lösung zurückgegriffen
wird. Die Hardware für den Virtualisierungs-Host selbst muss zwar auch
angeschafft werden, allerdings hätten auch die bisher einzeln existierenden
Rechner regelmäßige Hardware-Upgrades benötigt. Dieser Effekt hält sich also
die Waage.
genua gibt sich nicht mit einfachen Antworten zufrieden
Grund genug für genua, dem Trend Virtualisierung auch von der Seite der
Sicherheitsforschung nachzuspüren und Risiken und Potenziale aus unserer ganz
speziellen Sicht als Hersteller von Hochsicherheits-Firewalls auszuloten. Einen
Anfang bildet hier das Forschungsprojekt vmFIRE, das genua in Zusammenarbeit
mit der Brandenburgischen Technischen Universität (BTU) Cottbus durchführt:
Hier soll die Frage geklärt werden, wie ein effektives und einigermaßen sicheres
Firewalling zwischen verschiedenen virtualisierten Instanzen auf einem oder mehreren
Virtualisierungs-Hosts denkbar sein kann. Im Falle einzelner physikalisch
getrennter Rechner wäre ein Firewalling zwischen den Servern ja gar kein Problem
– hier haben wir auch schon lange Produkte dafür. Die Virtualisierung ändert
aber das Szenario, und auf diese neuen Fragestellungen muss genua eine
zufriedenstellende Antwort finden. Damit greifen wir das Setup vieler Firmen auf,
bei denen ein oder mehrere Virtualisierungs-Hosts im Rack stehen und die
Seite 1

Kommunikation über das Netzwerk längst nicht mehr die einzige denkbare Form
des Informationsaustauschs zwischen Rechnern ist.
Irrglaube sichere Virtualisierung
Was einem als Betreiber einer (egal welcher) Virtualisierungslösung nämlich klar
sein muss: Es handelt sich wie immer auch nur um ein Stück von Menschen
geschriebener Software, und die ist potenziell fehlerbehaftet. Diese Vermutung
wurde uns in der Recherchephase des Forschungsprojekts auch eindrucksvoll
bestätigt, als wir den so genannten Security Record der einzelnen Lösungen
überprüften: Wie viele Sicherheitslücken wurden in Form von so genannten CVE-
Einträgen für die einzelnen Lösungen gemeldet, und welches Potenzial steckte
hinter diesen Sicherheitslücken? Zusammenfassend kann man sagen, dass die
Virtualisierungslösungen VirtualBox, VMWare, Xen und KVM/Qemu in den Jahren
2007 bis 2012 zusammen über 100 CVE-Einträge produziert haben, also eine
signifikante Angriffsfläche existiert.
Es ist daher realistisch, dass Angreifer aus einer Virtualisierungslösung ausbrechen
und den gesamten Virtualisierungs-Host unter ihre Kontrolle bringen können.
Dies kann entweder durch Lücken im Hypervisor (der Virtualisierungsschicht)
als auch durch Manipulation des Netzwerkverkehrs auf den virtuellen Netzwerkschnittstellen
und Software-Bridges geschehen, die bei diesen Lösungen zum
Einsatz kommen. Aus diesem Grund hat genua bisher auch ehrlich auf Anfragen
von Kunden antworten müssen, dass wir den Einsatz unserer Firewall-Produkte
nur auf echter Hardware empfehlen und einem virtualisierten Einsatz skeptisch
gegenüber stehen.
Mobile Firewall für Roadwarriors und sichere Heimarbeit
Verlassen wir für einen Moment die Thematik der Virtualisierung – wir kommen
später in anderer Form noch einmal darauf zurück. Betrachten wir nun kurz die
mobile Firewall genucard, die gerade für Arbeitsplätze mit hohem Sicherheitsbedarf
das vertrauenswürdige Arbeiten im Außendienst oder per sicherem Heimarbeitsplatz
ermöglicht.
Seite 2
Mobile Security Device genucard: separierte Sicherheitsfunktionen
durch eigene Hardware

Die Firewall ist nicht wie bei anderen so genannten Personal Firewalls eine
weitere Software auf dem Laptop oder dem Heimrechner, die durch Knacken
dieses Rechners umgangen werden kann. Es handelt sich im Gegenteil um eine
autonom laufende, kleine Hardware-Appliance, die per USB angeschlossen wird
und aus Sicht des Laptops wie eine weitere Netzwerkschnittstelle aussieht. In
Wirklichkeit verbirgt sich aber viel mehr dahinter: Die genucard ist ein vollwertiger
kleiner Rechner, der etwa ein sicheres VPN in das Firmennetz aufbauen kann,
ohne dass dies eine extra Konfiguration auf dem Laptop oder Heimarbeitsplatz
erfordert. Auch muss dem Client nicht mehr getraut werden: Selbst wenn der
Client-Rechner kompromittiert sein sollte, ist die Firewall samt sicherem VPN
immer noch intakt und kann auch nicht umgangen werden, da der Client ja nur
eine simulierte Netzwerkschnittstelle sieht.
Sicher, aber in einigen Fällen unpraktisch
Die Produkteinführung der genucard im Jahr 2009 war ein voller Erfolg: Gleich
mehrere Kunden mit einem erhöhten Schutzbedürfnis orderten größere
Stückzahlen. So weit, so gut. Allerdings erreichten uns auch Hinweise von
Nutzern, dass man mit der genucard ja immer ein weiteres USB-Gerät dabei
haben müsse, wenn man mobil unterwegs sei – ein berechtigter Einwand. Dies
spielt zwar im Homeoffice keine Rolle, aber für den Roadwarrior ist es eine lästige
Zusatzausrüstung. Wir erhielten daher auch Fragen, ob es nicht möglich sei, das
Gerät in ein Notebook zu integrieren. Aufgrund der sehr hohen Integrationsdichte
der Komponenten in heutigen Notebooks war das leider nicht so einfach möglich,
ganz abgesehen davon, dass wir eine breite Palette ständig wechselnder
Notebook-Hardware unterstützen müssten.
Eine vielversprechende Alternative
Greifen wir also den obigen Gedanken über Virtualisierung auf: Wären all die
Sicherheitsprobleme nicht, dann wäre eigentlich eine virtualisierte Firewall genau
die Lösung: Man schaltet auf einem Gerät die Firewall vor die gesamte externe
Kommunikation, und das Windows- oder Linux-System auf dem Laptop darf nicht
mehr selbst mit der Außenwelt kommunizieren. Trotzdem haben wir ja oben
gehört, dass dies mit den heutigen Virtualisierungslösungen zum einen nicht geht,
und zum anderen für die Sicherheit nicht wirklich garantiert werden kann.
Ein neuer Ansatz muss her
Also nochmal zurück auf Start: Warum sind die herkömmlichen Virtualisierungslösungen
unsicher? Zwei Gründe kommen zum Vorschein:
1. Ausrichtung auf andere Ziele
Eine Virtualisierungslösung ist zunächst einmal das gemeinsame Nutzen von
Hardware. Die Abschottung zwischen den Instanzen dient eher dazu, die einzelnen
Systeme überhaupt gemeinsam auf der gleichen Plattform betreiben zu
können, als sie wirklich hart zu trennen. Hier müsste man also mit Separation im
Hinterkopf an das Problem herangehen.
Seite 3

2. Zu hohe Komplexität
Die heutigen Virtualisierungslösungen sind vor allem auf Performance ausgerichtet
und wollen dem Benutzer viele interessante Leistungsmerkmale bieten.
Hierdurch wächst die Komplexität der Software, was man in einem Anstieg der
Anzahl von Quellcode-Zeilen (LOC, Lines of Code) messen kann. Mit dem
Wissen, dass pro Codezeile eine gewisse statistische Wahrscheinlichkeit eines
Software-Fehlers einhergeht, folgt also: Eine sichere Separationslösung sollte
möglichst wenig LOC in den wirklich privilegierten Kernbereichen haben – oder mit
anderen Worten: Die Anzahl der Codezeilen, die fehlerfrei implementiert sein
müssen, damit die Sicherheitsfunktionalität gewährleistet ist, sollte möglichst gering
sein.
Das Kaninchen aus dem Zylinder: VS-Technologie von genua
Die Abteilung Forschung und Entwicklung bei genua hat bereits seit zwei Jahren
an genau einer solchen Technologie gearbeitet. Das Konzept stützt sich auf das
von akademischer Seite bekannte Konzept des Microkernels (vgl.
http://en.wikipedia.org/wiki/Microkernel), von denen es einige unabhängige Familien
gibt.
genua hat hier auf die L4-Technologie gesetzt, wie sie zuletzt auch an der TU
Dresden (vgl. http://os.inf.tu-dresden.de/L4Re/overview.html) entwickelt wurde.
Wir konnten also auf gesicherte akademische Kenntnisse aufsetzen und mussten
den vorhandenen Code lediglich aus seinem Elfenbeinturm führen und auf Praxistauglichkeit
trimmen: Klar, dass aus wissenschaftlicher Sicht vor allem neue
Konzepte interessant sind. Stabilität, Hardware-Unterstützung oder Performance
stehen dagegen weniger im Vordergrund. Das ist aber kein Problem, hier haben
wir ja Erfahrung. Was aber bemerkenswert ist: Der L4-Microkernel hat nur etwa
20.000 Zeilen Code. Das ist eine lächerlich kleine Zahl, wenn man sie etwa mit
den LOC des Linux-Kernels vergleicht. Das entpackte Archiv des Kernels 3.8.1
kommt auf 16,4 Millionen Zeilen Code!
Microkernel, wie funktioniert das?
Klar, dass man in 20.000 Zeilen Code nicht alles unterbringt, was in einem
schwergewichtigen Betriebssystem drinsteckt. Das ist aber auch gar nicht der
Anspruch von L4. Der Microkernel kümmert sich lediglich um eine sehr
zuverlässige Kompartmentierung: Er hat zum Startzeitpunkt des Systems vollen
Zugriff auf die Hardware und gibt jeweils nur streng definierte Kompetenzen
(Capabilities) zum Zugriff auf Teile der Hardware an einzelne Tasks weiter.
Bestandteile eines monolitischen Kerns (z. B. Linux oder BSD) wie etwa einen
Dateisystemtreiber sucht man bei L4 zunächst vergebens. Das ist nicht Aufgabe
des minimalen Systems, sondern wird auch streng isoliert in einem eigenen Task
abgehandelt. Auf diese Weise bleibt die so genannte Trusted Computing Base,
also der Teil des Systems, der privilegierten Hardware-Zugriff hat, zu jeder Zeit
sehr schlank. In die Hände spielt unseren Forschern auch noch, dass von den
Prozessorherstellern spezielle Hardware-Unterstützung für Virtualisierungslösun-
Seite 4

gen entwickelt wurde. So besitzen aktuelle Intel-Prozessoren die Erweiterungen
VT-d und VT-x. Von beiden profitiert auch der Microkernel, um die Isolation der
Tasks effektiv durchführen zu können.
Was funktioniert schon?
Bereits auf der diesjährigen CeBIT konnte genua ein Laptop mit zwei voneinander
separierten L4-Kompartments präsentieren. In einem Kompartment läuft ein virtualisiertes
Windows, im anderen Kompartment das Mobile Security Device
genucard. Die Separationsplattform stellt sicher, dass das Windows nur über die
genucard mit der Außenwelt kommunizieren kann.
Kein Problem also, vom Messestand aus mit dem Internet Explorer eine Seite aus
dem Intranet von genua anzuschauen, alles über das sichere VPN einer
genucard. Wir nennen dieses auf unserer Technologie basierende Produkt vs-top.
Ausblick
Die besprochene Technologie lässt aber neben dem vs-top auch noch viele
andere Einsatzszenarien denkbar werden: Etwa zur Absicherung kritischer
Infrastrukturen, die fahrlässigerweise heute immer öfter per IP erreichbar sind (vgl.
http://cyberarms.wordpress.com/2013/03/19/worldwide-map-of-internetconnected-scada-systems/).
Oder aber zum Einsatz auf einem Smart Meter Gateway,
das intelligente Stromzähler vor unerlaubten Zugriffen von außen schützt.
genua ist hier bereits mit einigen Partnern im Gespräch und weitere Neuigkeiten
zu diesen Themen werden folgen.
Seite 5