„Die Vorteile der Virtualisierung sind gefährdet, wenn man sie nicht sicher umsetzt“

Seit wann beschäftigt sich Trend Micro mit dem Thema Virtualisierung?

Trend Micro benutzt seit langem Virtualisierung als Möglichkeit zum Testen von Umgebungen als auch zum Betrieb der Backendsysteme. Diese Erfahrung aus Anwendersicht spiegelt sich auch im Design der verfügbaren Lösungen von Trend wieder. Salopp formuliert haben wir Lösungen zum sicheren Schutz von Virtualisierungsumgebungen entwickelt, da keine auf dem Markt verfügbar waren.

Was sind die Hauptvorteile der Virtualisierung?

Grundsätzlich stehen bei der Virtualisierung die effizientere Nutzung von Ressourcen (CPU, RAM, Storage) und die damit verbundene Kosteneinsparung im Vordergrund. Von Spitzen einmal abgesehen beträgt die durchschnittliche Last auf einem physikalischen Server in vielen Fällen unter fünf Prozent. Virtualisierung erlaubt es, auf der gleichen Hardware etwa 20 Server zu betreiben – mit einer durchschnittlichen Auslastung von nahezu 100 Prozent. Diese effiziente Nutzung von Ressourcen stellt den Grundstein zur Kosteneinsparung dar.

Warum hat sich die Virtualisierung zuerst auf dem Servermarkt etabliert?

Im Gegensatz zu Desktops und Laptops sind Server „statisch“ – und das gleich in zweifacher Hinsicht. Einerseits werden Server nur in seltenen Fällen geographisch beziehungsweise in der Infrastruktur bewegt. Andererseits ist das Anwendungsprofil eines Servers nach dem Installieren in der Regel statisch – ein Webserver bleibt ein Webserver und wird nicht irgendwann mal ein Fileserver. Diese beiden Eigenschaften prädestinieren Server für die Virtualisierung, da man ähnliche Ressourcen auf Virtualisierungsplattformen konsolidieren kann und sich deren Ressourcenbedarf gut abschätzen lässt. Er variiert über Zeit nicht stark.

Trotzdem: Warum ging es so lange, bis die Virtualisierung den Desktop erreicht hat?

Im Vergleich zu Server sind Desktops wesentlich „beweglicher“ und das Ressourcenprofil schwankt erheblich. Hinzu kommt, dass Desktops von Benutzern beim ganz normalen Arbeiten im Laufe der Zeit verändert werden. Die Kombination dieser Punkte erfordert im Gegensatz zu Server andere, weiterreichende Lösungsansätze. Die Verfügbarkeit effizienter Lösungen und Prozesse, die diese Punkte adressieren, sind letztendlich ein wichtiger Grund, wieso Virtualisierung inzwischen auch den Desktop erreicht hat. Nicht zu vergessen ist auch die Betriebssystemlandschaft: Viele der heute im Einsatz befindlichen Systeme laufen noch unter Windows XP. Die nun anstehende Migration wirft Fragen bezüglich Betriebssysteme und Hardware auf. Desktop-Virtualisierung bietet eine interessante Möglichkeit die Migration auf Windows 7 zentral durchzuführen und gleichzeitig vorhandene Hardware, auf der Windows 7 nativ nicht läuft, als Client mittels Virtualisierung weiter im Einsatz zu halten.

Lassen sich virtuelle Desktops gleich schützen wie virtualisierte Server?

Leider nein. Aufgrund des grundsätzlich unterschiedlichen Nutzungsprofils lassen sich beide nicht in einen Topf werfen. Virtuelle Desktops werden von Benutzern benutzt und auch verändert. Dies zeigt sich zum Beispiel beim Surfen im Web: Etwas völlig normales auf einem Desktop – eher unüblich auf Servern. Dieser Unterschied in Nutzungsprofilen muss sich auch im eingesetzten Schutz widerspiegeln.

Was steckt hinter dem Begriff virtuelle Desktop-Infrastruktur?

Im Grunde genommen stecken hinter VDI-Technologien Prozesse um die Virtualisierung von Desktops effizient betreiben und verwalten zu können. Die eigentliche Virtualisierung stellt die Grundlage dar. Im Gegensatz zu Server sind virtualisierte Desktops in der Regel nicht persistent – das heisst, alle Daten werden ausserhalb des Desktops, zum Beispiel auf einem Netzlaufwerk, gespeichert. Unter anderem ermöglicht dies jedem Benutzer nach dem Einloggen einen „frischen“ Desktop zur Verfügung zu stellen. Dies senkt die Supportkosten in vielen Fällen erheblich, da von einem Last-Known-Good-Status ausgegangen werden kann. Auch Funktionen zum dynamischen Verteilen von Anfragen auf eine Reihe von Server fallen in die Kategorie der zusätzlichen Funktionen, die VDI ausmachen.

Warum sollten Unternehmen auf eine VDI setzen?

Alle technischen und administrativen Vorteile von VDI lassen sich auf betriebswirtschaftliche Vorteile abbilden. Daher ist es sinnvoll, die verschiedenen „Gründe“ näher zu beleuchten:

• Migration Windows 7

Die Migration auf Windows 7 steht vor der Tür. Ob nun wieder auf dedizierten PCs oder zentral auf einer VDI-Umgebung. Allerdings bietet die zentrale VDI-Umgebung Vorteile beim Ausbringen und bei der Wartung der Windows 7 Umgebung.

• Hardware

Für VDI muss Server-Hardware beschafft werden. Beim dedizierten Ansatz ist in den wenigsten Fällen davon auszugehen, dass PCs, die mit Windows XP beschafft wurden, auch zufriedenstellend mit Windows 7 betrieben werden können. Also steht auch hier (auf Desktop-Seite) neue Hardware auf dem Plan. Mit VDI können die existierenden PCs als „Terminals“ weiterbenutzt werden. Somit ist leicht eine Verlängerung des Client Hardwarezyklus von drei auf fünf oder noch mehr Jahren machbar. In diesem Zusammenhang ist auch die Entkopplung von Client Hardware und Desktop zu beachten: Der Desktop läuft im Rechenzentrum unter Windows 7; das Anzeigegerät ist davon völlig unabhängig – zum Beispiel ein Apple iPad oder ein Smartphone.

• Zentrale Verwaltung

Alle Desktops befinden sich „im Rechenzentrum“. Dies bedeutet, das Backup & Restore deutlich einfacher als bei einer verteilten Struktur ist. Auch das Ausbringen von Patches und Updates geschieht deutlich einfacher. Das gilt auch für das Bereitstellen von virtuellen Desktops z.B. für neue Mitarbeiter.

Wie sicher sind VDI-Umgebungen?

Lücken im Betriebssystem oder in Applikationen betreffen virtuelle wie physikalische Desktops in gleichem Masse – hier ist also kein Unterschied zu sehen. Jedoch sind virtuelle Desktops durch die zentrale Administration in der Regel deutlich schneller gepatcht und aus einem Backup schnell wieder hergestellt: Dies macht sie im erweiterten Sinne sicherer (zum Beispiel im Kontext der Verfügbarkeit).

Was ist denn nötig, um eine VDI sicher zu betreiben?

Der sichere Betrieb einer Virtual-Desktop-Umgebung besteht aus zwei Seiten: Client Security und Management. VDI-Clients benötigen wie auch physikalische Clients Sicherheitslösungen - unter anderem im Bereich Malware, Firewall und so weiter. Auf der Management-Seite sind eingespielte Prozesse extrem wichtig. Dies spiegelt sich beispielsweise im Backup & Restore, Patchen der Golden Images als auch im selektiven Ausbringen neuer Images an Testgruppen wieder.

Wie unterscheidet sich das Risikoprofil eines Servers von demjenigen eines Desktops?

Server sind vom Risikoprofil fast durchgehend statisch. An Desktops wird jedoch aktiv am und im System gearbeitet. Ein gutes Beispiel ist das Surfen im Web – etwas, das Server eher selten tun. Beim Surfen im Web drohen viele Gefahren; von Drive By Downloads bis hin zu Data Leakage ist alles möglich. Die Arbeit des Nutzers im und am System bedingt somit den Hauptunterschied zwischen Servern und Desktops. Auch wenn ein virtueller Desktop letztendlich auf einem Server läuft, ist dieser vom Security Profil also wie ein Desktop zu behandeln.

Wie wird in einer VDI-Umgebung der Datenschutz sichergestellt?

Im gängigen Szenario macht VDI den Datenschutz sogar einfacher. Ob man von einem „echten“ Desktop aus die Daten auf einem Netzwerklaufwerk speichert oder von einem virtuellen spielt erstmal keine Rolle. Bei diesem „internen“ Datenaustausch kommen klassische Rechtemodelle in beiden Fällen zum Tragen. Interessant ist das ganze im Bereich Laptops. Beim klassischen Fall greift man hier häufig zu einer Full-Disk-Verschlüsselung des Laptops zurück, um im Falle von Verlust oder Diebstahl auf der sicheren Seite zu stehen. Benutzt man einen Laptop hingegen nur als Terminal zu einem VDI-Desktop, so befinden sich auf dem Laptop lokal keine sensitiven Daten mehr. Ein Verlust des Laptops bleibt also aufwendig in Bezug auf Wiederbeschaffung der Hardware. Sorgen um die Einrichtung des Systems beziehungsweise um die Daten braucht man sich keine mehr zu machen.

Vernachlässigen CIOs das Thema Sicherheit in VDIs?

Aus Kundensicht ist Kosteneinsparung das Hauptargument für VDI. Angesichts der Möglichkeiten wird Security oftmals vernachlässigt. Das nachträgliche Einbinden einer nicht VDI-aware Security-Lösung vernichtet oftmals die angestrebte Kosteneinsparung. Daher ist das bewusste Einbinden von VDI-aware Security eine Notwendigkeit um den Kostenvorteil nicht zu gefährden.

Sind Wartung und Support einer VDI aufwändig?

Im Vergleich zu physikalischen Desktops ist die Verwaltung von VDI „anders“. Obwohl hier Desktops verwaltet werden sind Tools und Prozesse eher mit der zentralen Serververwaltung vergleichbar. Vom Verwaltungsansatz ist der Vergleich mit dem Betrieb von Terminalserver-Umgebungen angebracht: Die eigentliche Hardware ist zwar ein Server – aus Benutzerwahrnehmung jedoch ein Client.

Wie kann Trend Micro einem Unternehmen helfen, VDIs abzusichern?

Trend Micro bietet seit jeher Lösungen zum Schutz normaler Desktops. Da diese vom Schutzprofil vergleichbar sind, bieten sich diese Lösung auch im VDI-Umfeld an. Zusätzlich adressiert Trend Micro den Ressourcenverbrauch in VDI-Umgebungen. Hier stellt das VDI-Plugin zum Beispiel sicher, dass ressourcenintensive Aufgaben nicht auf allen VDI-Desktops gleichzeitig bearbeitet werden beziehungsweise nur Informationen gescannt werden, die sich vom gemeinsamen Golden Image unterscheiden.

Welche Lösungen im Zusammenhang mit Virtualisierung bietet Trend Micro an?

• Deep Security

Deep Security kombiniert Firewalling, Agentless AV Scanning, Integritätschecks und Logfile-Analyse für eine ganze Reihe von physikalischen und virtuellen Plattformen. Auf VMWare-Plattformen bietet Deep Security unter anderem eine Einbindung in den Hypervisor. Dies ermöglicht ein Schutz aller VMs – unabhängig von installierten Agents.

• OfficeScan 10.5 & VDI Plugin

OfficeScans VDI-Plugin ermöglicht eine deutlich höhere Dichte von VDI-VMs im Vergleich zu anderen AV-Lösungen. Security und Kosteneffizienz in VDI Umgebungen ist somit kein Widerspruch mehr.

• Core Protection for Virtual Machines

Core Protection for Virtual Machines erlaubt das Scannen von virtuellen Festplatten auf Hypervisor-Ebene ohne zwangsläufig auf einen lokal installierten Agent angewiesen zu sein.

Bietet Trend Micro auch Cloud-Technologien an?

Losgelöst von VDI-Umgebungen bietet Trend Micro zwei komplementäre Cloud-Lösungen an:

• DeepSecurity

DeepSecurity ermöglicht es, Security-Funktionen in der VM zu halten. Dies bedeutet eine Unabhängigkeit von der eingesetzten Umgebung beziehungsweise Cloud – man verlässt sich nicht auf Security-Funktionen, die vielleicht im gegebenen Kontext verfügbar sind. Im Gegenteil: Die VM schützt sich selber.

• SecureCloud

SecureCloud adressiert die Nachfrage nach verschlüsseltem Storage in der Cloud. Die eigentliche Verschlüsselung ist ein seit langem gelöstes Problem – die Frage nach dem Schlüsselmanagement ist die wichtigere: Werden Schlüssel und Storage in derselben Cloud gespeichert hat man nichts an Sicherheit gewonnen. Erst die disjunkte Speicherung und Verwaltung von Storage und Keys bietet einen echten Mehrwert: Genau das, was SecureCloud anbietet.

Warum zögern viele Unternehmen noch beim Thema Desktop-Virtualisierung?

Unternehmen zögerten oftmals aufgrund fehlender Technologien und Management. Dies hat sich inzwischen jedoch grundsätzlich geändert. Inzwischen sind sowohl Technologie, Management als auch Security verfügbar. In diesem Kontext ist das Zögern eher als durchdachtes Planen einer VDI Einführung zu sehen.