WavebreakmediaMicro - Fotolia

Sicherheit in VDI-Umgebungen: Virtuelle Desktops wie physische absichern

VDI-Umgebungen gelten oft als grundlegend sicherer als physische Bereitstellungen. Aber auch virtuelle Desktops müssen abgesichert werden.

Virtuelle Desktops sind genauso anfällig für Malware, Viren und Exploits wie physische Desktops. Damit müssen VDI-Desktops (Virtual Desktop Infrastructure) also genauso umfassend abgesichert werden wie herkömmliche PCs. Der Wechsel zur Desktop-Virtualisierung sollte also nur bedingt aus Gründen einer vermeintlich höheren Sicherheit angestrebt werden.

Zu Beginn eines VDI-Projekts sollten immer zuerst die Erwartungen aller Beteiligten geklärt werden. Tatsächlich sind nämlich die Differenzen zwischen dem, was Unternehmen von VDI erwarten, und dem, was Desktop-Virtualisierung wirklich leisten kann, meist doch größer als gedacht.

Es gibt also einige Missverständnisse, die es in punkto Desktop-Virtualisierung aufzuräumen gilt, beispielsweise die leichtere Verwaltung virtueller Desktops oder die Kosteneinsparungen (zumindest wenn man das gleiche Nutzererlebnis wie mit physischen Desktops bieten will). Ein weiteres Missverständnis besteht im Glauben, VDI sei von Haus aus sicherer als klassische Desktops.

Der Grundgedanke hierbei lautet, dass man sich durch den Übergang zu VDI – oder Remote Desktop Session Host (RDSH) – und den Austausch der Desktop-Computer gegen Thin Clients keine Sorgen mehr um mögliche Daten auf den Client-Geräten machen muss.

Auf Endgeräten gespeicherte Daten müssen aber natürlich auch weiterhin geschützt werden. In VDI-Umgebungen wird der Desktop in das Rechenzentrum verlegt, wodurch er nicht mehr auf dem Endgerät selbst gespeichert wird. Das ist aber nicht die einzige Möglichkeit, den Missbrauch auf Desktops abgespeicherter Daten zu verhindern.

Wenn es tatsächlich der einzige Grund für den Wechsel zu VDI ist, die Sicherheit der Endgeräte zu erhöhen, dann könnte man auch einfach ein Tool zur Laufwerksverschlüsselung wie BitLocker in Erwägung ziehen. So liegen die Daten zwar immer noch auf dem Endgerät, sie sind aber für jeden nutzlos, der sie nicht entschlüsseln kann. Natürlich sind auch mit der Implementierung einer Laufwerksverschlüsselung Kosten verbunden, diese sind aber nicht annähernd so hoch wie bei einem VDI-Rollout.

Malware unterscheidet nicht zwischen physischen und virtuellen Desktops

Ein weiteres großes Problem mit der als höher eingeschätzten Sicherheit von VDI-Desktops liegt in der Annahme, dass VDI-Umgebungen irgendwie von Haus aus stärker gegen Malware, Viren oder Exploits geschützt seien. In manchen Implementierungen werden die VDI-Desktops aus diesem Missverständnis heraus auf derselben Netzwerkebene angeschlossen wie das übrige Rechenzentrum. Oft kommt dabei nicht einmal eine Firewall zwischen beiden Umgebungen zum Einsatz. Würden Sie es aber gutheißen, wenn Anwender ihre herkömmlichen PCs an dasselbe physische Netzwerk wie ihre Server anschließen würden? Wahrscheinlich nicht, und das sollte auch für VDI gelten.

In Wirklichkeit unterliegen VDI-Desktops den gleichen Bedrohungen wie physische Desktop-Computer auch. Um auf angemessene Weise mit diesen Bedrohungen umzugehen, müssen Sie also auch die gleiche Technologie bei virtuellen Desktops einsetzen, die auch bei einem PC oder Laptop zum Einsatz kommt. Sie benötigen Virenschutzsoftware. Sie benötigen Antimalware-Software. Und Sie benötigen regelmäßige Patches.

Ein übliches Argument lautet auch oft, nicht-persistente Desktops bräuchten nicht so viel Aufmerksamkeit wie persistente Desktops, weil man nicht-persistente Systeme durch einen einfachen Neustart wieder in den Ausgangszustand zurückversetzen kann. Das ist zwar richtig, berücksichtigt aber nicht, dass sich Malware und Viren ausbreiten und ihrem Handwerk nachgehen können, solange sie nicht entdeckt werden. Und wenn nach ihrer Entdeckung nicht alle Desktops gleichzeitig neu gestartet werden, dann könnte ein Virus immer noch da sein und sich nach dem Neustart wieder zum gleichen Nutzer zurück ausbreiten.

Man sollte dabei auch Zero-Day-Exploits nicht vergessen. Gerade in der Windows-Welt kann einem nichts einen guten Morgen schneller vermiesen als die Ankündigung eines Exploits, von dem niemand etwas wusste und für den jeder anfällig ist. Stellen Sie sich vor, dies geschieht auf einer der Websites, die Ihre Endanwender regelmäßig besuchen – sei es aus geschäftlichen oder anderen Gründen. Ein Neustart hilft in dieser Situation nicht weiter, da die Anwender sofort wieder zu der Website gehen werden und sich damit sofort wieder dem Sicherheitsrisiko aussetzen.

In einer nicht-persistenten VDI-Umgebung ließe sich ein vorhandener Patch aber immerhin leichter verteilen, weil hier nur mit einem einzigen Image gearbeitet wird. Insgesamt gibt es bei der täglichen Arbeit mit VDI-Desktops aber nicht viel, was die Unternehmenssicherheit grundlegend verbessern würde.

Und das ist der eigentlich wichtige Punkt: Um VDI-Umgebungen abzusichern sind die gleichen zusätzlichen Schritte nötig, die auch jeden physischen Desktop absichern. Kann man VDI-Desktops genauso sicher machen wie physische? Ohne Zweifel. Ist der Einsatz von Desktop-Virtualisierung automatisch sicherer als die Nutzung physischer Desktops? Ganz klar: Nein.

Für die Sicherheit der Desktops kann es sich allerdings positiv auswirken, wenn diese im eigenen Rechenzentrum liegen und ein Unternehmen so mehr Einblick in das erhält, was tatsächlich im Netzwerk oder auf den VDI-Hosts vor sich geht. Umfassende Monitoring-Tools für VDI, die einen erhöhten Ressourcenverbrauch oder sonstiges ungewöhnliches Verhalten im Netzwerk erkennen, können ein klarer Sicherheitsvorteil sein. Aber auch in diesem Fall ist es natürlich möglich, entsprechende Tools in Nicht-VDI-Szenarien einzusetzen.

Es gibt viele Gründe, VDI zu verwenden, und es werden jeden Tag mehr. Aber die vermeintlich höhere Sicherheit gehört nicht dazu.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Oktober 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Desktop-Virtualisierung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close