Bundesamt für Sicherheit in der Informationstechnik

M 4.347 Deaktivierung von Snapshots virtueller IT-Systeme

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Die Möglichkeit, den Zustand virtueller IT-Systeme zu einem bestimmten Zeitpunkt im laufenden Betrieb einzufrieren und diesen Zustand beliebig lang zu konservieren, in dem er beispielsweise auf auf eine Festplatte abgespeichert wird, ist eine technische Besonderheit virtueller IT-Systeme. Kann ein solcher Zustand abgespeichert und das System danach weiter fortgesetzt werden, besteht auch die Möglichkeit, das System wieder auf den abgespeicherten Zustand zurückzusetzen. Ein solcher Zustand wird bei den meisten Virtualisierungsprodukten "Snapshot" genannt. Dieses Verfahren kann für vielfältige Administrationstätigkeiten eingesetzt werden. So kann zum Beispiel nach einem fehlgeschlagenen Update auf einfache Weise ein Downgrade auf die vorherige Version durchgeführt werden. Auch elementare Funktionen einer virtuellen Infrastruktur, wie die Migration von Gastsystemen zwischen Virtualisierungsservern über LiveMigration, vMotion oder XenMotion, basieren auf der Fähigkeit, Snapshots zu erzeugen. Dies betrifft in der Folge auch die daran gekoppelten Hochverfügbarkeitsmechanismen.

Daher sind beim Einsatz solcher Snapshots die folgenden Aspekte zu beachten:

Schutz der Vertraulichkeit und Integrität bei gefährdeten Gästen

In einer virtuellen Infrastruktur können bestimmte IT-Systeme einem hohen oder sehr hohen Schutzbedarf in Bezug auf die Vertraulichkeit oder Datenintegrität unterliegen. Daten eines Prozesses werden häufig in voneinander abgeschotteten Hauptspeicherbereichen verarbeitet, so dass andere Prozesse auf einem IT-System nicht darauf zugreifen und die Daten lesen oder verändern können. Hierdurch bleibt die Vertraulichkeit und Integrität dieser Daten während der Verarbeitung im Hauptspeicher eines (virtuellen) IT-Systems gewahrt. Wird nun ein beliebiger Zustand des virtuellen IT-Systems eingefroren, um das System zu einem späteren Zeitpunkt wieder in diesen Zustand zu versetzen, werden die Arbeitsspeicherdaten auf einen Massenspeicher des Virtualisierungsservers geschrieben. Der Zugriffsschutz, den das Betriebssystem des virtuellen IT-Systems für die Daten der einzelnen Prozesse gewährt, kann nun durch einen Angreifer umgangen werden, indem er die Datei analysiert, in der die Arbeitsspeicherdaten enthalten sind.

Das folgende Beispiel soll dies verdeutlichen: Ein virtuelles IT-System ist mit einer Festplattenverschlüsselung ausgestattet, um die Vertraulichkeit und Integrität der gespeicherten Daten zu gewährleisten. Da der Hauptspeicherinhalt der virtuellen Maschine beim Erzeugen des Snapshots ausgelesen und auf einer Festplatte des Virtualisierungsservers gespeichert wird, können dabei die kryptographischen Schlüssel der Festplattenverschlüsselungssoftware in unverschlüsselter Form auf die Festplatte geschrieben werden. Das gleiche passiert im Übrigen, wenn das System über die Virtualisierungssoftware nur angehalten und der Zustand für eine spätere Fortsetzung des Betriebs auf die Festplatte geschrieben wird. Aus der Datei mit dem abgespeicherten Hauptspeicherinhalt lässt sich dann möglicherweise der Schlüssel zur Entschlüsselung des Festplatteninhaltes herauslesen.

Dies zeigt, dass Maßnahmen zur Sicherung der Vertraulichkeit und Integrität von physischen IT-Systemen bei virtuellen IT-Systemen häufig nur noch eine eingeschränkte Wirksamkeit haben. Sie können möglicherweise mit Mitteln der Virtualisierungsserver umgangen werden. Um die Offline-Analyse eines Snapshots eines virtuellen IT-Systems mit hohem Schutzbedarf zu erschweren, sollte daher überlegt werden, für solche Systeme die Möglichkeit, Snapshots zu erzeugen oder das System einzufrieren, zu deaktivieren. In diesem Fall ist zu prüfen, ob die eventuell eingesetzten Snapshot-basierten Datensicherungsverfahren weiterhin funktionieren.

Beständigkeit von Datenveränderungen

Snapshots eines virtuellen IT-Systems enthalten den kompletten Zustand des IT-Systems inklusive aller abgelegten Daten zum Zeitpunkt seiner Erzeugung. Wenn ein virtuelles IT-System mittels eines Snapshots auf einen früheren Stand zurückgesetzt wird, können hierdurch Veränderungen an Daten zurückgenommen werden. Beispiele hierfür sind der Datenbestand eines Dateiservers oder Struktur und Inhalt eines Verzeichnisdienstes wie Active Directory.

Für ein virtuelles IT-System, das auf keinen Fall auf einen früheren Stand zurückgesetzt werden darf, muss ebenfalls die Option, Snapshots zu erzeugen, deaktiviert werden.

Falls auf die Funktionalität von Snapshots nicht verzichtet werden kann, sollte der Umfang des Snapshots eingegrenzt werden, in dem beispielsweise nur bestimmte Laufwerke vom Snapshot erfasst werden, oder die Arbeitsschritte jeweils bevor und nachdem ein Snapshot erzeugt oder zurückgespielt wurde, spezifiziert werden. Wird beispielsweise ein Active Directory Domaincontroller auf einen Snapshot zurückgesetzt, sind Maßnahmen zur Wiederherstellung seiner Active Directory-Datenbank durchzuführen, da diese sonst inkonsistente Daten enthält.

Der Umfang der eingegrenzten Snapshots und die notwendigen Arbeitsschritte sind zu dokumentieren.

Prüffragen:

  • Ist gewährleistet, dass für alle virtuellen IT -Systeme mit nicht deaktivierter Snapshot-Funktionalität die Umfänge der Snapshots sowie die darüber hinaus für den Umgang mit Snapshots notwendigen Arbeitsschritte evaluiert und dokumentiert sind?

  • Ist die Möglichkeit, Snapshots zu erzeugen oder das System einzufrieren, für virtuelle IT -Systeme deaktiviert worden, bei denen Gefährdungen der Integrität oder Vertraulichkeit besonderes schwerwiegende Konsequenzen haben?

Stand: 12. EL Stand 2011