(auf Google+ gepostet 01/2018)
In dieser Woche ist das wohl größte Sicherheitsproblem des modernen IT-Zeitalters ans Licht gekommen. Aufgrund von Schwachstellen im CPU-Design von Intel und anderen CPU-Herstellern ist es möglich, den gesamten CPU-Speicher über spezielle gefälschte CPU-Anweisungen auszulesen. Dies ist ein großes Sicherheitsproblem, da die heutigen Betriebssysteme (einschließlich VMware) die Systeme nicht mehr absichern können. Jedes Programm, auch ohne Admin-Rechte, hat vollen Lesezugriff auf den gesamten Systemspeicher, ein Risiko, was sich meiner Meinung nach wie folgt darstellt:
Virtuelle Serverlösungen
Sehr häufig werden mehrere Server mit Hilfe eines Hypervisors wie VMware oder HyperV in einer virtuellen Maschine konsolidiert. Jetzt müssen Kunden davon ausgehen, dass eine einzelne Anwendung, die in einer VM läuft, den gesamten Speicher jeder isolierten VM, die auf demselben Server läuft, auslesen kann. Cloud-VM-Server-Angebote sind hiervon stark betroffen, da eine VM Daten von anderen VMs verschiedener Kunden lesen kann. Auch die kundeninterne Servervirtualisierung ist davon betroffen. Eine Lösung zur Begrenzung der Sicherheitslücke besteht darin, sicherzustellen, dass ein physischer Host nur die VMs eines einzelnen Kunden bedient. Sicherlich würde das Problem innerhalb der VMs des Kunden weiterhin bestehen, aber zumindest können die VMs anderer Kunden nicht auf Ihre Daten zugreifen.
Workstations (z. B. Windows, Mac usw.)
Solange eine physische Workstation einem einzelnen Benutzer gewidmet ist und der Benutzer alle Daten auf dieser Workstation einsehen darf, oder der Benutzer ohnehin administrativen Zugriff hat, gibt es kein direktes Problem. Wenn jedoch Software anderer Hersteller verwendet oder installiert wird, muss davon ausgegangen werden, dass diese zusätzlichen Tools/Anwendungen den gesamten Speicher auslesen können, auch wenn sie keine Administratorrechte besitzen, was zu schwerwiegenden Sicherheitsproblemen führt. Wenn eine solche Workstation mit dem Internet verbunden ist, kann verdächtige Software den kompletten Speicherinhalt an einen entfernten Standort weiterleiten, um ihn zu analysieren und Informationen wie Daten, Benutzernamen, Passwörter, Schlüssel, Zertifikate usw. daraus auszulesen.
Server
Hier gelten die gleichen Bedenken wie bei den Workstations. Wenn jedoch nur vertrauenswürdige Software auf einem Server läuft, dann gibt es kein Sicherheitsproblem bei der Bereitstellung dieses physischen Servers. Datenbank, Webserver, Dateiserver usw. können als sicher angesehen werden, da sie nur Daten bereitstellen.
Allerdings müssen Serverinstallationen, die es Kunden erlauben, native Software zu installieren oder einen Remote-Zugriff zu ermöglichen (z. B. über „ssh“), was die Übertragung und Ausführung von Software ermöglicht, davon ausgehen, dass diese Software auch ohne entsprechende Zugriffsrechte den gesamten physischen Speicher des Servers auslesen kann.
Fazit
Ich sehe keine Lösung für diese gravierende Sicherheitslücke bis neue Prozessorgenerationen dieses Designproblem beheben. Inzwischen gibt es nur noch die Möglichkeit, Server und Workstations je nach Sicherheitsanforderungen voneinander getrennt zu betreiben. Einige Hersteller kündigen Updates an, aber zum jetzigen Zeitpunkt ist noch nicht klar, ob dieses Hardware-Designproblem durch Software-Patches komplett gelöst werden kann.
- Home
- Produkte
Fileserver-Produkte
- Leistungsstark und ausfallsicher
- Ideal für gemischte Netzwerke (Mac-, Windows-, Web-Clients)
Cloud-Produkte- Immer und überall sicher auf alle Dateien zugreifen
- Keine „Cloud“-Nachteile
- für Unternehmen und IT-Dienstleister
- Für Mac, PC, iPad, iPhone, Web
Automatisierung- Serverbasierte Workflow-Automatisierung über „Hot Folder“
- Automatisierung auf entfernten Rechnern (z. B. Photoshop-Aktionen und Acrobat PDF-Erstellung)
- Skripte per Dateityp ansteuern
- Kein Polling
Marketing und Mediendienstleister- Serverbasierte Bildverarbeitung mit ICC-Farbmanagement
- Bildkonvertierungen für Internet und Druck
- Automatisierung über „Hot Folder“
- Zertifizierte Softproofs mit Anmerkungen
- Branchen
- Lösungen
- SupportSupport
Professioneller Support sowie erstklassige technische Informationen sind uns sehr wichtig. Dabei ist der HELIOS Fachhändler Ihr direkter Ansprechpartner. Unser Ziel ist es, alle Fragen zu beantworten und alle Probleme zu lösen.
Updates & Tech InfosHalten Sie Ihre HELIOS Installation immer auf einem aktuellen Stand – mit wichtigen Updates und Tech Infos zu verschiedenen Themen.
Spezifikationen für Entwicklung und mehrHELIOS Lösungen werden häufig in benutzdefinierte Prozesse integriert. Hier finden Sie weiterführende technische Informationen.
MedienDie gesamte HELIOS Produktdokumentation ist online verfügbar. Eine breite Übersicht sowie viele verschiedene Trainingsvideos machen Ihnen der Einstieg leicht.
- News
Im Bereich HELIOS News finden Sie …
Letzter Pressetext: > HELIOS Universal File Server G8 veröffentlicht … • Letzter Newsletter: > HELIOS Newsletter 02/2021 …
- Unternehmen
- Deutsch
Enterprise Fileserver
Entwickler / SDK
Handel / Industrie
Zeitungen / Verlage
Fotografen / Studios
Werbeagenturen / Mediendienst- leister / Druckereien
Video & Entertainment
Cloud-Zusammenarbeit
HD Color
Bildverarbeitung
Proofs
WebShare Portal
Automatisierung von Workflows
Fileserver
Pressetexte 
Videos 
Newsletter 
Veranstaltungen