Hypervisor

Praktisch jedes Rechenzentrum und jede Cloud basiert heute auf Virtualisierung. Die Schicht, die das möglich macht, bleibt im Alltag unsichtbar: der Hypervisor. Er verteilt physische Ressourcen auf viele virtuelle Maschinen und hält diese zugleich strikt voneinander getrennt. Wer über Architektur und Sicherheit von IT-Infrastruktur entscheidet, sollte diese Schicht verstehen, denn unterhalb der virtuellen Maschinen existiert keine weitere Verteidigungslinie. Zugleich entstehen auf dieser Ebene Sicherheitsfragen, die in rein physischen Umgebungen kein Gegenstück haben.

Was ist ein Hypervisor?

Ein Hypervisor, auch Virtual Machine Monitor genannt, ist eine Software, die physische Hardware abstrahiert und mehrere Betriebssysteme parallel auf derselben Maschine ausführt. Jede virtuelle Maschine erhält virtuelle CPU-Kerne, Arbeitsspeicher, Datenträger und Netzwerkkarten und verhält sich wie ein eigenständiger Server. Unterschieden werden zwei Bauformen. Typ-1-Hypervisoren laufen direkt auf der Hardware und sind der Standard in Rechenzentren und Clouds, weil sie hohe Leistung mit einer kleinen Angriffsfläche verbinden. Typ-2-Hypervisoren laufen als Anwendung auf einem vorhandenen Betriebssystem und eignen sich für Entwicklung und Tests am Arbeitsplatz. Moderne Prozessoren unterstützen die Trennung der Gäste mit eigenen Virtualisierungsfunktionen, sodass der Hypervisor Zugriffe effizient vermitteln kann, ohne dass Gäste direkten Zugriff auf die Hardware erhalten.

So funktioniert es

  • Ressourcenzuteilung: Der Hypervisor plant, welche virtuelle Maschine wann Rechenzeit und Arbeitsspeicher erhält, und ermöglicht so eine deutlich höhere Auslastung der physischen Server.
  • Isolation: Jede VM läuft in einem eigenen, abgeschotteten Kontext. Speicherbereiche sind strikt getrennt, Zugriffe auf Hardware werden vermittelt statt direkt gewährt.
  • Virtuelle Netzwerke: Virtuelle Switches verbinden die VMs eines Hosts untereinander und mit dem physischen Netz. Ein erheblicher Teil des Datenverkehrs verlässt den Host dabei nie.
  • Zentrale Verwaltung: Eine Managementebene steuert die Bereitstellung neuer Maschinen und verschiebt laufende VMs zwischen Hosts, etwa für geplante Wartungen.
  • Hochverfügbarkeit: Fällt ein Host aus, starten seine VMs auf anderen Hosts neu. Wartungen laufen durch das Verschieben der Gäste meist ohne Unterbrechung der Dienste.

Warum es wichtig ist

  • Fundament der Infrastruktur: Alles, was auf dem Hypervisor läuft, erbt dessen Stabilität. Eine Schwachstelle in dieser Schicht betrifft potenziell sämtliche Gäste.
  • Hochwertiges Angriffsziel: Wer die Virtualisierungsebene oder ihre Verwaltung kontrolliert, kontrolliert alle darauf laufenden Systeme samt ihrer Daten.
  • Unsichtbarer Ost-West-Verkehr: Kommunikation zwischen VMs auf demselben Host passiert keine physische Firewall. Ohne zusätzliche Kontrollen entsteht ein blinder Fleck im Netz.
  • Hebel für Segmentierung: An der virtuellen Netzwerkkarte lassen sich Regeln durchsetzen, die der Gast selbst nicht abschalten kann. Das macht diese Ebene zu einem wirksamen Ansatzpunkt für Mikrosegmentierung.
  • Patch-Disziplin: Updates für Hypervisor und Verwaltung brauchen geplante Zeitfenster, sind aber sicherheitskritisch. Ausbrüche aus einer VM sind selten, ihre Wirkung wäre jedoch umfassend.
  • Schutz der Verwaltung: Konsolen und Schnittstellen der Virtualisierung gehören in ein eigenes, streng beschränktes Verwaltungsnetz mit starker Authentifizierung.

Typische Einsatzszenarien

Virtualisierung ist heute in nahezu allen Infrastrukturbereichen anzutreffen:

  • Serverkonsolidierung: Viele Anwendungen teilen sich wenige physische Hosts, mit spürbaren Gewinnen bei Auslastung und Energiebedarf.
  • Private Cloud: Virtuelle Maschinen entstehen automatisiert im eigenen Rechenzentrum, auf Wunsch mit Selbstbedienung für die Fachbereiche.
  • VDI-Plattformen: Desktop-VMs laufen dicht gepackt auf zentralen Hosts, der Hypervisor sorgt für die Trennung zwischen den Sitzungen.
  • Test und Entwicklung: Typ-2-Hypervisoren stellen isolierte Testumgebungen direkt auf dem Arbeitsrechner bereit.
  • Netzfunktionen am Standort: Firewalls und weitere Netzdienste laufen als virtuelle Maschinen auf kompakter Hardware in Zweigstellen.

Hypervisor vs. Container-Runtime

Beide Technologien teilen Hardware zwischen Arbeitslasten auf, ziehen die Trennlinie aber an unterschiedlicher Stelle. Ein Hypervisor gibt jeder virtuellen Maschine ein vollständiges Betriebssystem mit eigenem Kernel, die Isolation ist entsprechend stark. Eine Container-Runtime startet dagegen Prozesse, die sich den Kernel des Hosts teilen und über Namespaces und Ressourcenlimits voneinander getrennt werden. Container starten schneller und benötigen weniger Ressourcen, bieten aber eine dünnere Isolationsschicht: Eine Kernel-Schwachstelle kann alle Container eines Hosts gleichzeitig betreffen. In der Praxis schließen sich beide Ansätze selten aus. Container-Plattformen laufen überwiegend in virtuellen Maschinen. Der Hypervisor liefert dann die harte Trennung zwischen Mandanten oder Sicherheitszonen, Container sorgen für Beweglichkeit innerhalb dieser Grenzen. Für Entscheider zählt deshalb weniger das Entweder-oder als die Frage, welche Isolationsstufe eine Arbeitslast tatsächlich benötigt.

Umsetzung mit KAEMI

Aus Netzwerksicht ist die kritischste Frage virtualisierter Umgebungen der Verkehr zwischen den Arbeitslasten, denn genau dieser Verkehr bleibt physischen Kontrollpunkten verborgen. KAEMI macht ihn sichtbar und steuerbar: Mit Mikrosegmentierung erhalten virtuelle Maschinen und Workloads präzise Kommunikationsregeln, sodass sich ein kompromittiertes System nicht frei durch das virtuelle Netz bewegen kann. Ergänzend unterstützen unsere Professional Services bei Architekturfragen rund um Zonenmodelle und die Absicherung der Verwaltungsnetze virtualisierter Plattformen. Wenn Sie die Netzwerkseite Ihrer Virtualisierung härten möchten, erreichen Sie uns über die Kontaktseite .

Häufige Fragen zu Hypervisor

Was unterscheidet Typ-1- und Typ-2-Hypervisoren?

Typ-1-Hypervisoren laufen direkt auf der Server-Hardware, ohne darunterliegendes Betriebssystem. Sie bieten hohe Leistung bei kleiner Angriffsfläche und dominieren deshalb in Rechenzentren und Clouds. Typ-2-Hypervisoren laufen als Programm innerhalb eines normalen Betriebssystems und eignen sich für Tests und Entwicklung am Arbeitsplatz. Für produktive Unternehmensinfrastruktur ist Typ 1 die übliche Wahl.

Wie stark ist die Isolation zwischen virtuellen Maschinen?

Sehr stark, denn jede VM besitzt einen eigenen Kernel, und moderne Prozessoren erzwingen die Trennung von Speicher und Rechenzeit in Hardware. Ausbrüche aus einer VM sind dokumentiert, in der Praxis aber selten und aufwendig. Das größere Alltagsrisiko sind offene Netzpfade zwischen den Gästen und schwach gesicherte Verwaltungszugänge, beides lässt sich architektonisch beheben.

Was ist hypervisorbasierte Segmentierung?

Dabei werden Kommunikationsregeln an der virtuellen Netzwerkkarte oder am virtuellen Switch durchgesetzt, also unterhalb des Gastbetriebssystems. Ein kompromittierter Gast kann diese Regeln weder sehen noch abschalten. So lässt sich Ost-West-Verkehr zwischen virtuellen Maschinen kontrollieren, ohne den Datenverkehr über zentrale Firewalls umzuleiten. Das Prinzip ist eine verbreitete Grundlage für Mikrosegmentierung in Rechenzentren.

Sind Container sicherer als virtuelle Maschinen?

Bezogen auf die reine Isolation gilt das Gegenteil: Virtuelle Maschinen trennen Arbeitslasten mit eigenem Kernel und Hardware-Unterstützung, Container teilen sich den Kernel des Hosts. Container punkten dafür bei Geschwindigkeit und Packungsdichte. Deshalb werden beide häufig kombiniert, mit Containern für die Anwendungen und virtuellen Maschinen als harte Grenze zwischen Sicherheitszonen oder Mandanten.

Warum sind die Verwaltungszugänge der Virtualisierung so kritisch?

Die Managementebene kann virtuelle Maschinen starten, kopieren, verschieben und löschen, inklusive Zugriff auf deren Datenträger. Wer sie übernimmt, kontrolliert damit die gesamte virtualisierte Infrastruktur. Verwaltungszugänge gehören deshalb in ein eigenes Netzsegment, abgesichert mit starker Authentifizierung und lückenloser Protokollierung. Ein Zugriff aus dem allgemeinen Büronetz sollte ausgeschlossen sein.

Wie sieht das im eigenen Netzwerk aus? Sprechen Sie mit KAEMI: Wir planen, bauen und betreiben die passende Lösung mit Ihnen.