Praktisch jedes Rechenzentrum und jede Cloud basiert heute auf Virtualisierung. Die Schicht, die das möglich macht, bleibt im Alltag unsichtbar: der Hypervisor. Er verteilt physische Ressourcen auf viele virtuelle Maschinen und hält diese zugleich strikt voneinander getrennt. Wer über Architektur und Sicherheit von IT-Infrastruktur entscheidet, sollte diese Schicht verstehen, denn unterhalb der virtuellen Maschinen existiert keine weitere Verteidigungslinie. Zugleich entstehen auf dieser Ebene Sicherheitsfragen, die in rein physischen Umgebungen kein Gegenstück haben.
Was ist ein Hypervisor?
Ein Hypervisor, auch Virtual Machine Monitor genannt, ist eine Software, die physische Hardware abstrahiert und mehrere Betriebssysteme parallel auf derselben Maschine ausführt. Jede virtuelle Maschine erhält virtuelle CPU-Kerne, Arbeitsspeicher, Datenträger und Netzwerkkarten und verhält sich wie ein eigenständiger Server. Unterschieden werden zwei Bauformen. Typ-1-Hypervisoren laufen direkt auf der Hardware und sind der Standard in Rechenzentren und Clouds, weil sie hohe Leistung mit einer kleinen Angriffsfläche verbinden. Typ-2-Hypervisoren laufen als Anwendung auf einem vorhandenen Betriebssystem und eignen sich für Entwicklung und Tests am Arbeitsplatz. Moderne Prozessoren unterstützen die Trennung der Gäste mit eigenen Virtualisierungsfunktionen, sodass der Hypervisor Zugriffe effizient vermitteln kann, ohne dass Gäste direkten Zugriff auf die Hardware erhalten.
So funktioniert es
- Ressourcenzuteilung: Der Hypervisor plant, welche virtuelle Maschine wann Rechenzeit und Arbeitsspeicher erhält, und ermöglicht so eine deutlich höhere Auslastung der physischen Server.
- Isolation: Jede VM läuft in einem eigenen, abgeschotteten Kontext. Speicherbereiche sind strikt getrennt, Zugriffe auf Hardware werden vermittelt statt direkt gewährt.
- Virtuelle Netzwerke: Virtuelle Switches verbinden die VMs eines Hosts untereinander und mit dem physischen Netz. Ein erheblicher Teil des Datenverkehrs verlässt den Host dabei nie.
- Zentrale Verwaltung: Eine Managementebene steuert die Bereitstellung neuer Maschinen und verschiebt laufende VMs zwischen Hosts, etwa für geplante Wartungen.
- Hochverfügbarkeit: Fällt ein Host aus, starten seine VMs auf anderen Hosts neu. Wartungen laufen durch das Verschieben der Gäste meist ohne Unterbrechung der Dienste.
Warum es wichtig ist
- Fundament der Infrastruktur: Alles, was auf dem Hypervisor läuft, erbt dessen Stabilität. Eine Schwachstelle in dieser Schicht betrifft potenziell sämtliche Gäste.
- Hochwertiges Angriffsziel: Wer die Virtualisierungsebene oder ihre Verwaltung kontrolliert, kontrolliert alle darauf laufenden Systeme samt ihrer Daten.
- Unsichtbarer Ost-West-Verkehr: Kommunikation zwischen VMs auf demselben Host passiert keine physische Firewall. Ohne zusätzliche Kontrollen entsteht ein blinder Fleck im Netz.
- Hebel für Segmentierung: An der virtuellen Netzwerkkarte lassen sich Regeln durchsetzen, die der Gast selbst nicht abschalten kann. Das macht diese Ebene zu einem wirksamen Ansatzpunkt für Mikrosegmentierung.
- Patch-Disziplin: Updates für Hypervisor und Verwaltung brauchen geplante Zeitfenster, sind aber sicherheitskritisch. Ausbrüche aus einer VM sind selten, ihre Wirkung wäre jedoch umfassend.
- Schutz der Verwaltung: Konsolen und Schnittstellen der Virtualisierung gehören in ein eigenes, streng beschränktes Verwaltungsnetz mit starker Authentifizierung.
Typische Einsatzszenarien
Virtualisierung ist heute in nahezu allen Infrastrukturbereichen anzutreffen:
- Serverkonsolidierung: Viele Anwendungen teilen sich wenige physische Hosts, mit spürbaren Gewinnen bei Auslastung und Energiebedarf.
- Private Cloud: Virtuelle Maschinen entstehen automatisiert im eigenen Rechenzentrum, auf Wunsch mit Selbstbedienung für die Fachbereiche.
- VDI-Plattformen: Desktop-VMs laufen dicht gepackt auf zentralen Hosts, der Hypervisor sorgt für die Trennung zwischen den Sitzungen.
- Test und Entwicklung: Typ-2-Hypervisoren stellen isolierte Testumgebungen direkt auf dem Arbeitsrechner bereit.
- Netzfunktionen am Standort: Firewalls und weitere Netzdienste laufen als virtuelle Maschinen auf kompakter Hardware in Zweigstellen.
Hypervisor vs. Container-Runtime
Beide Technologien teilen Hardware zwischen Arbeitslasten auf, ziehen die Trennlinie aber an unterschiedlicher Stelle. Ein Hypervisor gibt jeder virtuellen Maschine ein vollständiges Betriebssystem mit eigenem Kernel, die Isolation ist entsprechend stark. Eine Container-Runtime startet dagegen Prozesse, die sich den Kernel des Hosts teilen und über Namespaces und Ressourcenlimits voneinander getrennt werden. Container starten schneller und benötigen weniger Ressourcen, bieten aber eine dünnere Isolationsschicht: Eine Kernel-Schwachstelle kann alle Container eines Hosts gleichzeitig betreffen. In der Praxis schließen sich beide Ansätze selten aus. Container-Plattformen laufen überwiegend in virtuellen Maschinen. Der Hypervisor liefert dann die harte Trennung zwischen Mandanten oder Sicherheitszonen, Container sorgen für Beweglichkeit innerhalb dieser Grenzen. Für Entscheider zählt deshalb weniger das Entweder-oder als die Frage, welche Isolationsstufe eine Arbeitslast tatsächlich benötigt.
Umsetzung mit KAEMI
Aus Netzwerksicht ist die kritischste Frage virtualisierter Umgebungen der Verkehr zwischen den Arbeitslasten, denn genau dieser Verkehr bleibt physischen Kontrollpunkten verborgen. KAEMI macht ihn sichtbar und steuerbar: Mit Mikrosegmentierung erhalten virtuelle Maschinen und Workloads präzise Kommunikationsregeln, sodass sich ein kompromittiertes System nicht frei durch das virtuelle Netz bewegen kann. Ergänzend unterstützen unsere Professional Services bei Architekturfragen rund um Zonenmodelle und die Absicherung der Verwaltungsnetze virtualisierter Plattformen. Wenn Sie die Netzwerkseite Ihrer Virtualisierung härten möchten, erreichen Sie uns über die Kontaktseite .