Herausforderungen und Limitierungen an Cybersecurity Testumgebungen

Bachelor Studiengang IT Security

David Straßegger, BSc

Betreuer: Dipl.-Ing. Daniel Haslinger, BSc

Ausgangslage

Dropbox, Facebook, Google Drive und Microsoft Office 365 stehen vor der Herausforderung, Tag für Tag Millionen von Menschen mit ihren Dienstleistungen versorgen zu müssen. Die KundInnen stellen hohe Anforderungen und erwarten ständige, weltweite Verfügbarkeit. Die Prüfung der Dienste auf Sicherheitsschwachstellen gestaltet sich in einem derart dynamischen und stets produktiven Umfeld besonders schwierig, denn jeder Ausfall kostet Geld, schwächt das Vertrauen der KundInnen in den Service und gefährdet nicht zuletzt die Marktposition.

Aus diesem Grund spielen speziell isolierte Testumgebungen eine große Rolle im Bereich Cybersecurity. Sie ermöglichen das Untersuchen der Dienste auf Schwachstellen, ohne negative Auswirkungen auf die Produktivumgebung zu riskieren.

Doch der Nachbau von Produktivumgebungen ist keinesfalls trivial. Die Art der Testumgebung, die eingesetzte Software, sowie das zu untersuchende Produkt oder Phänomen beeinflussen den Erfolg der Prüfung und das Design der Testumgebung selbst.

Diese Arbeit beschäftigt sich mit den Herausforderungen an virtualisierte Testumgebungen und deren Limits im Bereich der Sicherheitsforschung.

Ziel

Die Arbeit behandelt die aktuellen Probleme virtueller Testumgebungen im akademischen und industriellen Bereich. Dazu werden drei verschiedene Virtualisierungsprodukte einem Eignungstest zur Sicherheitsforschung unterzogen, um deren Einschränkungen zu ermitteln. Die Tests befassen sich unter anderem mit der Isolierung der virtuellen Infrastruktur und bewerten die Genauigkeit und Realitätstreue einer virtuellen Testumgebung.

Ergebnis

Das Resultat der Arbeit zeigt, dass zur Zeit keines der getesteten Virtualisierungsprodukte eine vollkommen ideale, virtuelle Testumgebung für den Bereich Sicherheitsforschung bietet. Die Literaturrecherche hat zudem ergeben, dass es (zur Zeit der Entstehung dieser Arbeit) keine einheitlichen Leitfäden oder Standards für das Design und die Implementierung von virtuellen Testumgebungen gibt.

Ein großer Kritikpunkt sind die mangelnden Konfigurationsmöglichkeiten bei Virtualisierungsprodukten, um die Rahmenbedingungen und das Verhalten von virtuellen Maschinen zu steuern. Dies führt zu Ungenauigkeiten in Experimenten und zum Verlust von Realitätstreue.

Schlussendlich konnten aus den Erkenntnissen zahlreiche Probleme virtueller Umgebungen für das beschriebene Einsatzszenario identifiziert werden. Diese stehen als Basis für weitere Forschung zur Verfügung.