Bei einer Live-Migration sollten Sie nur den beteiligten Wirtssystemen den Zugriff auf ein gemeinsames Dateisystem beziehungsweise eine NFS-Freigabe gestatten und diesen dann anschließend wieder auf das migrierte System einschränken. Auch die Live-Migration sollte über verschlüsselte Verbindungen ablaufen, wie etwa SSH. Eine amoklaufende VM kann wie schon erwähnt Rechenzeit an sich ziehen, ein DoS-Angriff auf eine virtuelle Maschine verstopft die reale Netzwerkverbindung. Beide Fälle legen gleichzeitig auch alle anderen virtuellen Maschinen lahm. Es empfiehlt sich folglich, ein Überwachungssystem einzurichten und die virtuellen Maschinen mit den bereits erwähnten Cgroups zu maßregeln. Virtuelle Maschinen lassen sich ferner über die Startskripte beziehungsweise libvirtd schon beim Hochfahren des Wirtssystems automatisch starten. Das sollten Sie sich jedoch gut überlegen: Befindet sich ein Schadprogramm in der virtuellen Maschine und kann dies ausbrechen, erhält es schon zu seinem sehr frühen Zeitpunkt Zugriff auf das System.
Eine virtuelle Maschine ist kein wirkliches Gefängnis. Im Gegenteil erhöht sich sogar die Zahl der möglichen Angriffspunkte. Administratoren sollten sich virtuelle Maschinen wie echte, zusätzliche Rechner in einem Netzwerk vorstellen und folglich die gleichen Sicherheitsmaßnahmen einleiten beziehungsweise sie in das hoffentlich vorhandene Sicherheitskonzept mit einbinden. Die Gäste benötigen zudem regelmäßige Aktualisierungen und die gleiche Pflege wie das Wirtssystem. Abschließend sind die meisten Voreinstellungen von KVM, QEMU und libvirt bereits auf Sicherheit ausgelegt, Administratoren sollten sie folglich nur aus einem guten Grund ändern.
(dr)
Link-Codes
[1] BlackHat/DEFCON 2011 Talk: Breaking Out of KVM: https://blog.nelhage.com/2011/08/breaking-out-of-kvm/
[2] sVirt: http://selinuxproject.org/page/SVirt
[3] Cgroups und libvirt: http://libvirt.org/cgroups.html
[4] Umleiten der seriellen Schnittstelle: http://qemu.weilnetz.de/qemu-doc.html#index-g_t_002dserial-80
[5] SPICE: http://qemu-buch.de/de/index.php/QEMU-KVM-Buch/_Anhang/_Spice
[6] Firewall and network filtering in libvirt: http://libvirt.org/firewall.html
[7] Libvirt: Direct attachment to physical interface: http://www.libvirt.org/formatdomain.html#elementsNICSDirect