Virtuelle Umgebungen absichern

Zutrittskontrolle

Virtualisierung bietet viele Vorteile für die Unternehmens-IT. Doch lauern auch Fallstricke, wenn bislang etablierte Security-Konzepte dadurch aufgeweicht werden und digitale Grenzen verschwimmen. Dieser Security-Tipp zeigt, wie Sie Risiken, die im Rahmen von Virtualisierung auftreten können, am besten vermeiden.
Die IT-Infrastruktur bildet das technische Fundament jedes modernen Unternehmens. In der Dezember-Ausgabe widmet sich IT-Administrator deshalb der physischen ... (mehr)

Für die grundsätzliche Funktion der Virtualisierung ist die Frage, ob eine Hosted- oder eine Baremetal-Architektur verwendet werden sollte, weniger entscheidend. Betrachten wir aber die Sicherheit der Architekturen bietet die Baremetal-Variante leichte Vorteile. Insbesondere im Bereich der Guest-Escapes stehen Baremetal-Umsetzungen in der Regel besser dar. Das liegt vor allem daran, dass dort neben dem Netzwerk keine zusätzlichen Kommunikationskanäle zwischen virtuellen Maschinen existieren und lediglich die Einweg-Kommunikation vom Hostsystem zu einer VM möglich ist. Zusätzliche Wege wie Copy & Paste oder die Shared-Folder bieten immer wieder Angriffsvektoren zum Ausbruch aus der Virtualisierung und dem Zugriff auf andere VMs.

Egal, für welche Architektur Sie sich entscheiden, gibt es bei der Konzeption Ihrer Virtualisierungsumgebung einige sicherheitsrelevante Entscheidungen, die Sie treffen müssen. Insbesondere bei Unterscheidung der Vertrauenslevel von VMs werden unterschiedliche Umsetzungen benötigt. In jedem Fall sollten Sie für das gesamte Management der VMs eine dedizierte Netzwerkkarte am Host verwenden und diese auch ausschließlich in Ihrem Management-LAN betreiben.

Angenommen, Sie betreiben drei demilitarisierte Zonen in Ihrem über das Internet erreichbaren Teil des Unternehmensnetzes. Die erste Zone stellt die Webanwendungen nach außen zur Verfügung. Über eine Firewall davon getrennt befinden sich im zweiten Bereich die für die Webanwendungen nötigen Datenbanken, die auch aus dem Unternehmensnetz und für die In-tranet-Dienste erreichbar sind. Im dritten Bereich landen die Mitarbeiter bei ihrem Zugang über ein VPN-System, von dort können die Mitarbeiter die Intranet-Dienste verwenden. Alle drei DMZ-Bereiche liegen hinter der Perimeter-Firewall und einem Intrusion-Detection-System (IDS). Zwischen den einzelnen Bereichen gibt es jeweils eine Firewall, die den Verkehr in beide Richtungen reglementiert.

In einem

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite