Virtuelle Umgebungen absichern

Zutrittskontrolle

Virtualisierung bietet viele Vorteile für die Unternehmens-IT. Doch lauern auch Fallstricke, wenn bislang etablierte Security-Konzepte dadurch aufgeweicht werden und digitale Grenzen verschwimmen. Dieser Security-Tipp zeigt, wie Sie Risiken, die im Rahmen von Virtualisierung auftreten können, am besten vermeiden.
Die IT-Infrastruktur bildet das technische Fundament jedes modernen Unternehmens. In der Dezember-Ausgabe widmet sich IT-Administrator deshalb der physischen ... (mehr)

Für die grundsätzliche Funktion der Virtualisierung ist die Frage, ob eine Hosted- oder eine Baremetal-Architektur verwendet werden sollte, weniger entscheidend. Betrachten wir aber die Sicherheit der Architekturen bietet die Baremetal-Variante leichte Vorteile. Insbesondere im Bereich der Guest-Escapes stehen Baremetal-Umsetzungen in der Regel besser dar. Das liegt vor allem daran, dass dort neben dem Netzwerk keine zusätzlichen Kommunikationskanäle zwischen virtuellen Maschinen existieren und lediglich die Einweg-Kommunikation vom Hostsystem zu einer VM möglich ist. Zusätzliche Wege wie Copy & Paste oder die Shared-Folder bieten immer wieder Angriffsvektoren zum Ausbruch aus der Virtualisierung und dem Zugriff auf andere VMs.

Egal, für welche Architektur Sie sich entscheiden, gibt es bei der Konzeption Ihrer Virtualisierungsumgebung einige sicherheitsrelevante Entscheidungen, die Sie treffen müssen. Insbesondere bei Unterscheidung der Vertrauenslevel von VMs werden unterschiedliche Umsetzungen benötigt. In jedem Fall sollten Sie für das gesamte Management der VMs eine dedizierte Netzwerkkarte am Host verwenden und diese auch ausschließlich in Ihrem Management-LAN betreiben.

Angenommen, Sie betreiben drei demilitarisierte Zonen in Ihrem über das Internet erreichbaren Teil des Unternehmensnetzes. Die erste Zone stellt die Webanwendungen nach außen zur Verfügung. Über eine Firewall davon getrennt befinden sich im zweiten Bereich die für die Webanwendungen nötigen Datenbanken, die auch aus dem Unternehmensnetz und für die In-tranet-Dienste erreichbar sind. Im dritten Bereich landen die Mitarbeiter bei ihrem Zugang über ein VPN-System, von dort können die Mitarbeiter die Intranet-Dienste verwenden. Alle drei DMZ-Bereiche liegen hinter der Perimeter-Firewall und einem Intrusion-Detection-System (IDS). Zwischen den einzelnen Bereichen gibt es jeweils eine Firewall, die den Verkehr in beide Richtungen reglementiert.

In einem

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite