Virtuelle Umgebungen absichern

Zutrittskontrolle

Virtualisierung bietet viele Vorteile für die Unternehmens-IT. Doch lauern auch Fallstricke, wenn bislang etablierte Security-Konzepte dadurch aufgeweicht werden und digitale Grenzen verschwimmen. Dieser Security-Tipp zeigt, wie Sie Risiken, die im Rahmen von Virtualisierung auftreten können, am besten vermeiden.
Die IT-Infrastruktur bildet das technische Fundament jedes modernen Unternehmens. In der Dezember-Ausgabe widmet sich IT-Administrator deshalb der physischen ... (mehr)

Für die grundsätzliche Funktion der Virtualisierung ist die Frage, ob eine Hosted- oder eine Baremetal-Architektur verwendet werden sollte, weniger entscheidend. Betrachten wir aber die Sicherheit der Architekturen bietet die Baremetal-Variante leichte Vorteile. Insbesondere im Bereich der Guest-Escapes stehen Baremetal-Umsetzungen in der Regel besser dar. Das liegt vor allem daran, dass dort neben dem Netzwerk keine zusätzlichen Kommunikationskanäle zwischen virtuellen Maschinen existieren und lediglich die Einweg-Kommunikation vom Hostsystem zu einer VM möglich ist. Zusätzliche Wege wie Copy & Paste oder die Shared-Folder bieten immer wieder Angriffsvektoren zum Ausbruch aus der Virtualisierung und dem Zugriff auf andere VMs.

Egal, für welche Architektur Sie sich entscheiden, gibt es bei der Konzeption Ihrer Virtualisierungsumgebung einige sicherheitsrelevante Entscheidungen, die Sie treffen müssen. Insbesondere bei Unterscheidung der Vertrauenslevel von VMs werden unterschiedliche Umsetzungen benötigt. In jedem Fall sollten Sie für das gesamte Management der VMs eine dedizierte Netzwerkkarte am Host verwenden und diese auch ausschließlich in Ihrem Management-LAN betreiben.

Angenommen, Sie betreiben drei demilitarisierte Zonen in Ihrem über das Internet erreichbaren Teil des Unternehmensnetzes. Die erste Zone stellt die Webanwendungen nach außen zur Verfügung. Über eine Firewall davon getrennt befinden sich im zweiten Bereich die für die Webanwendungen nötigen Datenbanken, die auch aus dem Unternehmensnetz und für die In-tranet-Dienste erreichbar sind. Im dritten Bereich landen die Mitarbeiter bei ihrem Zugang über ein VPN-System, von dort können die Mitarbeiter die Intranet-Dienste verwenden. Alle drei DMZ-Bereiche liegen hinter der Perimeter-Firewall und einem Intrusion-Detection-System (IDS). Zwischen den einzelnen Bereichen gibt es jeweils eine Firewall, die den Verkehr in beide Richtungen reglementiert.

In einem

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite