Virtuelle Umgebungen absichern

Zutrittskontrolle

Virtualisierung bietet viele Vorteile für die Unternehmens-IT. Doch lauern auch Fallstricke, wenn bislang etablierte Security-Konzepte dadurch aufgeweicht werden und digitale Grenzen verschwimmen. Dieser Security-Tipp zeigt, wie Sie Risiken, die im Rahmen von Virtualisierung auftreten können, am besten vermeiden.
Die IT-Infrastruktur bildet das technische Fundament jedes modernen Unternehmens. In der Dezember-Ausgabe widmet sich IT-Administrator deshalb der physischen ... (mehr)

Für die grundsätzliche Funktion der Virtualisierung ist die Frage, ob eine Hosted- oder eine Baremetal-Architektur verwendet werden sollte, weniger entscheidend. Betrachten wir aber die Sicherheit der Architekturen bietet die Baremetal-Variante leichte Vorteile. Insbesondere im Bereich der Guest-Escapes stehen Baremetal-Umsetzungen in der Regel besser dar. Das liegt vor allem daran, dass dort neben dem Netzwerk keine zusätzlichen Kommunikationskanäle zwischen virtuellen Maschinen existieren und lediglich die Einweg-Kommunikation vom Hostsystem zu einer VM möglich ist. Zusätzliche Wege wie Copy & Paste oder die Shared-Folder bieten immer wieder Angriffsvektoren zum Ausbruch aus der Virtualisierung und dem Zugriff auf andere VMs.

Egal, für welche Architektur Sie sich entscheiden, gibt es bei der Konzeption Ihrer Virtualisierungsumgebung einige sicherheitsrelevante Entscheidungen, die Sie treffen müssen. Insbesondere bei Unterscheidung der Vertrauenslevel von VMs werden unterschiedliche Umsetzungen benötigt. In jedem Fall sollten Sie für das gesamte Management der VMs eine dedizierte Netzwerkkarte am Host verwenden und diese auch ausschließlich in Ihrem Management-LAN betreiben.

Angenommen, Sie betreiben drei demilitarisierte Zonen in Ihrem über das Internet erreichbaren Teil des Unternehmensnetzes. Die erste Zone stellt die Webanwendungen nach außen zur Verfügung. Über eine Firewall davon getrennt befinden sich im zweiten Bereich die für die Webanwendungen nötigen Datenbanken, die auch aus dem Unternehmensnetz und für die In-tranet-Dienste erreichbar sind. Im dritten Bereich landen die Mitarbeiter bei ihrem Zugang über ein VPN-System, von dort können die Mitarbeiter die Intranet-Dienste verwenden. Alle drei DMZ-Bereiche liegen hinter der Perimeter-Firewall und einem Intrusion-Detection-System (IDS). Zwischen den einzelnen Bereichen gibt es jeweils eine Firewall, die den Verkehr in beide Richtungen reglementiert.

In einem

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019