Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi Sicherheit und die Virtualisierungsebene Die Virtualisierungsebene (bzw. VMkernel) ist ein Kernel, der von VMware für die Ausführung virtueller Maschinen entworfen wurde. Diese Ebene steuert die Hardware, die von den ESX-Hosts verwendet wird, und plant die Zuweisung von Hardwareressourcen an die einzelnen virtuellen Maschinen. Da VMkernel ausschließlich zur Unterstützung virtueller Maschinen verwendet wird, beschränkt sich die Schnittstelle zu VMkernel auf die API, die zur Verwaltung der virtuellen Maschinen notwendig ist. ESXi bietet durch folgende Funktionen zusätzlichen Schutz für VMkernel: Memory Hardening Der ESXi-Kernel, Anwendungen im Benutzermodus und ausführbare Komponenten, z. B. Treiber und Bibliotheken, befinden sich an zufällig zugeteilten, nicht vorhersehbaren Speicheradressen. In Kombination mit dem von Mikroprozessoren bereitgestellten Schutz für nicht ausführbaren Arbeitsspeicher bietet dies Schutz gegen bösartigen Code, dem es dadurch erschwert wird, Arbeitsspeicherexploits zu verwenden, um Schwachstellen auszunutzen. Integrität des Kernelmoduls Trusted Platform Module (TPM) Sicherheit und virtuelle Maschinen Digitale Signaturen überprüfen die Integrität und Echtheit von Modulen, Treibern und Anwendungen, wenn sie vom VMkernel geladen werden. Das Signieren von Modulen hilft ESXi, die Anbieter von Modulen, Treibern oder Anwendungen zu identifizieren und festzustellen, ob sie für VMware zertifiziert sind. Dieses Modul ist ein Hardwareelement, das den Startvorgang überwacht, als Vertrauensbasis für eine Plattform und zur Speicherung und zum Schutz von Kryptografieschlüsseln dient. Während des Startvorgangs überprüft ESXi den VMkernel mithilfe des TPM und protokolliert bis zum nächsten Starten die am VMkernel vorgenommenen Änderungen. Die Messwerte werden an vCenter Server weitergegeben und können mithilfe der vSphere-API von Agenten von Drittanbietern abgerufen werden. HINWEIS Wenn TPM auf einem System vorhanden, aber im BIOS deaktiviert ist, wird möglicherweise die folgende Fehlermeldung angezeigt: Fehler beim Laden von TPM. Diese Fehlermeldung wird erwartet und kann bedenkenlos ignoriert werden. Virtuelle Maschinen sind die „Container“, in denen Anwendungen und Gastbetriebssysteme ausgeführt werden. Bedingt durch den Systemaufbau sind alle virtuellen Maschinen von VMware voneinander isoliert. Durch diese Isolierung können mehrere virtuelle Maschinen gleichzeitig und sicher auf der gleichen Hardware ausgeführt werden. Dabei werden sowohl der Hardwarezugriff als auch ununterbrochene Leistung garantiert. Selbst ein Benutzer mit Systemadministratorrechten für das Gastbetriebssystem der virtuellen Maschine kann diese Isolierungsebene nicht überwinden und auf andere virtuelle Maschinen zugreifen, wenn er vom ESXi- Systemadministrator keine entsprechenden Rechte erhalten hat. Durch die Isolierung der virtuellen Maschinen werden bei einem Fehlschlagen eines auf einer virtuellen Maschine ausgeführten Gastbetriebssystems die anderen virtuellen Maschinen auf dem gleichen Host weiterhin ausgeführt. Fehlgeschlagen des Gastbetriebssystems hat keinen Einfluss auf Folgendes: n Den uneingeschränkten Zugriff der Benutzer auf die anderen virtuellen Maschinen n Den uneingeschränkten Zugriff der anderen virtuellen Maschinen auf die Ressourcen, die sie benötigen n Die Leistung der anderen virtuellen Maschinen 136 VMware, Inc.
Jede virtuelle Maschine ist von den anderen virtuellen Maschinen, die auf der gleichen Hardware ausgeführt werden, isoliert. Obwohl sich die virtuellen Maschinen die physischen Ressourcen wie CPU, Arbeitsspeicher und E/A-Geräte teilen, kann das Gastbetriebssystem einer einzelnen virtuellen Maschine nur die virtuellen Geräte sehen, die ihm zur Verfügung gestellt wurden (siehe Abbildung 11-2). Abbildung 11-2. Isolierung virtueller Maschinen CPU Arbeitsspeicher Festplatte Netzwerk- und Grafikkarten SCSI- Controller Virtuelle Maschine App App App App App Betriebssystem VM-Ressourcen Maus CD/DVD Tastatur Da VMkernel die physischen Ressourcen vermittelt und jeder Zugriff auf die physische Hardware über VMkernel erfolgt, können die virtuellen Maschinen diese Isolierungsebene nicht umgehen. So wie ein Computer mit anderen Computern in einem Netzwerk über eine Netzwerkkarte kommuniziert, kann eine virtuelle Maschine mit anderen virtuellen Maschinen auf dem gleichen Host über einen virtuellen Switch kommunizieren. Außerdem kann die virtuelle Maschine mit einem physischen Netzwerk, einschließlich virtueller Maschinen auf anderenESXi-Hosts, über einen physischen Netzwerkadapter kommunizieren (siehe Abbildung 11-3). Abbildung 11-3. Virtuelle Netzwerkanbindung über virtuelle Switches Virtuelle Maschine Virtueller Netzwerk- adapter VMkernel Virtuelle Netzwerkschicht ESXi Virtueller Netzwerk- adapter Physisches Netzwerk Virtuelle Maschine Virtueller Switch verbindet virtuelle Maschinen Hardware-Netzwerkadapter verbindet virtuelle Maschinen mit dem physischen Netzwerk Für die Isolierung virtueller Maschinen in einem Netzwerk gelten folgende Merkmale: Kapitel 11 Sicherheit für ESXi-Systeme n Wenn sich eine virtuelle Maschine keinen virtuellen Switch mit anderen virtuellen Maschinen teilt, ist sie von den virtuellen Netzwerken auf dem Host vollständig getrennt. n Wenn einer virtuellen Maschine kein physischer Netzwerkadapter zugewiesen wurde, ist die virtuelle Maschine vollständig von physischen Netzwerken getrennt. n Wenn Sie zum Schutz einer virtuellen Maschine vor dem Netzwerk die gleichen Sicherheitsmaßnahmen wie für normale Computer verwenden (Firewalls, Antiviren-Software usw.), ist die virtuelle Maschine genau so sicher, wie es ein Computer wäre. VMware, Inc. 137
- Seite 85 und 86: Sie müssen iSCSI-Initiatoren konfi
- Seite 87 und 88: Wenn Sie den iSCSI-Namen ändern, w
- Seite 89 und 90: Konfigurieren von Erkennungsadresse
- Seite 91 und 92: ESXi unterstützt die folgenden CHA
- Seite 93 und 94: Voraussetzungen Legen Sie vor dem E
- Seite 95 und 96: Tabelle 8-2. Zusätzliche Parameter
- Seite 97 und 98: 3 Wenn neue Festplatten oder LUNs e
- Seite 99 und 100: Die von Ihnen in NFS-basierten Date
- Seite 101 und 102: 5 Legen Sie den Diagnosepartitionst
- Seite 103 und 104: Speicherverwaltung 9 Nachdem Sie Ih
- Seite 105 und 106: Unmounten von Datenspeichern Wenn S
- Seite 107 und 108: Option Beschreibung Freien Speicher
- Seite 109 und 110: 6 Wählen Sie unter „Optionen fü
- Seite 111 und 112: n Verarbeiten der E/A-Warteschlange
- Seite 113 und 114: 4 Wenn der E/A-Vorgang einen Fehler
- Seite 115 und 116: Abbildung 9-4. Software-iSCSI und F
- Seite 117 und 118: Anzeigen von Speichergerätepfaden
- Seite 119 und 120: Thin-Bereitstellung Wenn Sie eine v
- Seite 121 und 122: 3 Klicken Sie auf die Registerkarte
- Seite 123 und 124: Raw-Gerätezuordnung 10 Die Raw-Ger
- Seite 125 und 126: Dateizugriffsberechtigungen Die Raw
- Seite 127 und 128: n Keine Snapshots im physischen Kom
- Seite 129 und 130: Abbildung 10-4. Beispiel einer Name
- Seite 131 und 132: Verwalten zugeordneter LUNs Mithilf
- Seite 133 und 134: Sicherheit VMware, Inc. 133
- Seite 135: Sicherheit für ESXi-Systeme 11 Bei
- Seite 139 und 140: Abbildung 11-4. Konfigurierte DMZ a
- Seite 141 und 142: Interne virtuelle Maschinen Kapitel
- Seite 143 und 144: Absichern einer ESXi-Konfiguration
- Seite 145 und 146: Netzwerke, die über vCenter Server
- Seite 147 und 148: Herstellen einer Verbindung mit der
- Seite 149 und 150: Tabelle 12-1. TCP- und UDP-Ports Po
- Seite 151 und 152: VLANs sind eine Netzwerkarchitektur
- Seite 153 und 154: Schutz durch virtuelle Switches in
- Seite 155 und 156: Bei der Erstellung stimmen die gelt
- Seite 157 und 158: Aktivieren von Challenge-Handshake
- Seite 159 und 160: Authentifizierung und 13 Benutzerve
- Seite 161 und 162: Die von vCenter Server geführte Be
- Seite 163 und 164: Sie können über eine direkte Verb
- Seite 165 und 166: Hinzufügen von Benutzern zur Tabel
- Seite 167 und 168: Verschlüsselungs- und Sicherheitsz
- Seite 169 und 170: Hochladen eines Zertifikats und Sch
- Seite 171 und 172: Deaktivieren Sie SSL nur dann, wenn
- Seite 173 und 174: 5 Über den Befehl vifs können Sie
- Seite 175 und 176: Empfehlungen für den Schutz von 14
- Seite 177 und 178: Tabelle 14-4. Gemeinsame Komponente
- Seite 179 und 180: Aktivieren des Sperrmodus über den
- Seite 181 und 182: Entfernung überflüssiger Hardware
- Seite 183 und 184: Verhindern, dass Gastbetriebssystem
- Seite 185 und 186: Vorgehensweise Kapitel 14 Empfehlun
Jede virtuelle Maschine ist von den anderen virtuellen Maschinen, die auf der gleichen Hardware ausgeführt<br />
werden, isoliert. Obwohl sich die virtuellen Maschinen die physischen Ressourcen wie CPU, Arbeitsspeicher<br />
und E/A-Geräte teilen, kann das Gastbetriebssystem einer einzelnen virtuellen Maschine nur die virtuellen<br />
Geräte sehen, die ihm <strong>zur</strong> Verfügung gestellt wurden (siehe Abbildung 11-2).<br />
Abbildung 11-2. Isolierung virtueller Maschinen<br />
CPU Arbeitsspeicher Festplatte Netzwerk- und<br />
Grafikkarten<br />
SCSI-<br />
Controller<br />
Virtuelle Maschine<br />
App App App App App<br />
Betriebssystem<br />
VM-Ressourcen<br />
Maus CD/DVD Tastatur<br />
Da VMkernel die physischen Ressourcen vermittelt und jeder Zugriff auf die physische Hardware über<br />
VMkernel erfolgt, können die virtuellen Maschinen diese Isolierungsebene nicht umgehen.<br />
So wie ein Computer mit anderen Computern in einem Netzwerk über eine Netzwerkkarte kommuniziert,<br />
kann eine virtuelle Maschine mit anderen virtuellen Maschinen auf dem gleichen Host über einen virtuellen<br />
Switch kommunizieren. Außerdem kann die virtuelle Maschine mit einem physischen Netzwerk, einschließlich<br />
virtueller Maschinen auf anderen<strong>ESXi</strong>-Hosts, über einen physischen Netzwerkadapter kommunizieren<br />
(siehe Abbildung 11-3).<br />
Abbildung 11-3. Virtuelle Netzwerkanbindung über virtuelle Switches<br />
Virtuelle Maschine<br />
Virtueller<br />
Netzwerk-<br />
adapter<br />
VMkernel<br />
Virtuelle<br />
Netzwerkschicht<br />
<strong>ESXi</strong><br />
Virtueller<br />
Netzwerk-<br />
adapter<br />
Physisches Netzwerk<br />
Virtuelle Maschine<br />
Virtueller Switch<br />
verbindet virtuelle<br />
Maschinen<br />
Hardware-Netzwerkadapter<br />
verbindet virtuelle Maschinen<br />
mit dem physischen Netzwerk<br />
Für die Isolierung virtueller Maschinen in einem Netzwerk gelten folgende Merkmale:<br />
Kapitel 11 Sicherheit <strong>für</strong> <strong>ESXi</strong>-Systeme<br />
n Wenn sich eine virtuelle Maschine keinen virtuellen Switch mit anderen virtuellen Maschinen teilt, ist sie<br />
von den virtuellen Netzwerken auf dem Host vollständig getrennt.<br />
n Wenn einer virtuellen Maschine kein physischer Netzwerkadapter zugewiesen wurde, ist die virtuelle<br />
Maschine vollständig von physischen Netzwerken getrennt.<br />
n Wenn Sie zum Schutz einer virtuellen Maschine vor dem Netzwerk die gleichen Sicherheitsmaßnahmen<br />
wie <strong>für</strong> normale Computer verwenden (Firewalls, Antiviren-Software usw.), ist die virtuelle Maschine<br />
genau so sicher, wie es ein Computer wäre.<br />
<strong>VMware</strong>, Inc. 137