Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Interne virtuelle Maschinen<br />
Kapitel 11 Sicherheit <strong>für</strong> <strong>ESXi</strong>-Systeme<br />
durch werden Spionageangriffe verhindert, da dem Opfer da<strong>für</strong> Netzwerkdaten<br />
gesendet werden müssen. Außerdem kann der Angreifer dadurch die natürliche<br />
Anfälligkeit von FTP nicht zum Zugriff auf andere virtuelle Maschinen<br />
auf dem Host nutzen.<br />
Die virtuellen Maschinen 2 bis 5 sind der internen Verwendung vorbehalten.<br />
Diese virtuellen Maschinen verarbeiten und speichern vertrauliche firmeninterne<br />
Daten wie medizinische Unterlagen, juristische Dokumente und Betrugsermittlungen.<br />
Daher müssen Systemadministratoren <strong>für</strong> diese virtuellen Maschinen<br />
den höchsten Schutz gewährleisten.<br />
Diese virtuellen Maschinen sind über ihren eigenen virtuellen Switch und<br />
physischen Netzwerkadapter an das Interne Netzwerk 2 angeschlossen. Das<br />
interne Netzwerk 2 ist der internen Nutzung durch Mitarbeiter wie Reklamationssachbearbeiter,<br />
firmeninterne Anwälte und andere Sachbearbeiter vorbehalten.<br />
Die virtuellen Maschinen 2 bis 5 können über den virtuellen Switch untereinander<br />
und über den physischen Netzwerkadapter mit internen Maschinen an<br />
anderen Stellen des internen Netzwerks 2 kommunizieren. Sie können nicht<br />
mit Computern oder virtuellen Maschinen kommunizieren, die Zugang zu den<br />
externen Netzwerken haben. Wie beim FTP-Server können diese virtuellen<br />
Maschinen keine Datenpakete an Netzwerke anderer virtueller Maschinen<br />
senden oder sie von diesen empfangen. Ebenso können die anderen virtuellen<br />
Maschinen keine Datenpakete an die virtuellen Maschinen 2 bis 5 senden oder<br />
von diesen empfangen.<br />
DMZ Die virtuellen Maschinen 6 bis 8 wurden als DMZ konfiguriert, die von der<br />
Marketingabteilung dazu verwendet wird, die externe Website des Unternehmens<br />
bereitzustellen.<br />
Diese Gruppe virtueller Maschinen ist dem externen Netzwerk 2 und dem internen<br />
Netzwerk 1 zugeordnet. Das Unternehmen nutzt das externe Netzwerk<br />
2 <strong>zur</strong> Unterstützung der Webserver, die von der Marketing- und der Finanzabteilung<br />
<strong>zur</strong> Bereitstellung der Unternehmenswebsite und anderer webbasierter<br />
Anwendungen <strong>für</strong> externe Nutzer verwendet werden. Das interne<br />
Netzwerk1 ist der Verbindungskanal, den die Marketingabteilung <strong>zur</strong> Veröffentlichung<br />
des Inhalts von der Unternehmenswebsite, <strong>zur</strong> Bereitstellung von<br />
Downloads und Diensten wie Benutzerforen verwendet.<br />
Da diese Netzwerke vom externen Netzwerk 1 und vom internen Netzwerk 2<br />
getrennt sind und die virtuellen Maschinen keine gemeinsamen Kontaktpunkte<br />
(Switches oder Adapter) aufweisen, besteht kein Angriffsrisiko <strong>für</strong> den FTP-<br />
Server oder die Gruppe interner virtueller Maschinen (weder als Ausgangspunkt<br />
noch als Ziel).<br />
Wenn die Isolierung der virtuellen Maschinen genau beachtet wird, die virtuellen Switches ordnungsgemäß<br />
konfiguriert werden und die Netzwerktrennung eingehalten wird, können alle drei Zonen der virtuellen Maschinen<br />
auf dem gleichen <strong>ESXi</strong>-Host untergebracht werden, ohne dass Datenverluste oder Ressourcenmissbräuche<br />
be<strong>für</strong>chtet werden müssen.<br />
Das Unternehmen erzwingt die Isolierung der virtuellen Maschinengruppen durch die Verwendung mehrerer<br />
interner und externer Netzwerke und die Sicherstellung, dass die virtuellen Switches und physischen Netzwerkadapter<br />
jeder Gruppe von denen anderer Gruppen vollständig getrennt sind.<br />
<strong>VMware</strong>, Inc. 141