Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Handbuch</strong> <strong>zur</strong> <strong>Serverkonfiguration</strong> <strong>für</strong> <strong>ESXi</strong><br />
Absichern virtueller Maschinen durch VLANs<br />
Das Netzwerk gehört zu den gefährdetsten Teilen eines jeden Systems. Ihre VM-Netzwerk muss genauso wie<br />
ihr physisches Netzwerk geschützt werden. Sie können Ihr Netzwerk der virtuellen Maschinen auf verschiedene<br />
Weise absichern.<br />
Wenn das Netzwerk virtueller Maschinen an ein physisches Netzwerk angeschlossen ist, kann es ebenso Sicherheitslücken<br />
aufweisen wie ein Netzwerk, das aus physischen Computern besteht. Selbst wenn das virtuelle<br />
Maschinennetzwerk nicht an ein physisches Netzwerk angeschlossen ist, kann ein Angriff auf virtuelle Maschinen<br />
innerhalb des Netzwerks von anderen virtuellen Maschinen des Netzwerks aus erfolgen. Die Anforderungen<br />
an die Absicherung virtueller Maschinen sind oft die gleichen wie <strong>für</strong> physische Maschinen.<br />
Virtuelle Maschinen sind voneinander isoliert. Eine virtuelle Maschine kann weder Lese- noch Schreiboperationen<br />
im Speicher der anderen virtuellen Maschine ausführen noch auf deren Daten zugreifen, ihre Anwendungen<br />
verwenden usw. Im Netzwerk kann jedoch jede virtuelle Maschine oder eine Gruppe virtueller Maschinen<br />
Ziel eines unerlaubten Zugriffs von anderen virtuellen Maschinen sein und daher weiteren Schutzes<br />
durch externe Maßnahmen bedürfen.<br />
Sie können die Sicherheit durch unterschiedliche Maßnahmen erhöhen:<br />
n Hinzufügen von Firewallschutz <strong>für</strong> das virtuelle Netzwerk durch Installation und Konfiguration von<br />
Softwarefirewalls auf einigen oder allen virtuellen Maschinen im Netzwerk.<br />
Aus Effizienzgründen können Sie private Ethernet-Netzwerke virtueller Maschinen oder Virtuelle Netzwerke<br />
einrichten. Bei virtuellen Netzwerken installieren Sie eine Softwarefirewall auf einer virtuellen<br />
Maschine am Eingang des virtuellen Netzwerks. Diese dient als Schutzpufferzone zwischen dem physischen<br />
Netzwerkadapter und den übrigen virtuellen Maschinen im virtuellen Netzwerk.<br />
Die Installation einer Softwarefirewall auf virtuellen Maschinen am Eingang eines virtuellen Netzwerks<br />
ist eine bewährte Sicherheitsmaßnahme. Da jedoch Softwarefirewalls die Leistung verlangsamen können,<br />
sollten Sie Sicherheitsbedürfnisse und Leistungsanforderungen abwägen, bevor Sie Softwarefirewalls in<br />
anderen virtuellen Maschinen im Netzwerk installieren.<br />
n Beibehalten verschiedener Zonen aus virtuellen Maschinen innerhalb eines Hosts auf verschiedenen<br />
Netzwerksegmenten. Wenn Sie virtuelle Maschinenzonen in deren eigenen Netzwerksegmenten isolieren,<br />
minimieren Sie das Risiko eines Datenverlusts aus einer virtuellen Maschinenzone in die nächste. Die<br />
Segmentierung verhindert mehrere Gefahren. Zu diesen Gefahren gehört auch die Manipulation des Adressauflösungsprotokolls<br />
(ARP), wobei der Angreifer die ARP-Tabelle so manipuliert, dass die MAC- und<br />
IP-Adressen neu zugeordnet werden, wodurch ein Zugriff auf den Netzwerkdatenverkehr vom und zum<br />
Host möglich ist. Angreifer verwenden diese ARP-Manipulierung <strong>für</strong> Denial of Service-Angriffe (DOS),<br />
<strong>zur</strong> Übernahme des Zielsystems und <strong>zur</strong> anderweitigen Beeinträchtigung des virtuellen Netzwerks.<br />
Eine sorgfältige Planung der Segmentierung senkt das Risiko von Paketübertragungen zwischen virtuellen<br />
Maschinenzonen und somit von Spionageangriffen, die voraussetzen, dass dem Opfer Netzwerkdatenverkehr<br />
zugestellt wird. So kann ein Angreifer auch keinen unsicheren Dienst in einer virtuellen Maschinenzone<br />
aktivieren, um auf andere virtuelle Maschinenzonen im Host zuzugreifen. Sie können die<br />
Segmentierung mit einer der beiden folgenden Methoden herstellen, von denen jede andere Vorteile bietet.<br />
n Verwenden Sie getrennte physische Netzwerkadapter <strong>für</strong> Zonen virtueller Maschinen, damit die Zonen<br />
auch tatsächlich voneinander getrennt sind. Die Beibehaltung getrennter physischer Netzwerkadapter<br />
<strong>für</strong> die virtuellen Maschinenzonen stellt unter Umständen die sicherste Methode dar, und<br />
gleichzeitig ist sie am wenigsten anfällig <strong>für</strong> Konfigurationsfehler nach dem Anlegen des ersten Segments.<br />
n Richten Sie virtuelle LANs (VLANs) <strong>zur</strong> Absicherung des Netzwerks ein. Da VLANs fast alle Sicherheitsvorteile<br />
bieten, die auch die Implementierung physisch getrennter Netzwerke aufweist, ohne<br />
dass da<strong>für</strong> der Mehraufwand an Hardware eines physischen Netzwerks notwendig ist, stellen sie<br />
eine rentable Lösung <strong>zur</strong> Verfügung, die die Kosten <strong>für</strong> die Bereitstellung und Wartung zusätzlicher<br />
Geräte, Kabel usw. einsparen kann.<br />
150 <strong>VMware</strong>, Inc.