vSphere Grundlagen: vSphere mit Bordmitteln absichern

VMware vSphere lässt sich mit den vorhandenen Bordmitteln gut gegen Attacken und Missbrauch absichern, wenn man einige wichtige Punkte beachtet.

VMware vSphere ist bereits nach der Installation relativ sicher, dennoch gibt es Anbieter, die wahlweise die virtuelle...

Infrastruktur oder die Konfiguration weiter absichern. Bevor man allerdings diese externen Produkte nutzt, sollte man zunächst die VMware-vSphere-Installation mit den vorhandenen Bordmitteln absichern. Wie das geht, erklärt dieser vSphere Essentials Guide.

Bereiche der VMware-vSphere-Sicherheit

Es gibt innerhalb von VMware vSphere zahlreiche verschiedene Bereiche, in denen Sicherheitsfunktionen integriert sind. Dazu gehören unter anderem:

  • Netzwerk-Sicherheit
  • Speicher-Sicherheit
  • ESXi Shell Sicherheit
  • ESXi Lockdown-Modus
  • ESXi Zugriffs- und Nutzerverwaltung
  • vCenter Sever Single-Sign-On, Nutzer, Gruppen und Berechtigungen
  • SSL Zertifikate
  • Sicherheit für virtuelle Maschinen
  • Grundsätzliche Sicherheitspraktiken

Jeden einzelnen Punkt im Detail vorzustellen, würde den Rahmen dieses Artikels sprengen. Daher stelle ich Ihnen in diesem Beitrag meine Top-5-Methoden vor, mit denen Sie Ihre vSphere-Infrastruktur absichern können. Weitere Tipps und tiefergehende Informationen finden Sie im vSphere 5.1 Security Guide und dem vSphere 5.1 Security Hardening Guide. Diese enthalten hunderte von Tipps und Tricks, mit denen sich vSphere und virtuelle Maschinen weiter schützen lassen.

1. VMware vSphere Update Manager nutzen

VMware vSphere und vCenter erhalten deutlich weniger Updates und Patches als beispielsweise Windows. Dennoch ist es enorm wichtig, diese schnellstmöglich einzuspielen. Tatsächlich erscheinen Updates für vSphere so unregelmäßig, dass Sie möglicherweise nicht mehr wissen, wie diese per Hand installiert werden.

Glücklicherweise liefert VMware die passende Lösung mit: Der vSphere Update Manager, kurz VUM, kann ESXi Server, die VMware Tools und vCenter Server aktuell halten und neu erscheinende Updates einfach einspielen. VUM ist fester Bestandteil von VMware vSphere. Sollten Sie eine Version von vSphere im Einsatz haben, die Distributed Resource Schedule (DRS) nutzt, kann VUM mit diesem System zusammenarbeiten. Damit lässt sich sicherstellen, dass Updates und Neustarts erst dann durchgeführt werden, wenn die betroffenen virtuellen Maschinen innerhalb eines hochverfügbaren Systems verschoben wurden.

Abbildung 1: VMware vSphere Update Manager

Zusätzlich kann VUM alle angeschlossenen Systeme überprüfen und aufzeigen, welche Komponenten, VMware Tools, vCenter oder vSphere Server aktualisiert werden müssen. Bitte beachten Sie: vSphere Update Manager in vSphere ist mit dem vSphere Web Client kompatibel.

2. ESXi Shell und Secure Shell abschalten

Abbildung 2: SSH-Aktivierung ist ein Sicherheitsrisiko.

Direkt nach der Installation können Sie sich weder über die Kommandozeile auf die Konsole eines ESXi Severs zugreifen, noch klappt das über SSH. Viele Administratoren schalten diese Funktionen allerdings zu Beginn sofort ein und anschließend nicht mehr ab. Beide Funktionen mögen praktisch zur Verwaltung sein, sie sind allerdings auch ein Sicherheitsrisiko. Der vSphere Client warnt Nutzer im Übersichts-Tab, wenn die Kommandozeilen- und SSH-Zugriffe aktiviert sind. Wenn Sie die Funktionen also nicht mehr benötigen, sollten Sie diese wieder abschalten.

Abbildung 3: Verwenden Sie die Security Profile zum Ausschalten SSH und ESXi Shell.

SSH und die ESXi Shell lassen sich in der Konsole jedes Hosts oder über die Konfiguration an- und abschalten.

3. Root- und Admin-Passwörter kontrollieren und Zugriffe überwachen

Wie bei jeder Applikation und jedem Betriebssystem ist die Kontrolle des administrativen Zugriffs enorm wichtig. Falls die Root-Zugangsdaten in die falschen Hände geraten, kann enorm viel schiefgehen.

ESXi Hosts haben standardmäßig einen „root“-Account, während der Installation muss ein entsprechendes Kennwort für diesen gesetzt werden. Stellen Sie sicher, dass Sie ein starkes Kennwort verwenden und den Nutzerkreis beschränken. Alle administrativen Nutzer sollten eigene Konten anlegen und diese verwenden, statt auf den Root-Account Zugriff zu erhalten. Alternativ lässt sich der ESXi Server mit einem Windows Active Directory koppeln so dass Admins mit ihren Windows-Konten Zugriff erhalten.

Abbildung 4: Erstellen Sie Ihre eigene vSphere -Admin-Gruppe in Active Directory.

VMware vCenter authentifiziert sich in Windows-Umgebungen gegen ein vorhandenes Active Directory – wer dort als Admin eingetragen ist, erhält auch die passenden Rechte im vCenter. Entsprechend muss das Active Directory und die Nutzerverwaltung gegen unbefugten Zugriff geschützt werden. Empfehlenswert ist es, eine spezielle Nutzergruppe für vSphere-Administratoren anzulegen, die entsprechenden Nutzer in diese Gruppe zu verschieben und die Rechte so zu verteilen. Der Vorteil an diesem Aufbau ist, dass sich Nutzer sogar noch granularer zuweisen lassen. Anwender wie etwa „vSphere Web Server Admin“ oder „vSphere Email Server Admins“ lassen sich mit den jeweils passenden Rechten ihrer vSphere-Rollen in vCenter assoziieren.

Sollten Sie die neue vCenter Server Appliance, kurz vCSA, im Einsatz haben, sind die standardmäßigen Zugangsdaten „root“ und „vmware“. Es versteht sich von selbst, dass Sie diese schnellstmöglich ändern sollten.

4. Nutzen Sie Host Profiles und Auto Deploy

Abbildung 5: Verwenden Sie vSphere Host Profiles, um die Konsistenz zu gewährleisten.

Nur weil ein Server eine sichere Konfiguration besitzt, heißt das nicht, dass alle anderen automatisch ebenfalls geschützt sind. Um sicherzustellen, dass alle Ihre Server die gleiche, sichere Konfiguration verwenden, sollten Sie vSphere Host Profiles nutzen. Diese sorgen dafür, dass ihre virtuellen Systeme alle eine einheitliche Konfiguration nutzen. Besonders praktisch: Ändern Sie etwa nach einem Zwischenfall ein Profil, wird diese Änderung automatisch an alle Server übertragen. Das spart Arbeit. Auto Deploy schlägt in eine ähnliche Kerbe: Damit lässt sich ein Template erstellen, mit dem sich neue Systeme dieser Vorlage entsprechend ausrollen lassen.

Sowohl die Host Profiles wie auch Auto Deploy ist Bestandteil von vSphere Enterprise Plus.

5. Lockdown-Modus aktivieren

Der Lockdown-Modus ist wahrscheinlich die beste Möglichkeit, mit der sich ein ESXi Server schützen lässt. Ist der Modus aktiv, kann sich niemand mit Ausnahme des root-Nutzers am Host anmelden. Das bedeutet, dass weder Skripte, noch die vMA Appliance oder der vSphere Client direkt mit dem ESXi Host interagieren können. Zusätzlich hat nur der root-Nutzer Zugriff auf die Serverkonsole. Solange der Lockdown-Modus aktiv ist, kann nur vCenter direkt mit den Hosts kommunizieren.

Abbildung 6: Das Aktivieren des Lockdown-Modus ist ein wichtiger Schritt.

Der Lockdown-Modus lässt sich in der ESXi-Konsole oder über die Konfiguration im Bereich Security aktivieren.

Diese fünf Tipps sind wirkungsvoll, allerdings sind sie nur die Spitze des Eisbergs. Weitere Informationen bieten, wie bereits eingangs erwähnt, diese beiden Whitepaper bei VMware:

Artikel wurde zuletzt im Juli 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über VMware

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close