Ratgeber

Checkliste: vCenter und die mit VMware virtualisierte Umgebung absichern

Sobald ein Unternehmen eine gewisse Größe erreicht, wird die IT-Security oftmals zu einer Herausforderung. Im Hinblick auf die komplette IT-Sicherheit einer mit VMware virtualisierten Umgebung, ist das Limitieren des Zugriffs auf vCenter der erste Schritt. Danach sollten Sie sich mit der Security des darunterliegenden Hosts beschäftigen und Maßnahmen einleiten, diesen sicherer zu machen. Die nachfolgenden vier Schritte helfen Ihnen, eine sicherere VMware-Umgebung zu realisieren.

1. Schränken Sie den Zugriff auf den Host ein: Lockdown Mode

Lockdown Mode in vCenter der ESXi-Version 4 konfigurieren.

Der erste und einfachste Schritt für die Absicherung eines Hosts ist, den Lockdown Mode zu aktivieren. Damit stellen Sie sicher, dass alle mit vCenter verbundenen Hosts auch von vCenter verwaltet werden. Anwender können sich mit dem Host außerdem nicht direkt mit vSphere oder einem anderen Tool verbinden, das nicht durch vCenter kommuniziert.

Um das in ESXi Version 4 zu realisieren, melden Sie sich zunächst an vCenter an. Danach wählen Sie einen Host aus, den Sie absichern wollen. Klicken Sie auf den Reiter Configuration und dann auf Security. Nun navigieren Sie zu Lockdown Mode, klicken auf Edit und im Anschluss auf Enable Lockdown Mode. Danach bestätigen Sie das mit OK.

Verwenden Sie ESXi Version 5, melden Sie sich ebenfalls an der Konsole an. In diesem Fall benutzen Sie aber das DCUI (Direct Console User Interface), um Lockdown zu aktivieren. Dieses Feature gibt es nur in ESX 4 und höher. Im Notfall können Sie den Lockdown Mode deaktivieren. Das brauchen Sie zum Beispiel, wenn vCenter aus irgendeinem Grund nicht erreichbar ist. Hier melden Sie sich direkt an der Konsole des Hosts an und deaktivieren Lockdown aus dem DCUI.

2. Das Netzwerk absichern

Die vSwitch Security-Einstellungen anpassen.

Wird ein vSwitch angelegt, ist der so genannte Promiscuous Mode deaktiviert. Allerdings sind MAC-Adressänderungen erlaubt und es werden manipulierte Übertragungen (Forged Transmits) akzeptiert. Sollten Sie keinen triftigen Grund für die Benutzung dieser Funktionen haben, setzen Sie MAC Address Changes und Forged Transmits auf Reject. Seien Sie aber nicht übereilig damit. Einige Load-Balancer und virtuelle Appliances benutzen diese Features.

Um die Sicherheit des Switches anzupassen, wählen Sie den entsprechenden Host aus. Danach klicken Sie auf Configuration, gefolgt von Properties in Network. Wählen Sie den vSwitch der virtuellen Maschine (VM) und editieren diesen. Im Reiter Security bestimmen Sie die gewünschte Einstellung aus dem Dropdown-Menü. Diese Operation können Sie sowohl für Switches als auch für Port-Gruppen durchführen.

Wissenswert beim Verwenden von Port-Gruppen (Port Groups) ist, dass die Einstellungen des vSwitch vererbt werden. Dies ist solange der Fall, bis Sie die Einstellungen explizit ändern.

3. Die virtuelle Maschine absichern

Per Standard ist Copy&Paste bei der Benutzung der vSphere-Applikation zwischen Client und der virtuellen Maschine aktiviert. In einer sicheren Umgebung ist diese Einstellung nicht angebracht. Sie können hier intervenieren. Wählen Sie zunächst die virtuelle Maschine, auf der Sie Copy&Paste-Interaktionen unterbinden möchten. Danach klicken Sie auf Options gefolgt von Advanced. Im Reiter General geben Sie die nachfolgende Kombination ein. Sie können die Befehle auch einzeln einsetzen, wenn Sie zum Beispiel jeweils nur Copy oder Paste deaktivieren wollen:

isolation.tools.copy.disable true

isolation.tools.paste.disable true

4. Domänen-Authentifizierung aktivieren

Ein gemeinsam genutztes root-Passwort ist gleich aus mehrfacher Hinsicht in einer sicheren Umgebung unerwünscht - und das nicht nur in Bezug auf die Verantwortung. Sie können das aber ganz einfach aus der Welt schaffen, indem Sie die Authentisierungs-Methode ändern. Der Host lässt sich sehr leicht so konfigurieren, dass er Authentifizierung mittels Active Directory (AD) verwendet.

Geben Sie ein Konto mit den entsprechenden Berechtigungsnachweisen ein, um an die Domäne angeschlossen zu werden.

Vor dem Aktivieren dieses Features, müssen Sie eine Gruppe ESX Admins in Ihrer AD-Infrastruktur erstellen. Es muss genau so sein, wie nachfolgend beschrieben. Andernfalls wird es nicht funktionieren.

Ist das erledigt, können Sie AD-Authentisierung auf dem Host aktivieren. Wählen Sie dazu den entsprechenden Host aus und klicken auf den Reiter Configuration. Danach wählen Sie den Menüpunkt Properties oben rechts aus. Nun öffnet sich Directory Services Configuration. Wählen Sie im Dropdown-Menü Select Directory Service Type die Option Active Directory aus. Im Anschluss werden die Domain Settings verfügbar. Geben Sie hier Ihren Domänen-Namen ein und klicken auf die Schaltfläche Join Domain. Sollten Sie Probleme mit dem Format domain\username haben, verwenden Sie stattdessen user@domain. Letzteres funktioniert in der Regel besser als das Erstere.

Sie können sich das Leben etwas erleichtern, wenn Sie die Administratoren in einer Gruppe „ESX Admins“ zusammenfassen. Platzieren Sie allerdings nicht einfach die Gruppe „Domain Admins“ in die ESX-Admins-Gruppe. Machen Sie das ordentlich und erstellen eine Gruppe mit Ihren Administratoren.

Dieses Login lässt sich bei Bedarf auf für die DCUI-Konsole benutzen.

Artikel wurde zuletzt im Februar 2014 aktualisiert

Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.