Sicherheit für virtualisierte Systeme

Wie man virtualisierte Systeme schützt

15. September 2008, 14:50 Uhr | Bernd Reder | Kommentar(e)

Fortsetzung des Artikels von Teil 1

Gegenmaßnahmen

Was also tun, um die logischen Kapazitätsverbünde soweit wie möglich abzusichern?

1. Systeme kapseln: Jedes virtuelle System – Server oder Speichersystem – sollte so gekapselt werden, als handle es sich um ein physisches System.

2. Konsequente Systemverwaltung: Dementsprechend konsequent sollte auch ihre Administration durchgeführt werden. Die gängigen Administrationsfehler im virtuellen Umfeld sind die gleichen wie bei physisch angebundenen Systemen: Netzwerk falsch verkabelt, Standard-Passwörter unverändert übernommen, SAN-LUNs (Storage Area Network – Logical Units) in der falschen Zone et cetera.

3. Host absichern: Der Host, also das Hypervisor-System, muss verlässlich gehärtet sein. Das bedeutet unter anderem, dass Dienste, die auf dem Host nicht benötigt werden, automatisch abgeschaltet werden.

4. Patches einspielen: Zudem ist es notwendig, Patches im virtuellen Verbund lückenlos und zeitnah zu laden sowie parallel zu dokumentieren.

Das gleiche gilt für die Rechtevergabe, in diesem Fall immer mit Blick auf ihre potenziellen Auswirkungen. Die meisten Angriffe auf Server- und Speichersysteme sind nur deshalb erfolgreich, weil Patches nicht eingespielt oder Rechte nicht aktualisiert beziehungsweise zu weitreichend vergeben wurden.

5. Sicherheitssysteme abschotten: Angesichts des Unsicherheitsfaktors »Virtualisierungsschicht« sollten insbesondere diejenigen Systeme, die für die innere Sicherheit verantwortlich sind, konsequent abgeschottet werden. Das gilt vor allem für Firewalls, Intrusion-Prevention-Systeme (IPS), Administrations- Server, Verschlüsselungs-Server und Login-Gateways.

Im Zweifelsfall sollte bei diesen Servern im eigenen Sicherheitsinteresse besser auf eine Virtualisierung verzichtet werden.

Zum Autor: Andreas Neumann ist Practice Manager Security bei Logica.


  1. Wie man virtualisierte Systeme schützt
  2. Gegenmaßnahmen

Das könnte Sie auch interessieren

Matchmaker+