Accounts und Berechtigungen einschränken

Haben Sie die Systemhärtung und die Netzwerksegmentierung für Ihre Hyper-V-Plattform umgesetzt, müssen Sie dennoch verhindern, dass Accounts und Berechtigungen in Ihrer Umgebung dafür missbraucht werden können, die Virtualisierung anzugreifen. Wie beim Patchen beginnt auch hier die Absicherung bereits auf der Hardwareebene. Ändern Sie unbedingt alle Standardpasswörter, sowohl beim Hardware-Management (iLO, iDRAC, iRMC und so weiter) als auch bei KVM-Switches, vernetzten Steckdosenleisten (PDU) und natürlich Netzwerkgeräten wie Switches und Firewalls.

Auch andere Systeme, die Berührung mit der Plattform haben, können über werksseitige Zugangsdaten verfügen. Monitoringsysteme auf Linux-Basis, deren zentrale Komponenten als virtuelle oder physische Appliances ausgeliefert werden, sind oft mit einem öffentlich bekannten Default-Kennwort versehen. Andererseits besitzen diese Vorrichtungen die Fähigkeit, Befehle und Skripte im SYSTEM-Kontext auf den überwachten Computern zu starten.

Erschweren Sie Angreifern das Ausbreiten von Server zu Server, indem Sie für das lokale Administratorkonto ein komplexes und vor allem auf jeder Maschine individuelles Kennwort vergeben. Microsoft bietet hierfür die "Local Administrator Password Solution" (LAPS) an. Sie können die Funktion bereits seit vielen Jahren auf Ihren Windows-Systemen installieren und nutzen.

In den meisten Fällen hat LAPS auf die tägliche Administration von Servern keinen Einfluss, denn lokale Administratoraccounts werden normalerweise erst benötigt, wenn die Maschine keine Verbindung zum Active Directory mehr hat oder die Vertrauensstellung zu ihrer Domäne verloren hat. Die Wahrscheinlichkeit, dass diese Probleme auftreten, ist bei physischen und virtuellen Servern unterschiedlich ausgeprägt.

Während bei VMs der Verlust der Vertrauensstellung durch das Einspielen eines zu weit zurückliegenden Snapshots durchaus auftreten kann, müssen Sie bei physischen Servern wie den Hyper-V-Hosts eher mit dem Verlust der Konnektivität rechnen, falls das physische Netzwerk einmal ausfallen sollte.

Schränken Sie die Mitgliedschaften, sowohl explizite als auch verschachtelte, in der lokalen Gruppe der "Administratoren" Ihrer Hyper-V-Hosts rigoros ein. Für die reinen Hyper-V-Verwaltungstätigkeiten stellt Windows die Gruppe "Hyper-V-Administratoren" zur Verfügung. Eine Mitgliedschaft in dieser Gruppe erlaubt Ihnen die nahezu vollständige Verwaltung des Hypervisors und der darauf laufenden VMs.

Im Cluster allerdings benötigen Sie zusätzliche Berechtigungen, um beispielsweise Live-Migration-Vorgänge anzustoßen oder die Lastverteilung zu konfigurieren. In Bezug auf die Sicherheit stellt der Aufwand, ein Least-Privilege-Modell für wichtige Infrastrukturdienste zu entwickeln, eine sehr lohnenswerte Investition dar.

Setzen Sie für die Administration Ihrer Hyper-V-Hosts auf moderne Technologien, die das Delegieren von Aufgaben umsetzen, ohne dem zugreifenden User gleich direkte Verwaltungsrechte auf den Systemen einzuräumen. PowerShell Just Enough Administration (JEA) in Reinform oder in Kombination mit RBAC des Windows Admin Center hilft, Berechtigungen präzise zu delegieren.

Leider erreicht die Granularität dieser Delegierung bei Hyper-V nicht ganz das Cloudniveau. Wir betrachten die Herausforderungen und Lösungsansätze in einem separaten Artikel, den Sie ab Seite 137 finden. Neben der Grundfunktionalität von Hyper-V bieten PowerShell und WAC auch Zugang zu fortgeschrittenen Features des Software-defined Datacenters – Storage Spaces Direct (S2D) und Software-defined Networking (SDN).

Von Agenten und Attesten

Konzeptionell etwas sicherer als ein authentifizierter Remotezugriff ist die agentenbasierte Verwaltung, wie sie beispielsweise der Microsoft System Center Virtual Machine Manager (SCVMM) implementiert hat. Damit wird allerdings die SCVMM-Infrastruktur zum zentralen Angriffspunkt auf die Hyper-V-Plattform.

Einen sehr großen Beitrag zur Absicherung der Hyper-V-Infrastruktur leistet ein Feature, dessen eigentliches Ziel der Schutz virtueller Maschinen vor äußeren Einflüssen ist: Guarded Fabric. Einer der Grundpfeiler der VM-Absicherung ist dabei das Sicherstellen, dass virtuelle Maschinen nur auf Hosts gestartet werden dürfen, die als nicht kompromittiert vorausgesetzt werden können.

Natürlich führt dabei der "Host Guardian Service" (HGS) keinen Scan auf nicht geschlossene Sicherheitslücken oder fehlende Windows Updates durch, noch wertet er selbst die Signaturen sämtlicher installierter ausführbaren Dateien aus. Vielmehr definieren Sie als Administrator die passende Code-Integrity-Richtlinie und Hardware-Baseline für jeden Host, und der HGS prüft, ob diese Richtlinien auch tatsächlich erzwungen worden sind. Damit ist sichergestellt, dass die Hosts beim Versuch, eine geschützte VM zu starten, immer noch den Softwarestand zum Zeitpunkt der Richtlinienaktivierung aufweisen.

Der Virtual Machine Manager kann Guarded Hosts und Guarded Fabrics provisionieren und verwalten; er lässt sich jedoch nicht dazu verwenden, einen Host-Guardian-Service-Cluster bereitzustellen. Für eine unterstützte Konfiguration benötigen Sie dafür mindestens drei physische Server, die nach Möglichkeit über einen TPM-2.0-Chip verfügen sollten.

HGS stellt die Compliance-Atteste für geschützte Hyper-V-Hosts aus, die sie in die Lage versetzen, geschützte VMs zu entsperren und zu starten. Somit ist der HGS ein extrem lukratives Angriffsziel in Umgebungen, die Guarded Fabrics im Einsatz haben. Um dieser Tatsache Rechnung zu tragen, liefert Microsoft mit dem HGS bereits einige JEA-Rollendefinitionen für PowerShell mit.

Fazit

Der Schutz der Virtualisierungsinfrastruktur ist von fundamentaler Bedeutung für die Sicherheit der gesamten Private Cloud in Ihrer Organisation. Dafür steht Ihnen eine Fülle von Maßnahmen zur Verfügung, die ihre Wirkung allerdings erst entfalten, wenn sie zusammen angewendet werden. Nutzen Sie Netzwerksegmentierung, lokale Firewalls und auf Least Privilege ausgerichtetes Berechtigungsmanagement, um die Angriffsfläche Ihrer Virtualisierung zu verringern. Halten Sie die Hard- und Software Ihrer Hosts auf dem neusten Stand und greifen Sie in besonders sensiblen Umgebungen auf Guarded Fabrics für den höchstmöglichen Schutz zurück. Dabei sollten Sie die relevanten Infrastrukturdienste wie VMM oder Fileserver ebenfalls im Blick behalten und in Ihre Plattform-Sicherheitsstrategie einbeziehen. (ln)

Im ersten Teil des Workshops haben wir erklärt, warum und wie Sie einen Hyper-V-Host genauso schützen müssen wie jeden anderen Windows-Server. Im zweiten Teil sind wir darauf eingegangen, wie Server Core als Solide Basis für Hyper-V fungiert und wie Sie den Netzwerkzugriff sinnvoll beschränken.

Über den Autor: Evgenij Smirnov ist Senior Solutions Architect bei Semperis und Microsoft-MVP für Cloud & Datacenter Management und VMware Certified Implementation Expert für Datacenter-Virtualisierung.