Fachartikel

VMs sicher im Netzwerk betreiben (1)

Neben der Verwaltung der Benutzer und Berechtigungen in der vSphere-Umgebung – unser Workshop basiert auf vSphere 6.0 – sollten Sie sich auch die Sicherheitskonfiguration des vCenter ansehen. Hier sind häufig Anpassungen notwendig, damit das vCenter sicher betrieben werden kann. Dazu gehört die Firewall ebenso wie die zu nutzenden Zertifikate. Im ersten Teil werfen wir einen Blick auf Security-Grundlagen wie sichere Passwörter und den Schutz für Storage und das Netzwerk. Außerdem gehen wir auf VMSafe und vShield ein.
Für ein gehärtetes vCenter kommen Sie nicht um eine Anpassung der Sicherheitskonfiguration umhin.
Bevor wir uns mit dem Abschotten von vSphere-Umgebungen im Netzwerk befassen, wenden wir uns zunächst der Anmeldung der Nutzer zu. Denn die besten Sicherheitsvorkehrungen nützen wenig, wenn sich User ungestört in der virtuellen Umgebung bewegen können – auch in Bereichen, wo sie nichts zu suchen haben. Dasselbe gilt für den Fall, dass Angreifer die Konten der User oder gar Admins einfach übernehmen. Ein wichtiger Aspekt hierbei sind die Kennwörter.

Sichere Passwörter
Arbeiten Sie mit vCenter-Appliance, sollten Sie sich nach der Integration der Umgebung mit der Weboberfläche der Appliance verbinden. Dazu verwenden Sie die URL "http://IP-Adresse:5480". Melden Sie sich mit dem Root-Benutzer an. Über diese Weboberfläche passen Sie die vCenter-Appliance an Ihre Anforderungen an. Besonders wichtig ist hier der Bereich "Administration". Hier können Sie das Kennwort des Benutzers definieren und festlegen, wann das Kennwort des Root-Benutzers geändert werden muss.

Standardmäßig ändert das vCenter das Kennwort des Host-Verwalters (vpxuser) automatisch alle 30 Tage. Sie können diesen Wert über den Web-Client ändern und an Ihre Anforderungen anpassen. Rufen Sie dazu den vCenter-Server auf, klicken Sie auf die Registerkarte "Verwalten" und dann auf den Menüpunkt "Einstellungen". Klicken Sie auf "Erweiterte Einstellungen" und geben Sie "VimPasswordExpirationInDays" ein. Legen Sie den Wert für "VirtualCenter.VimPasswordExpirationInDays" Ihren Anforderungen entsprechend fest.

Achten Sie auch darauf, dass die Uhrzeit der vCenter-Appliance korrekt gesetzt ist. Das ist vor allem dann wichtig, wenn Sie im Netzwerk mit einem Active Directory arbeiten. Nutzen Sie hierfür am besten eine NTP-Zeitquelle. Auch für die Überprüfung von Zertifikaten (dazu später mehr) sowie deren korrekten Verwendung ist die richtige Uhrzeit enorm wichtig. Wie bei der herkömmlichen vCenter-Server-Installation können Sie auch bei der vCenter-Appliance außerdem den SSH-Zugriff konfigurieren. Die entsprechenden Einstellungen finden Sie über den Menüpunkt "Zugriff".
Sicherheit der Datenspeichers
Neben der Konfiguration der vSphere-Hosts und des vCenters müssen Sie auch darauf achten, dass die physischen Speichergeräte entsprechend abgesichert sind. Sie haben in vSphere zum Beispiel die Möglichkeit, zusammen mit SANs den Speicherzugriff über Zoning abzusichern. Sie legen über die Zonen fest, welche Adapter Zugriff auf die einzelnen Ziele haben. Damit bestimmen Sie die einzelnen Hosts, die Zugriff auf den physischen Speicher erhalten.

Alle Geräte, die sich nicht in der konfigurierten Zone für ein Ziel befinden, dürfen auch nicht auf den Speicher zugreifen. Auf diesem Weg trennen Sie beispielsweise auch verschiedene vSphereUmgebungen voneinander. Sinnvoll ist das etwa, wenn Sie eine Testumgebung neben einer produktiven Umgebung betreiben. Die Konfiguration nehmen Sie nicht in den vSphere-Verwaltungswerkzeugen vor, sondern über die Einstellungen des entsprechenden Speichers. Zusätzlich nehmen Sie bei Bedarf über die Konfiguration der Speicher-Adapter ebenfalls Sicherheitsmaßnahmen vor. Dazu gehört etwa das Aktivieren von CHAP für die Anbindung von iSCSI-Speicher.

Seite 1: Sicherheit bei Passwörtern und Datenspeichern
Seite 2: Sicherheit im Netzwerk


Seite 1 von 2 Nächste Seite >>
2.07.2018/dr/ln//Thomas Joos

Nachrichten

BSI gewinnt Kryptowettbewerb [14.11.2018]

Die jährlich stattfindende CHES ist mit über 400 Teilnehmern eine der größten internationalen Konferenzen im Bereich der kryptographischen Forschung. Ein Team des Bundesamts für Sicherheit in der Informationstechnik hat nun im Rahmen der Hardware-Sicherheitskonferenz an zwei Einzeldisziplinen des Kryptowettbewerbs 'CHES 2018 Challenge' zu AES-Implementierungen teilgenommen und beide mit Hilfe von Künstlicher Intelligenz gewonnen. [mehr]

TeamViewer integriert Augmented Reality [13.11.2018]

TeamViewer bringt TeamViewer 14 auf den Markt. Nach Abschluss der Preview-Phase ist die Finalversion von TeamViewers Flaggschifflösung nun für den Einsatz in Produktionsumgebungen freigegeben. Sie verspricht Augmented Reality sowie Verbesserungen in den Bereichen Leistung, Produktivität und Sicherheit. [mehr]

Tipps & Tools

Vorschau Dezember 2018: Datenspeicherung für KMUs [14.11.2018]

In der Dezember-Ausgabe beleuchtet IT-Administrator die Datenspeicherung in kleinen und mittleren Firmen. Darin zeigen wir unter anderem, welche neue Speichertechnologien für hybride Rechenzentren zur Verfügung stehen. Auch vergleichen wir Open-Source-Software für den Aufbau eines SAN und nehmen Stratis für das Storage-Management in Linux unter die Lupe. Natürlich darf auch die Cloud nicht fehlen und so lesen Sie, wie die Datenarchivierung mit der Google Cloud Platform Console funktioniert und was die neue Funktion Azure Files zu bieten hat. [mehr]

Vergebene Benutzernamen recherchieren [14.11.2018]

Immer wieder führt es bei Anwendern zu Frustration, wenn beim Anlegen eines neuen Internetkontos etwa bei sozialen Netzwerken oder einer E-Mail-Adresse der gewünschte Name bereits vergeben ist. Mit dem Onlinedienst 'namechk.com' können Sie jetzt vorher überprüfen, welche Aliase bereits vergeben sind. Zusätzlich kann das Portal für Sie auch die Verfügbarkeit von Domains herausfinden. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen