Fachartikel

VMs sicher im Netzwerk betreiben (2)

Neben der Verwaltung der Benutzer und Berechtigungen in der vSphere-Umgebung – unser Workshop basiert auf vSphere 6.0 – sollten Sie sich auch die Sicherheitskonfiguration des vCenter ansehen. Hier sind häufig Anpassungen notwendig, damit das vCenter sicher betrieben werden kann. Dazu gehört die Firewall ebenso wie die zu nutzenden Zertifikate. Im zweiten Teil dreht sich alles um das Thema Firewall. Wir beschreiben, wie Sie die Firewall in vCenter nutzen und mit der ESXi-Shell anpassen.
Für ein gehärtetes vCenter kommen Sie nicht um eine Anpassung der Sicherheitskonfiguration umhin.
Firewall in vCenter nutzen
Ein wesentlicher Sicherheitsbaustein sind Firewalls. Damit lässt sich auch der Zugriff auf vCenter und die ESXi-Hosts sichern. Natürlich müssen Sie darauf achten, die Ports für vCenter und vSphere freizuschalten, damit vCenter-Server und die einzelnen Hosts kommunizieren können.

Sie finden die notwendigen Ports zum Beispiel, wenn Sie das Sicherheitsprofil über die Registerkarte "Konfiguration" in den Einstellungen eines Hosts aufrufen. Hierfür können Sie zum Beispiel den vSphere-Client nutzen.

Bild 3: Im vSphere-Client passen Sie die Firewall von vSphere-Hosts an.

vSphere verfügt über eine interne Firewall, die automatisch alle Ports außer den notwendigen blockiert. In der Tabelle "Freizuschaltende Ports" finden Sie alle Ports im Detail. Auf dem vCenter-Server müssen dabei die folgenden Verbindungen funktionieren:

  • zu den einzelnen vSphere-Hosts
  • zum Server mit der vCenter-Datenbank
  • zu anderen vCenter-Servern in der Infrastruktur
  • zu Clients, die mit dem Web-Client oder dem vSphere-Client zur Verwaltung auf den vCenter-Server zugreifen
  • zu Servern, die den vSphere Update Manager oder andere Serverdienste ausführen, die vom vCenter benötigt werden
  • Infrastrukturserver wie DNS, Active Directory, NTP


 
Binden Sie einen zusätzlichen VMware-Dienst an das vCenter an, wird die interne Firewall normalerweise automatisch konfiguriert. Greifen Linux-Clients zur Verwaltung auf den vCenter-Server zu, sollten Sie außerdem sicherstellen, dass Sie die genehmigten Clients einschränken. Linux-Clients validieren nämlich keine Zertifikate, weshalb die Sicherheit dieser Systemen eine besondere Rolle spielt.

Seite 1: Firewall in vCenter nutzen
Seite 2: Firewall mit ESXi-Shell anpassen


Seite 1 von 2 Nächste Seite >>
9.07.2018/dr/ln//Thomas Joos

Nachrichten

BSI gewinnt Kryptowettbewerb [14.11.2018]

Die jährlich stattfindende CHES ist mit über 400 Teilnehmern eine der größten internationalen Konferenzen im Bereich der kryptographischen Forschung. Ein Team des Bundesamts für Sicherheit in der Informationstechnik hat nun im Rahmen der Hardware-Sicherheitskonferenz an zwei Einzeldisziplinen des Kryptowettbewerbs 'CHES 2018 Challenge' zu AES-Implementierungen teilgenommen und beide mit Hilfe von Künstlicher Intelligenz gewonnen. [mehr]

TeamViewer integriert Augmented Reality [13.11.2018]

TeamViewer bringt TeamViewer 14 auf den Markt. Nach Abschluss der Preview-Phase ist die Finalversion von TeamViewers Flaggschifflösung nun für den Einsatz in Produktionsumgebungen freigegeben. Sie verspricht Augmented Reality sowie Verbesserungen in den Bereichen Leistung, Produktivität und Sicherheit. [mehr]

Tipps & Tools

Vorschau Dezember 2018: Datenspeicherung für KMUs [14.11.2018]

In der Dezember-Ausgabe beleuchtet IT-Administrator die Datenspeicherung in kleinen und mittleren Firmen. Darin zeigen wir unter anderem, welche neue Speichertechnologien für hybride Rechenzentren zur Verfügung stehen. Auch vergleichen wir Open-Source-Software für den Aufbau eines SAN und nehmen Stratis für das Storage-Management in Linux unter die Lupe. Natürlich darf auch die Cloud nicht fehlen und so lesen Sie, wie die Datenarchivierung mit der Google Cloud Platform Console funktioniert und was die neue Funktion Azure Files zu bieten hat. [mehr]

Vergebene Benutzernamen recherchieren [14.11.2018]

Immer wieder führt es bei Anwendern zu Frustration, wenn beim Anlegen eines neuen Internetkontos etwa bei sozialen Netzwerken oder einer E-Mail-Adresse der gewünschte Name bereits vergeben ist. Mit dem Onlinedienst 'namechk.com' können Sie jetzt vorher überprüfen, welche Aliase bereits vergeben sind. Zusätzlich kann das Portal für Sie auch die Verfügbarkeit von Domains herausfinden. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen