von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Gängige Konfigurationsfehler in Hyper-V vermeiden
Die Sicherung von Speichergeräten auf denen die Ressourcendateien der virtuellen Maschinen liegen, das Härtens des Host-Betriebssystems, die Vergabe restriktiver Berechtigungen und nur bekannte VHDs einzubinden, sind weitere Maßnahmen zur Absicherung von Hyper-V-Umgebungen.
Neben dem Host-OS gilt es darüber hinaus, die Gastbetriebssysteme umfassend zu schützen. Dies lässt sich unter anderem durch das Erzeugen von zwei virtuellen Maschinen für jedes unterstützte Guest-OS und den Einsatz der Funktion Secure Boot (sicherer Gerätestart) für Betriebssysteme erreichen, die in Gen-2-VMs laufen. Das kontinuierliche Einspielen von Patches ist ebenfalls ein Muss. Dazu gehört unter anderem:
Regel 4: Antiviren-Software richtig konfigurieren
Die Ausführung von Antiviren-Programmen in virtuellen Infrastrukturen ist eine klassische Catch-22-Situation. Einerseits kann ihr Einsatz die Performance beeinträchtigen. Andererseits lässt sich nicht darauf verzichten, die Schutz vor Malware bietende Software auf Hosts und VMs laufen zu lassen. Das A und O ist es also, die richtigen Einstellungen vorzunehmen.
Einerseits müssen Antivirenscans so geplant werden, dass diese nicht auf allen Maschinen am gleichen Tag und zur selben Zeit initiiert werden und dadurch Lastspitzen hervorrufen. Denn ist das Aufkommen an Anfragen zu hoch, kann dies die Leistung des Speichers kurzzeitig in die Knie zwingen. Die spürbare Folge ist, dass die virtuellen Maschinen deutlich langsamer arbeiten, sich Antwortzeiten bei Datenzugriffen verzögern oder im schlimmsten Fall Pakete verloren gehen.
Neben zeitversetzen Scanvorgängen zur Vermeidung von Antiviren-I/O-Storms ist die Definition von Ausnahmen – also welche Verzeichnisse, Dateien oder Dateitypen von Überprüfungen ausgeschlossen werden sollen – ein wichtiges Instrument. Dies erledigen Sie entweder über die von den meisten Anbietern bereitgestellten oder aber selbst definierten Ausschlusslisten. So lässt sich VM-Korruptionen oder anderen Problemen entgegenwirken, die sich auf sich auf die Leistung und Zuverlässigkeit des Hosts oder der virtuellen Maschinen auswirken könnten.
Bei Windows Server 2016 ist der Virenschutz standardmäßig aktiviert. Wird Windows Defender Antivirus genutzt, sind Administratoren gemäß ihrer Windows-Serverrolle automatisch für bestimmte Ausschlüsse registriert. Die von Microsoft festgelegten Ausnahmen sind für das Betriebssystem optimiert und werden fortlaufend aktualisiert. Zusätzlich lassen sich weiterhin eigene Ausschlusslisten erstellen. Dies ist dann von Vorteil, wenn Sie gemischte Umgebungen mit Windows 2012 RS und Windows 2016 betreiben.
Regel 5: Die richtige Checkpoint-Variante nutzen
Mit Hyper-V lassen sich virtuelle Maschinen seit jeher vom Host-Betriebssystem aus sichern. Auf welchem Weg konsistente Backup der VMs erstellt werden, hängt davon ab, ob die Hyper-V-Integrationsdienste im Gastbetriebssystem installiert sind oder nicht. Ist dies der Fall, lassen sich datenkonsistente Sicherungen der laufenden VMs entweder mittels VSS (Windows) oder Freeze (Linux) erstellen. Ansonsten musste die virtuelle Maschine in der Vergangenheit erst in den Ruhemodus versetzt werden. Das hat sich zwischenzeitlich geändert. Nunmehr wird ein Snapshot – in der Microsoft-Terminologie Checkpoint oder Prüfpunkt – erstellt, gesichert und danach gelöscht. Dadurch lassen sich nun Backups durchführen, ohne dass der laufende Betrieb von VMs dafür unterbrochen werden muss.
Den Standard Checkpoint, mit dem der Zustand von Daten und die Hardwarekonfiguration einer laufenden VM erfasst, ergänzte Microsoft in Windows Server 2016 um eine weitere Variante, den Production Checkpoint (Produktionsprüfpunkt). Dieser nutzt den Volume Shadow Copy Service zur Erstellung eines nativen Backups einer VM. Die Momentaufnahme bildet den Zustand konsistent ab und bietet Workload-unabhängigen Schutz, da anstelle des Saved-Modus nun die im Gast-OS integrierte Backup-Technik VSS für die Erzeugung zum Einsatz kommt. Die Auswahl der passenden Checkpoint-Optionen ist wichtig, damit keine unerwünschten Folgen für die Umgebung auftreten.
Fazit
Von der Hyper-V-Aktivierung auf einem physischen System bis hin zur Einrichtung und Ausführung virtueller Maschinen bedarf es nur weniger Schritte. Allerdings gibt es einige Fallstricke, die später ins Gewicht fallen können, speziell dann, wenn die Virtualisierungsplattform auf produktiven Systemen genutzt wird. Mit der Einhaltung der oben beschriebenen Regeln dürften Sie den gängigsten Fehlern jedoch aus dem Weg gehen.
Seite 1: Gruppenrichtlinien anwenden, Absicherungsmaßnahmen treffen
Seite 2: Antiviren-Software richtig konfigurieren
ln/Jörn Koch, Channel Sales Manager Central Europe bei Altaro
Neben dem Host-OS gilt es darüber hinaus, die Gastbetriebssysteme umfassend zu schützen. Dies lässt sich unter anderem durch das Erzeugen von zwei virtuellen Maschinen für jedes unterstützte Guest-OS und den Einsatz der Funktion Secure Boot (sicherer Gerätestart) für Betriebssysteme erreichen, die in Gen-2-VMs laufen. Das kontinuierliche Einspielen von Patches ist ebenfalls ein Muss. Dazu gehört unter anderem:
- Sicherheitsupdates zu installieren, bevor eine virtuelle Maschine in den produktiven Betrieb überführt wird und
- die von den Gastbetriebssystemen benötigten Integrationsservices aufzuspielen und regelmäßig zu aktualisieren.
Regel 4: Antiviren-Software richtig konfigurieren
Die Ausführung von Antiviren-Programmen in virtuellen Infrastrukturen ist eine klassische Catch-22-Situation. Einerseits kann ihr Einsatz die Performance beeinträchtigen. Andererseits lässt sich nicht darauf verzichten, die Schutz vor Malware bietende Software auf Hosts und VMs laufen zu lassen. Das A und O ist es also, die richtigen Einstellungen vorzunehmen.
Einerseits müssen Antivirenscans so geplant werden, dass diese nicht auf allen Maschinen am gleichen Tag und zur selben Zeit initiiert werden und dadurch Lastspitzen hervorrufen. Denn ist das Aufkommen an Anfragen zu hoch, kann dies die Leistung des Speichers kurzzeitig in die Knie zwingen. Die spürbare Folge ist, dass die virtuellen Maschinen deutlich langsamer arbeiten, sich Antwortzeiten bei Datenzugriffen verzögern oder im schlimmsten Fall Pakete verloren gehen.
Neben zeitversetzen Scanvorgängen zur Vermeidung von Antiviren-I/O-Storms ist die Definition von Ausnahmen – also welche Verzeichnisse, Dateien oder Dateitypen von Überprüfungen ausgeschlossen werden sollen – ein wichtiges Instrument. Dies erledigen Sie entweder über die von den meisten Anbietern bereitgestellten oder aber selbst definierten Ausschlusslisten. So lässt sich VM-Korruptionen oder anderen Problemen entgegenwirken, die sich auf sich auf die Leistung und Zuverlässigkeit des Hosts oder der virtuellen Maschinen auswirken könnten.
Bei Windows Server 2016 ist der Virenschutz standardmäßig aktiviert. Wird Windows Defender Antivirus genutzt, sind Administratoren gemäß ihrer Windows-Serverrolle automatisch für bestimmte Ausschlüsse registriert. Die von Microsoft festgelegten Ausnahmen sind für das Betriebssystem optimiert und werden fortlaufend aktualisiert. Zusätzlich lassen sich weiterhin eigene Ausschlusslisten erstellen. Dies ist dann von Vorteil, wenn Sie gemischte Umgebungen mit Windows 2012 RS und Windows 2016 betreiben.
Regel 5: Die richtige Checkpoint-Variante nutzen
Mit Hyper-V lassen sich virtuelle Maschinen seit jeher vom Host-Betriebssystem aus sichern. Auf welchem Weg konsistente Backup der VMs erstellt werden, hängt davon ab, ob die Hyper-V-Integrationsdienste im Gastbetriebssystem installiert sind oder nicht. Ist dies der Fall, lassen sich datenkonsistente Sicherungen der laufenden VMs entweder mittels VSS (Windows) oder Freeze (Linux) erstellen. Ansonsten musste die virtuelle Maschine in der Vergangenheit erst in den Ruhemodus versetzt werden. Das hat sich zwischenzeitlich geändert. Nunmehr wird ein Snapshot – in der Microsoft-Terminologie Checkpoint oder Prüfpunkt – erstellt, gesichert und danach gelöscht. Dadurch lassen sich nun Backups durchführen, ohne dass der laufende Betrieb von VMs dafür unterbrochen werden muss.
Den Standard Checkpoint, mit dem der Zustand von Daten und die Hardwarekonfiguration einer laufenden VM erfasst, ergänzte Microsoft in Windows Server 2016 um eine weitere Variante, den Production Checkpoint (Produktionsprüfpunkt). Dieser nutzt den Volume Shadow Copy Service zur Erstellung eines nativen Backups einer VM. Die Momentaufnahme bildet den Zustand konsistent ab und bietet Workload-unabhängigen Schutz, da anstelle des Saved-Modus nun die im Gast-OS integrierte Backup-Technik VSS für die Erzeugung zum Einsatz kommt. Die Auswahl der passenden Checkpoint-Optionen ist wichtig, damit keine unerwünschten Folgen für die Umgebung auftreten.
Fazit
Von der Hyper-V-Aktivierung auf einem physischen System bis hin zur Einrichtung und Ausführung virtueller Maschinen bedarf es nur weniger Schritte. Allerdings gibt es einige Fallstricke, die später ins Gewicht fallen können, speziell dann, wenn die Virtualisierungsplattform auf produktiven Systemen genutzt wird. Mit der Einhaltung der oben beschriebenen Regeln dürften Sie den gängigsten Fehlern jedoch aus dem Weg gehen.
Seite 1: Gruppenrichtlinien anwenden, Absicherungsmaßnahmen treffen
Seite 2: Antiviren-Software richtig konfigurieren
| << Vorherige Seite | Seite 2 von 2 |
ln/Jörn Koch, Channel Sales Manager Central Europe bei Altaro
