Seit VMware den vCenter-Server ausschließlich als virtuelle Appliance ausliefert, ist der Aufwand der Härtung eines vCenters deutlich gesunken. Das PhotonOS-Betriebssystem der Appliance enthält nur die für den Betrieb der VMware-Produkte erforderlichen Komponenten und viele Konfigurationen sind bereits auf Sicherheit optimiert. Dennoch können Sie einiges dazu beitragen, Ihr vCenter und damit die gesamte vSphere-Plattform noch sicherer zu gestalten.

vCenter härten

Tauschen Sie das durch die interne CA des vCenters signierte SSL-Zertifikat des Webclients gegen ein aus Ihrer Unternehmens-PKI ausgestelltes Zertifikat aus. Es wird zwar nicht per se sicherer sein als das werksseitige Zertifikat, aber Ihre Umgebung vertraut dem Zertifikat, sodass die Administratoren nicht gezwungen sind, bewusst Warnungen des Browsers zu ignorieren. Beachten Sie dabei, dass nur der Webclient der vCenter-Appliance mit dem neuen Zertifikat ausgestattet sein wird.

Host-Clients der ESXi-Hosts und andere Komponenten präsentieren weiterhin Zertifikate, die durch die vCenter-CA signiert sind. Das Dienstprogramm "certificate-manager" bietet die Möglichkeit, die vCenter-CA der Unternehmens-PKI unterzuordnen, und einige Organisationen haben Richtlinien in puncto PKI, die genau das vorschreiben. Aus Betriebssicht ist diese Vorgehensweise jedoch nicht zu empfehlen, da sie viele Abhängigkeiten beinhaltet und bereits implementierte Drittanbieter-Integrationen empfindlich stören könnte. Sorgen Sie auch bei der vCenter-Appliance für eine genaue Uhrzeit. Hier gilt, wie auch bei ESXi-Hosts, das Prinzip: Ein NTP-Server ist besser als zwei, aber drei sind noch besser.

Sehr wichtig sowohl für die Daten- als auch für die Betriebssicherheit Ihrer vSphere-Plattform ist die dateibasierte Sicherung der vCenter-Konfiguration, die Sie möglichst frühzeitig einrichten sollten. Dies erfolgt in der Verwaltungsoberfläche der Appliance, die Sie wie den Webclient mit Ihrem Browser, jedoch auf dem Port 5480 aufrufen. Sie können zwischen SMB, NFS, FTP, FTPS, SFTP, HTTP und HTTPS wählen. Entscheiden Sie sich nach Möglichkeit für ein verschlüsseltes Protokoll wie SFTP, um die Vertraulichkeit der Daten sicherzustellen.

Idealerweise sollten Sie die Backups nicht durch die Appliance, sondern mit anderen Mitteln löschen lassen. Das erlaubt Ihnen, ein Konto für die Sicherung zu verwenden, das Dateien im Sicherungsziel zwar erstellen, aber weder verändern noch löschen kann. So kann ein Angreifer die Konfigurationssicherungen selbst dann nicht zerstören, wenn er die vCenter-Appliance übernommen oder das Sicherungskonto gekapert hat. Delegieren Sie Berechtigungen in Ihrem vCenter stets nach dem "Least Privilege"-Prinzip.

VM-Sicherheit als letzte Hürde

Die letzte Bastion der Plattformhärtung soll virtuelle Maschinen schützen, wenn die darunterliegende vSphere-Infrastruktur bereits teilweise gefallen ist. Dies erreichen Sie mittels "VM Encryption". Und natürlich müssen Betriebssysteme und Anwendungen innerhalb der VMs nach allen Regeln der Kunst gehärtet und von der Virtualisierungsplattform so gut wie möglich abgeschirmt sein.

Als Teil Ihrer Sicherheitsstrategie sollten Sie die Richtlinientreue Ihrer vSphere-Plattform ständig überwachen. Viele Parameter lassen sich per API beziehungsweise PowerCLI abfragen, sodass Sie sie in Ihr Umgebungsmonitoring aufnehmen können. Zwar bieten Host-Profile und deren Weiterentwicklung in vSphere 8 (Configuration Profiles) eine automatische Alarmierung bei Profilabweichungen, jedoch könnte sich ein Angreifer genügend Rechte im vCenter erschleichen, um die Configuration Profiles zu editieren und so Ihre eigene Compliance-Waffe gegen Sie zu richten. Eine regelmäßige externe Überprüfung ist daher unerlässlich.

Viele der von VMware empfohlenen sicheren Konfigurationen werden von den offiziellen VMware-Werkzeugen für einen Health Check (Skyline Health, Skyline Health Diagnostics oder VMware Health Analyzer) überprüft. Gerade die Offline-Tools hängen oft dem Release-Zyklus von vSphere etwas hinterher, sodass Sie sich vor dem Einsatz vergewissern sollten, dass die bei Ihnen verwendete vSphere-Version unterstützt wird.

In jedem Fall sollten Sie das gewählte Health-Check-Tool regelmäßig auf Updates prüfen. Beachten Sie auch, dass der Einsatz des VMware Health Analyzer (vHA) autorisierten VMware-Partnern vorbehalten ist. Skyline Health Diagnostics (SHD) kann hingegen aus dem Customer Connect heruntergeladen und direkt durch Endkunden verwendet werden. Skyline Health ist ein in den Webclient integrierter Clouddienst.

Fazit

Virtuelle Umgebungen sind genauso Angriffen ausgesetzt wie physische. VMware vSphere bietet dabei durch die Komplexität der Gesamtlösung eine Fülle an möglichen Angriffsvektoren. Für die meisten davon existieren glücklicherweise bereits sichere Konfigurationen, die von VMware dokumentiert und mittels herstellereigener Werkzeuge überprüfbar sind. Doch auch die allgemeine IT-Hygiene sowie ein sicheres Systemdesign tragen zur Plattformsicherheit und damit auch zum Schutz virtualisierter Workloads bei. (dr/ln)

Im ersten Teil unseres Workshops haben wir uns damit beschäftigt, wie Sie in vSphere-Szenarien für physische Sicherheit sorgen und warum das Powermanagement über IPMI als unsicher einzustufen ist. Im zweiten Teil ging es darum, wie Sie den Virtualisierungshost lückenlos abdichten, warum NTP als Zeitquelle robuster ist als PTP und wie Sie schon auf Netzwerkebene für Schutz sorgen.

Über den Autor: Evgenij Smirnov ist Senior Solutions Architect bei Semperis und Microsoft-MVP für Cloud & Datacenter Management sowie VMware Certified Implementation Expert für Datacenter-Virtualisierung.