Für den Schutz einer Umgebung, in der VMware vSphere ausgeführt wird, genügt es nicht, bei der Installation einfach die Standardeinstellungen und -richtlinien zu übernehmen. Zwar bieten die Standardeinstellungen ein gewisses Maß an Schutz, doch gibt es zahlreiche Methoden, wie diese weiter verbessert werden können. Indem Sie die Best Practices für die Sicherheit von VMware befolgen, können Sie Ihre VMware-Infrastruktur vor Cybersicherheitsbedrohungen wie böswilligen Angriffen und Fehlern durch Fahrlässigkeit schützen.
In diesem Artikel wird erläutert, wie Sie Risiken für die Sicherheit Ihres Unternehmens mindern, indem Sie Ihren VMware vCenter-Server und Ihren ESXi-Hypervisor ordnungsgemäß schützen. Es werden außerdem wichtige Best Practices für eine sichere Bereitstellung, einen sicheren Betrieb und sichere Netzwerke vorgestellt.
Sicherheit von VMware vCenter Server
VMware vCenter Server ist die Steuerzentrale Ihrer vSphere-Umgebung. Unabhängig davon, ob Sie die Software unter Windows oder Linux installieren, können Sie mit den folgenden Best Practices die Sicherheit verbessern:
- Um die Sicherheit Ihrer VMware-Umgebung zu gewährleisten, sollten Ihre vCenter Server-Systeme statische IP-Adressen und Hostnamen verwenden. Jede IP-Adresse muss über eine gültige interne DNS-Registrierung einschließlich Reverse-Namensauflösung verfügen.
- Das Kennwort für das Konto vpxuser wird standardmäßig nach 30 Tagen zurückgesetzt. Ändern Sie diese Einstellung gegebenenfalls, um sie an Ihre Sicherheitsrichtlinien anzupassen.
- Wenn Sie vCenter Server unter Windows ausführen, müssen die Host-Konfigurationseinstellungen des Remote-Desktops eine bestmögliche Verschlüsselung gewährleisten.
- Stellen Sie sicher, dass das Betriebssystem auf dem neuesten Stand ist und alle aktuellen Sicherheits-Patches installiert sind.
- Installieren Sie ein Virenschutzprogramm und aktualisieren Sie die Datenbanken regelmäßig.
- Konfigurieren Sie die Zeitquelle so, dass sie mit einem Zeitserver oder einem Zeitserver-Pool synchronisiert wird, damit Zertifikate richtig überprüft werden.
- Ermöglichen Sie es den Benutzern nicht, sich direkt auf dem vCenter Server-Hostsystem anzumelden.
Sicherheit des VMware ESXi-Hypervisors
Implementieren Sie für den Schutz Ihres ESXi-Hypervisors die folgenden Best Practices:
- Fügen Sie die einzelnen ESXi-Hosts zur Microsoft Active Directory-Domäne hinzu, damit Sie sich über die entsprechenden AD-Konten anmelden und die Einstellungen des jeweiligen Hosts verwalten können.
- Konfigurieren Sie alle ESXi-Hosts so, dass sie mit den zentralen NTP-Servern synchronisiert werden.
- Aktivieren Sie den Sperrmodus auf allen ESXi-Hosts. Auf diese Weise können Sie festlegen, ob die direkte Konsole (Direct Console User Interface, DCUI) aktiviert werden soll und ob sich Benutzer direkt auf dem Host oder nur über vCenter Server anmelden können.
- Konfigurieren Sie die Remote-Protokollierung für Ihre ESXi-Hosts, um ESXi-Protokolle zentral speichern und langfristig aufbewahren zu können.
- Installieren Sie regelmäßig die aktuellen Patches für Ihre ESXi-Hosts, um Sicherheitsrisiken zu vermeiden. Angreifer versuchen oft, sich über bekannte Schwachstellen Zugriff auf einen ESXi-Host zu verschaffen.
- Lassen Sie Secure Shell (SSH) deaktiviert (dies ist die Standardeinstellung).
- Legen Sie fest, wie viele erfolglose Anmeldeversuche unternommen werden können, bevor das Konto gesperrt wird.
- ESXi-Version 6.5 und höher unterstützt UEFI Secure Boot auf jeder Ebene des Boot-Stacks. Mit dieser Funktion können Sie sich vor schädlichen Konfigurationsänderungen im Bootloader des Betriebssystems schützen.
Sichere Bereitstellung und Verwaltung
Hier sind die wichtigsten Best Practices für die sichere Bereitstellung und Verwaltung einer VMware vSphere-Umgebung:
- Installieren Sie stets alle Sicherheits-Patches für das Gastbetriebssystem, damit Ihre Vorlagen für virtuelle Maschinen auf dem neuesten Stand sind.
- Stellen Sie neue VMs ausschließlich über Ihre VM-Vorlagen bereit. So sorgen Sie dafür, dass das Basisbetriebssystem über ausreichende Sicherheitseinstellungen verfügt, bevor Anwendungen installiert werden, und dass für alle VMs dieselben Sicherheitsgrundeinstellungen verwendet werden.
- Schränken Sie die Verwendung der Konsole der virtuellen Maschine so weit wie möglich ein, da sie Benutzern Zugriff auf Funktionen für die Energieverwaltung und den Anschluss von Wechseldatenträgern gewährt.
- Deaktivieren Sie nicht benötigte Funktionen auf allen VMs, z. B. auch Systemkomponenten, die für die ausgeführte Anwendung nicht erforderlich sind. Sie können auch CD-, DVD- und Diskettenlaufwerke sowie USB-Adapter deaktivieren.
- Schränken Sie den Browserzugriff auf den Datenspeicher ein, um Risiken für die gespeicherten Virtualisierungsdateien einzudämmen.
- Deaktivieren Sie das Befehlszeilen-Fenster, damit Benutzer keine Befehle auf einer VM ausführen können.
- Installieren Sie ein Virenschutzprogramm, konfigurieren Sie den bestmöglichen Schutz und aktualisieren Sie die Software regelmäßig.
Sicherer Betrieb
Mit folgenden Best Practices können Sie einen sicheren Betrieb gewährleisten:
- VMware vSphere verwaltet Berechtigungen mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). Sie können auf dem vCenter Server-System ganz einfach Rollen erstellen, klonen und ändern, um das Prinzip der geringsten Rechte umzusetzen.
- Integrieren Sie vCenter in Microsoft Active Directory. Dies ist nicht nur für vCenter unter Windows möglich, sondern auch für eine vCenter Server-Appliance (VCSA) unter Linux PhotonOS. Durch diese Integration können Ihre Microsoft AD-Benutzer über AD in vSphere authentifiziert werden, während vSphere-Administratoren zugleich über eine gemeinsame Identitätsquelle Zugriff auf vSphere-Objekte gewähren können.
- Erstellen Sie ein benanntes Konto für jeden Benutzer mit der vCenter Server-Administratorrolle. Weisen Sie diese Rolle ausschließlich Administratoren zu, die die Rolle tatsächlich für ihre Aufgaben benötigen. Andere Benutzer sollten lediglich Zugriff auf die VMs und Ressourcen haben, die sie für ihre Arbeit benötigen.
- Ressourcenberechtigungen steuern die Erstellung und Verwaltung von Ressourcenpools. Sie können Berechtigungen auf verschiedenen Ebenen festlegen (z. B. auf Ordnerebene) und die Weitergabe dieser Berechtigungen innerhalb des Objekts ermöglichen.
- Überwachen Sie den Netzwerkdatenverkehr, Firewall-Aktivitäten und andere kritische Ereignisse. vSphere ermöglicht die Anzeige des grundlegenden Änderungsprotokolls; über die Registerkarte „Aufgaben und Ereignisse“ im vSphere Client können Sie beispielsweise alle Änderungen an einem bestimmten Objekt in Ihrer vSphere-Hierarchie während eines bestimmten Zeitraums überprüfen. Sicherheitslösungen von Drittanbietern stellen jedoch zusätzliche Funktionen bereit, etwa benutzerdefinierte Warnmeldungen zu kritischen Änderungen wie der Löschung von VMs oder Änderungen an Ressourcenpools. Sie können damit außerdem übersichtliche Berichte zu Änderungen und Anmeldeaktivitäten erstellen, die eine einfachere Überwachung Ihrer virtuellen Umgebung und die Vorbereitung auf Compliance-Prüfungen ermöglichen.
Sichere Netzwerke
Die virtuelle Netzwerkebene von VMware vSphere beinhaltet verschiedene Elemente, z. B. einen virtuellen Netzwerkadapter, virtuelle Switches (vSwitches), verteilte virtuelle Switches (DVSs), Ports und Port-Gruppen. Der ESXi-Hypervisor nutzt diese Elemente für die externe Kommunikation. Mit den folgenden Best Practices können Sie die Sicherheit des Netzwerks verbessern:
- Isolieren Sie den Netzwerkdatenverkehr abhängig von der Art des Verkehrs. Für diesen Zweck können Sie virtuelle LANs (VLANS) verwenden.
- Schützen Sie den virtuellen Speichernetzwerkdatenverkehr:
- Isolieren Sie den Speicherdatenverkehr in separaten physischen und logischen Netzwerken.
- Verwenden Sie die CHAP-Authentifizierung in iSCSI-Umgebungen.
- Verwenden Sie nach Möglichkeit die Richtlinie für Internet-Protokollsicherheit (IP Sec). Dieser Schutzmechanismus für das Netzwerk ermöglicht die Authentifizierung und Verschlüsselung von Datenpaketen, die über ein Netzwerk übertragen werden.
- Nutzen Sie Firewalls, um die einzelnen Elemente des virtuellen Netzwerks zu schützen und den VM-Netzwerkdatenverkehr zu filtern. Nehmen Sie keine Änderungen an der Standardkonfiguration der ESXi-Firewall vor.
Fazit
Der zuverlässige Schutz Ihrer virtualisierten Umgebung ist kein leichtes Unterfangen. Mit den in diesem Artikel beschriebenen Best Practices für das Design, die Konfiguration und die Überwachung Ihrer Umgebung können Sie jedoch Risiken gezielt eindämmen und die Einhaltung von gesetzlichen Vorschriften sicherstellen.