Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Kapitel 11 Sicherheit <strong>für</strong> <strong>ESX</strong>-Systeme<br />
den Dienstleistern FTP-Zugriff auf Daten zu gewähren, die auf extern verfügbaren<br />
Servern gespeichert sind. Zusätzlich <strong>zur</strong> Verarbeitung der Daten <strong>für</strong> die<br />
virtuelle Maschine 1 verarbeitet das externe Netzwerk 1 auch Daten <strong>für</strong> FTP-<br />
Server auf anderen <strong>ESX</strong>-Hosts am Standort.<br />
Da sich die virtuelle Maschine 1 keinen virtuellen Switch oder physischen<br />
Netzwerkadapter mit anderen virtuellen Maschinen auf dem Host teilt, können<br />
die anderen virtuellen Maschinen auf dem Host keine Datenpakete in das<br />
Netzwerk der virtuellen Maschine 1 übertragen oder daraus empfangen. Dadurch<br />
werden Spionageangriffe verhindert, da dem Opfer da<strong>für</strong> Netzwerkdaten<br />
gesendet werden müssen. Außerdem kann der Angreifer dadurch die natürliche<br />
Anfälligkeit von FTP nicht zum Zugriff auf andere virtuelle Maschinen<br />
auf dem Host nutzen.<br />
Interne virtuelle Maschinen<br />
DMZ<br />
Die virtuellen Maschinen 2 bis 5 sind der internen Verwendung vorbehalten.<br />
Diese virtuellen Maschinen verarbeiten und speichern vertrauliche firmeninterne<br />
Daten wie medizinische Unterlagen, juristische Dokumente und Betrugsermittlungen.<br />
Daher müssen Systemadministratoren <strong>für</strong> diese virtuellen Maschinen<br />
den höchsten Schutz gewährleisten.<br />
Diese virtuellen Maschinen sind über ihren eigenen virtuellen Switch und<br />
physischen Netzwerkadapter an das Interne Netzwerk 2 angeschlossen. Das<br />
interne Netzwerk 2 ist der internen Nutzung durch Mitarbeiter wie Reklamationssachbearbeiter,<br />
firmeninterne Anwälte und andere Sachbearbeiter vorbehalten.<br />
Die virtuellen Maschinen 2 bis 5 können über den virtuellen Switch untereinander<br />
und über den physischen Netzwerkadapter mit internen Maschinen an<br />
anderen Stellen des internen Netzwerks 2 kommunizieren. Sie können nicht<br />
mit Computern oder virtuellen Maschinen kommunizieren, die Zugang zu den<br />
externen Netzwerken haben. Wie beim FTP-Server können diese virtuellen<br />
Maschinen keine Datenpakete an Netzwerke anderer virtueller Maschinen<br />
senden oder sie von diesen empfangen. Ebenso können die anderen virtuellen<br />
Maschinen keine Datenpakete an die virtuellen Maschinen 2 bis 5 senden oder<br />
von diesen empfangen.<br />
Die virtuellen Maschinen 6 bis 8 wurden als DMZ konfiguriert, die von der<br />
Marketingabteilung dazu verwendet wird, die externe Website des Unternehmens<br />
bereitzustellen.<br />
Diese Gruppe virtueller Maschinen ist dem externen Netzwerk 2 und dem internen<br />
Netzwerk 1 zugeordnet. Das Unternehmen nutzt das externe Netzwerk<br />
2 <strong>zur</strong> Unterstützung der Webserver, die von der Marketing- und der Finanzabteilung<br />
<strong>zur</strong> Bereitstellung der Unternehmenswebsite und anderer webbasierter<br />
Anwendungen <strong>für</strong> externe Nutzer verwendet werden. Das interne<br />
Netzwerk1 ist der Verbindungskanal, den die Marketingabteilung <strong>zur</strong> Veröffentlichung<br />
des Inhalts von der Unternehmenswebsite, <strong>zur</strong> Bereitstellung von<br />
Downloads und Diensten wie Benutzerforen verwendet.<br />
Da diese Netzwerke vom externen Netzwerk 1 und vom internen Netzwerk 2<br />
getrennt sind und die virtuellen Maschinen keine gemeinsamen Kontaktpunkte<br />
(Switches oder Adapter) aufweisen, besteht kein Angriffsrisiko <strong>für</strong> den FTP-<br />
Server oder die Gruppe interner virtueller Maschinen (weder als Ausgangspunkt<br />
noch als Ziel).<br />
Wenn die Isolierung der virtuellen Maschinen genau beachtet wird, die virtuellen Switches ordnungsgemäß<br />
konfiguriert werden und die Netzwerktrennung eingehalten wird, können alle drei Zonen der virtuellen Maschinen<br />
auf dem gleichen <strong>ESX</strong>-Host untergebracht werden, ohne dass Datenverluste oder Ressourcenmissbräuche<br />
be<strong>für</strong>chtet werden müssen.<br />
<strong>VMware</strong>, Inc. 165