Handbuch zur Serverkonfiguration für ESX - VMware

Weitere Magazine

Empfehlungen

Info

Handbuch zur Serverkonfiguration für ESX Das Unternehmen erzwingt die Isolierung der virtuellen Maschinengruppen durch die Verwendung mehrerer interner und externer Netzwerke und die Sicherstellung, dass die virtuellen Switches und physischen Netzwerkadapter jeder Gruppe von denen anderer Gruppen vollständig getrennt sind. Da keiner der virtuellen Switches sich über mehrere Zonen erstreckt, wird das Risiko des Durchsickerns von Daten von einer Zone in eine andere ausgeschaltet. Ein virtueller Switch kann aufbaubedingt keine Datenpakete direkt an einen anderen virtuellen Switch weitergeben. Datenpakete können nur unter folgenden Umständen von einem virtuellen Switch zu einem anderen gelangen: • Wenn die virtuellen Switches an das gleiche physische LAN angeschlossen sind • Wenn die virtuellen Switches an eine gemeinsame virtuelle Maschine angeschlossen sind, die dann dazu verwendet werden kann, Datenpakete zu übertragen. In der Beispielkonfiguration wird keine dieser Bedingungen erfüllt. Wenn der Systemadministrator prüfen möchten, ob es einen gemeinsamen virtuellen Switch-Pfad gibt, kann dies über die Überprüfung möglicher gemeinsamer Kontaktpunkte im Netzwerkswitchplan im vSphere-Client oder über vSphere Web Access geschehen. Zum Schutz der Hardwareressourcen der virtuellen Maschinen kann der Systemadministrator eine Reservierung und Einschränkung der Ressourcen für jede virtuelle Maschine vornehmen, um das Risiko von DoS- und DDoS-Angriffen einzudämmen. Der Systemadministrator kann den ESX-Host und die virtuellen Maschinen außerdem durch die Installation von Softwarefirewalls im Front-End und Back-End der DMZ, durch Positionierung des Hosts hinter einer physischen Firewall und durch Anschluss der Servicekonsole und der an das Netzwerk angeschlossenen Speicherressourcen an jeweils einen eigenen virtuellen Switch schützen. Sicherheit und die Servicekonsole Die Servicekonsole von ESX ist eine eingeschränkte Linux-Distribution, die auf Red Hat Enterprise Linux 5 (RHEL5) basiert. Die Servicekonsole stellt eine Ausführungsumgebung für die Überwachung und Verwaltung des gesamten ESX-Hosts zur Verfügung. Wenn die Servicekonsole auf bestimmte Weise beeinträchtigt wird, ist auch die von ihr gesteuerte virtuelle Maschine gefährdet. Um das Risiko eines Angriffs über die Servicekonsole zu minimieren, wird die Servicekonsole von VMware durch eine Firewall geschützt. Neben der Implementierung der Firewall der Servicekonsole verringert VMware die Risiken für die Servicekonsole auf verschiedene Weise: • ESX führt nur Dienste aus, die zur Verwaltung seiner Funktionen unabdingbar sind. Die Servicekonsole beschränkt sich auf die Funktionen, die zum Betrieb von ESX notwendig sind. • Die Standardeinstellung für die Sicherheit von ESX wird bei der Installation auf „hoch“ gesetzt. Alle Ausgangsports werden geschlossen und die wenigen freigegebenen Eingangsports sind die Ports, die für die Kommunikation mit Clients wie dem vSphere-Client notwendig sind. Behalten Sie diese Sicherheitseinstellung bei, solange die Servicekonsole nicht an ein vertrauenswürdiges Netzwerk angeschlossen ist. • Standardmäßig sind alle Ports, die nicht spezifisch für den Verwaltungszugriff auf die Servicekonsole notwendig sind, geschlossen. Wenn Sie zusätzliche Dienste benötigen, müssen Sie die jeweiligen Ports öffnen. • Standardmäßig sind schwache Schlüssel deaktiviert und sämtliche Kommunikation der Clients wird durch SSL gesichert. Die genauen Algorithmen, die zum Sichern des Kanals verwendet werden, hängen vom SSL-Handshake ab. Auf ESX erstellte Standardzertifikate verwenden SHA-1 mit RSA-Verschlüsselung als den Signaturalgorithmus. • Der Webservice Tomcat, der intern von ESX zum Zugriff auf die Servicekonsole über Webclients wie vSphere Web Access verwendet wird, wurde so angepasst, dass er nur die für die Verwaltung und Überwachung über einen Webclient notwendigen Funktionen ausführt. Daher ist ESX nicht von den Sicherheitslücken betroffen, die für Tomcat in weiter gefassten Anwendungsbereichen gemeldet wurden. 166 VMware, Inc.
Kapitel 11 Sicherheit für ESX-Systeme • VMware überwacht alle Sicherheitswarnungen, die die Sicherheit der Servicekonsole beeinflussen können, und veröffentlicht ggf. Sicherheitspatches. Gleiches gilt auch für andere Sicherheitslücken, die ESX- Hosts gefährden könnten. VMware veröffentlicht Sicherheitspatches für RHEL 5 und höher, sobald sie zur Verfügung stehen. • Unsichere Dienste, wie z. B. FTP und Telnet sind nicht installiert, und die Ports für diese Dienste sind standardmäßig geschlossen. Da sicherere Dienste wie SSH und SFTP leicht verfügbar sind, sollten Sie stets auf einen Einsatz der unsicheren Dienste zugunsten der sichereren Alternativen verzichten. Wenn Sie die unsicheren Dienste verwenden müssen und für die Servicekonsole einen ausreichenden Schutz hergestellt haben, müssen Sie entsprechend deren Ports öffnen, um sie zu unterstützen. • Die Zahl der Anwendungen, die die Flags setuid oder setgid verwenden, wurde minimiert. Sie können alle setuid- oder setgid-Anwendungen deaktivieren, die für den Betrieb von ESX optional sind. Sie können zwar bestimmte Programme, die für RHEL 5 entwickelt wurden, in der Servicekonsole installieren und ausführen, dies wird jedoch nicht unterstützt, es sei denn, VMware führt dies ausdrücklich an. Wenn eine Sicherheitslücke in der unterstützten Konfiguration erkannt wird, informiert VMware alle Kunden mit geltenden Support- und Wartungsverträgen und stellt alle notwendigen Patches zur Verfügung. HINWEIS Befolgen Sie nur die VMware-Sicherheitswarnungen unter http://www.vmware.com/security/. Befolgen Sie keine von Red Hat ausgegebenen Sicherheitswarnungen. Sonstige Quellen und Informationen zur Sicherheit Weitere Informationen zur Sicherheit erhalten Sie auf der VMware-Website. Tabelle 11-1 enthält eine Auflistung der Sicherheitsthemen und den Ort der dazugehörigen zusätzlichen Informationen. Tabelle 11-1. Sicherheitsressourcen von VMware im Internet Thema Sicherheitsrichtlinien von VMware, aktuelle Sicherheitswarnungen, Sicherheitsdownloads und themenspezifische Abhandlungen zu Sicherheitslücken Richtlinie zur Sicherheitsantwort Richtlinie zur Unterstützung von Drittanbieter- Software Zertifizierung von VMware Produkten Allgemeine Informationen zu Virtualisierung und Sicherheit Ressource http://www.vmware.com/security/ http://www.vmware.com/support/policies/security_response.html VMware hat es sich zur Aufgabe gemacht, Sie bei der Absicherung Ihrer virtuellen Umgebung zu unterstützen. Sicherheitslücken werden so schnell wie möglich beseitigt. Die VMware-Richtlinie zur Sicherheitsantwort dokumentiert unseren Einsatz für die Behebung möglicher Schwachstellen in unseren Produkten. http://www.vmware.com/support/policies/ VMware unterstützt viele Speichersysteme und Software-Agenten wie Sicherungs-Agenten, Systemverwaltungs-Agenten usw. Ein Verzeichnis der Agenten, Werkzeuge und anderer Software, die ESX unterstützen, finden Sie, indem Sie http://www.vmware.com/vmtn/resources/ nach ESX-Kompatibilitätshandbüchern suchen. Die Branche bietet mehr Produkte und Konfigurationen an, als VMware testen kann. Wenn VMware ein Produkt oder eine Konfiguration nicht in einem Kompatibilitätshandbuch nennt, wird der technische Support versuchen, Ihnen bei Problemen zu helfen, kann jedoch nicht garantieren, dass das Produkt oder die Konfiguration verwendet werden kann. Testen Sie die Sicherheitsrisiken für nicht unterstützte Produkte oder Konfigurationen immer sorgfältig. http://www.vmware.com/security/certifications/ VMware Virtual Security Technical Resource Center http://www.vmware.com/go/security/ VMware, Inc. 167
Seite 1 und 2:
Handbuch zur Serverkonfiguration f
Seite 3 und 4:
Inhalt Über dieses Handbuch 7 1 Ei
Seite 5 und 6:
Inhalt Sonstige Quellen und Informa
Seite 7 und 8:
Über dieses Handbuch In diesem Han
Seite 9 und 10:
Einführung in die ESX-Konfiguratio
Seite 11 und 12:
Netzwerk VMware, Inc. 11
Seite 13 und 14:
Einführung in Netzwerke 2 Erläute
Seite 15 und 16:
Kapitel 2 Einführung in Netzwerke
Seite 17 und 18:
Einfache Netzwerke mit vNetwork- 3
Seite 19 und 20:
Kapitel 3 Einfache Netzwerke mit vN
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Einfache Netzwerke mit verteilten 4
Seite 31 und 32:
Kapitel 4 Einfache Netzwerke mit ve
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Erweiterte Netzwerkthemen 5 Die fol
Seite 51 und 52:
Kapitel 5 Erweiterte Netzwerkthemen
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Optimale Vorgehensweisen, Szenarien
Seite 79 und 80:
Kapitel 6 Optimale Vorgehensweisen,
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Speicher VMware, Inc. 87
Seite 89 und 90:
Einführung in die Speicherung 7 Di
Seite 91 und 92:
Kapitel 7 Einführung in die Speich
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Konfigurieren von ESX-Speicher 8 Di
Seite 105 und 106:
Kapitel 8 Konfigurieren von ESX-Spe
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116: Kapitel 8 Konfigurieren von ESX-Spe
Seite 127 und 128: Speicherverwaltung 9 Nachdem Sie Ih
Seite 129 und 130: Kapitel 9 Speicherverwaltung Unmoun
Seite 131 und 132: Kapitel 9 Speicherverwaltung 7 Gebe
Seite 133 und 134: Kapitel 9 Speicherverwaltung Neusig
Seite 135 und 136: Kapitel 9 Speicherverwaltung Abbild
Seite 137 und 138: Kapitel 9 Speicherverwaltung Multip
Seite 139 und 140: Kapitel 9 Speicherverwaltung Prüfe
Seite 141 und 142: Kapitel 9 Speicherverwaltung Anzeig
Seite 143 und 144: Kapitel 9 Speicherverwaltung Speich
Seite 145 und 146: Kapitel 9 Speicherverwaltung Info z
Seite 147 und 148: Kapitel 9 Speicherverwaltung 3 Klic
Seite 149 und 150: Raw-Gerätezuordnung 10 Die Raw-Ger
Seite 151 und 152: Kapitel 10 Raw-Gerätezuordnung Dat
Seite 153 und 154: Kapitel 10 Raw-Gerätezuordnung Raw
Seite 155 und 156: Kapitel 10 Raw-Gerätezuordnung Ver
Seite 157 und 158: Sicherheit VMware, Inc. 157
Seite 159 und 160: Sicherheit für ESX-Systeme 11 Bei
Seite 161 und 162: Kapitel 11 Sicherheit für ESX-Syst
Seite 163 und 164: Kapitel 11 Sicherheit für ESX-Syst
Seite 165: Kapitel 11 Sicherheit für ESX-Syst
Seite 169 und 170: Absichern einer ESX-Konfiguration 1
Seite 171 und 172: Kapitel 12 Absichern einer ESX-Konf
Seite 193 und 194: Authentifizierung und 13 Benutzerve
Seite 195 und 196: Kapitel 13 Authentifizierung und Be
Seite 213 und 214: Sicherheit der Servicekonsole 14 VM
Seite 215 und 216: Kapitel 14 Sicherheit der Serviceko
Seite 217 und 218:
Kapitel 14 Sicherheit der Serviceko
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
Best Practices und Szenarien für d
Seite 233 und 234:
Kapitel 15 Best Practices und Szena
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Hostprofile VMware, Inc. 243
Seite 245 und 246:
Verwalten von Hostprofilen 16 Die H
Seite 247 und 248:
Kapitel 16 Verwalten von Hostprofil
Seite 249 und 250:
Seite 251 und 252:
Seite 253 und 254:
Seite 255 und 256:
Seite 257 und 258:
Anhänge VMware, Inc. 257
Seite 259 und 260:
Befehle für den technischen Suppor
Seite 261 und 262:
Anhang A Befehle für den technisch
Seite 263 und 264:
Anhang A Befehle für den technisch
Seite 265 und 266:
Mit ESX verwendete Linux-Befehle B
Seite 267 und 268:
Verwenden von „vmkfstools“ C Si
Seite 269 und 270:
Anhang C Verwenden von „vmkfstool
Seite 271 und 272:
Seite 273 und 274:
Seite 275 und 276:
Seite 277 und 278:
Seite 279 und 280:
Index Symbole * neben dem Pfad 140
Seite 281 und 282:
Index virtuelle Maschinen 45 Zurüc
Seite 283 und 284:
Index Internetprotokoll 50 IP-Adres
Seite 285 und 286:
Index Switches benachrichtigen 53 T
Seite 287 und 288:
Index konfigurieren 229 Servicekons
Seite 289 und 290:
Index Entfernen von mit Nullen aufg
Alle anzeigen

Handbuch zur Serverkonfiguration für ESX - VMware

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?