Bundesamt für Sicherheit in der Informationstechnik

M 4.439 Virtuelle Sicherheitsgateways (Firewalls) in Clouds

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

In einer Cloud-Infrastruktur werden Cloud-Dienste betrieben, auf die Cloud-Benutzer zugreifen. Für jeden Cloud-Anwender entsteht dabei ein System aus den verschiedenen Cloud-Diensten, die er nutzt. Dieses System läuft auf einer oder mehreren virtuellen Maschinen. Es wird nachstehend als Anwendersystem bezeichnet.

Zum Schutz der Cloud-Lösungen sollten auf den virtuellen Maschinen Sicherheitsgateways (Firewalls) eingesetzt werden, um die Kommunikation zwischen Anwendersystemen und den Verwaltungsservern abzusichern. Zudem sollten, soweit technisch möglich, auch die einzelnen Mandanten voneinander getrennt und gegeneinander abgeschottet werden.

Es gibt unterschiedliche Umsetzungsmöglichkeiten, z. B. als Installation einer virtuellen Anwendung auf dem Host oder als Kernel-Modul der zentralen Komponente des Virtualisierungsservers (Hypervisor) für die virtuellen IT-Systeme. Die Sicherheitsgateways (Firewalls) steuern die IP -Dienste, die zwischen Anwender-, Verwaltungs- und externen Systemen genutzt werden können. Die Firewalls müssen dabei eine Segmentierung von Diensten durch die Einrichtung von Vertrauenszonen sicherstellen und hierbei so restriktiv wie möglich eingestellt werden. Den Anwendersystemen sollte kein Zugriff auf die Verwaltungsserver erlaubt werden. Dabei gilt der Grundsatz: Alles, was nicht ausdrücklich erlaubt ist, ist verboten.

Die eingesetzte Firewall-Lösung muss über Firewall-Richtlinien gewährleisten, dass der Netzverkehr zwischen den virtuellen Maschinen überwacht und gesteuert wird, insbesondere wenn diese auf einen anderen virtuellen Host umziehen oder wenn virtuelle Profile für neue Cloud-Mandanten vervielfacht werden. Die Filterregeln der Firewalls sollten nach der erstmaligen Konfiguration daraufhin getestet werden, ob die erlaubten Ereignisse zugelassen und unerlaubte Ereignisse unterbunden werden.

Die Kommunikation der virtuellen IT-Systeme mit anderen virtuellen oder physischen IT-Systemen sollte detailliert geplant werden. Hierbei müssen bestehende Sicherheitsrichtlinien beachtet werden. Im Netz existierende Sicherheitsgateways oder Monitoring-Systeme dürfen nicht mit den Mitteln der Virtualisierung umgangen werden können. Dies betrifft insbesondere Virtualisierungsprodukte, bei denen der Netzverkehr zwischen virtualisierten IT-Systemen nicht zwingend über physische Netze geführt wird.

Müssen virtuelle IT-Systeme mit mehreren Netzen verbunden werden, muss geeignet sichergestellt werden, dass über diese keine unerwünschten Netzverbindungen aufgebaut werden können. Es dürfen insbesondere keine Verbindungen zwischen Verwaltungsnetzen der Virtualisierungsserver und den Netzen der produktiven virtuellen IT-Systeme ermöglicht werden, um einer Kompromittierung der Virtualisierungsserver vorzubeugen. Dieses muss entweder durch eine physische oder durch eine logische Trennung ( z. B. über VLAN s) sichergestellt werden.

Prüffragen:

  • Sind die Verwaltungsnetze der Virtualisierungsserver durch Firewall-Richtlinien von den Produktivnetzen mit den Anwendersystemen getrennt?

  • Sind die Systeme der verschiedenen Cloud-Mandanten durch Firewall-Richtlinien voneinander getrennt?

Stand: 14. EL Stand 2014