Bundesamt für Sicherheit in der Informationstechnik

M 5.154 Sichere Konfiguration eines Netzes für virtuelle Infrastrukturen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Virtualisierungsserver benötigen eine Vielzahl von Kommunikationsbeziehungen. Dies sind einerseits Verbindungen zu Verwaltungsnetzen und bei Bedarf Verbindungen zu Speichernetzen, um entsprechende Ressourcen des Rechenzentrums nutzen zu können. Andererseits stellen sie für die virtuellen IT-Systeme die jeweiligen Netzverbindungen zur Verfügung.

Hierbei kommen bei den verschiedenen Virtualisierungsprodukten unterschiedliche Techniken zum Einsatz. Bei einigen Virtualisierungsprodukten werden den einzelnen virtuellen IT-Systemen jeweils eigene Netzwerkkarten zugeordnet, die direkt mit den zu nutzenden Netzen verbunden sind. Dies können virtuelle oder physische Netzwerkkarten sein.

Bei anderen Virtualisierungsprodukten werden vollständige Netzinfrastrukturen innerhalb des Virtualisierungsservers abgebildet. Hierfür werden virtuelle Switches erzeugt, die zum einen für die virtuellen IT-Systeme die notwendigen Netzverbindungen bereitstellen und zum anderen den Übergang des virtuellen Netzes in das physische Netz steuern. Dabei ist es auch möglich, rein virtuelle Netze zu erzeugen, die keinen Übergang in das physische Netz besitzen.

Einige der Virtualisierungslösungen unterstützen ebenfalls die Möglichkeit, neben einer physischen eine logische Segmentierung, wie mit einem VLAN (Virtual Local Area Network), zu etablieren.

Weiterhin ist die Art und Weise, wie die Kommunikation zwischen virtuellen IT-Systemen untereinander realisiert wird, höchst unterschiedlich. Teilweise wird die Kommunikation zwischen virtuellen IT-Systemen in unterschiedlichen Netzen auf dem gleichen Virtualisierungsserver durch das physische Netz geleitet (Beispiel: Citrix XenServer, Sun VirtualBox oder VMware ESX), teilweise wird diese Kommunikation immer innerhalb der Virtualisierungsschicht durch geleitet, so dass keine Routinginstanz außerhalb der Virtualisierungsschicht an der Kommunikation beteiligt ist (Sun Solaris Containers).

Für eine sichere Konfiguration der Netze der Virtualisierungsserver sind mehrere Aspekte zu betrachten:

  • Die Verwaltungsschnittstellen der Virtualisierungsserver sollten in einem eigenen Netz angeschlossen werden. Dieses ist physisch oder logisch von dem Netz zu trennen, in dem die virtuellen IT-Systeme betrieben werden. Eine logische Netztrennung ausschließlich mittels VLAN ohne darüber hinaus gehende Maßnahmen reicht an dieser Stelle nicht aus, da die Virtualisierungsserver über die Verwaltungsschnittstellen schützenswerte Informationen austauschen.
  • Eine Authentisierung muss für alle Benutzer der Verwaltungsschnittstellen erzwungen werden, anonyme Zugriffe dürfen nicht erlaubt werden. Die Übertragung der Authentisierungsdaten sollte außerdem verschlüsselt erfolgen. Des Weiteren sollten die Verwaltungsschnittstellen durch lokale Paketfilter auf dem Virtualisierungsserver selbst geschützt werden.
  • In für den Speichernetzzugriff genutzten Netzen kann auf die Targets (=Festplatte) und Initiatoren (=Server) zugegriffen werden. Hierdurch können den Virtualisierungsservern oder den virtuellen IT-Systemen gefälschte Initiatoren oder Targets präsentiert werden. Daher ist der Zugriff auf Ressourcen der Speichernetze über ein geeignetes Authentisierungsverfahren zu sichern. Die hierfür verwendeten Netze müssen ebenfalls von den Netzen der virtuellen IT-Systeme separiert werden. Siehe hierzu auch M 5.130 Absicherung des SANs durch Segmentierung .
  • Werden in einer virtualisierten Infrastruktur Funktionen wie die Migration zur Laufzeit (VMotion, XENmotion, Live Migration) genutzt, erfolgt der Transport der Laufzeitumgebung der virtuellen IT-Systeme über das Netz von einem Virtualisierungsserver zum anderen. Hierbei werden alle in dem IT-System verarbeiteten Daten über das Netz übertragen. Diese Daten sind möglicherweise hoch schutzbedürftig. Aus diesem Grunde sollte das für diesen Zweck verwendete Netz ebenfalls separiert werden.
  • Die Kommunikation der virtuellen IT-Systeme mit anderen virtuellen oder physischen IT-Systemen sollte detailliert geplant werden. Hierbei ist sicherzustellen, dass bestehende Sicherheitsrichtlinien beachtet werden. Im Netz existierende Sicherheitsgateways oder Monitoring-Systeme dürfen nicht mit den Mitteln der Virtualisierung umgangen werden können. Dies betrifft insbesondere Virtualisierungsprodukte, bei denen der Netzverkehr zwischen virtualisierten IT-Systemen nicht zwingend über physische Netze geführt wird (siehe oben, Beispiele: SUN Solaris Containers und VMware ESX Server).
  • Müssen virtuelle IT-Systeme mit mehreren Netzen verbunden werden, muss geeignet sichergestellt werden, dass über diese keine unerwünschten Netzverbindungen aufgebaut werden können. Es sollten insbesondere keine Verbindungen zwischen Verwaltungsnetzen der Virtualisierungsserver und den Netzen der produktiven virtuellen IT-Systeme ermöglicht werden, um einer Kompromittierung der Virtualisierungsserver durch ein kompromittiertes virtuelles IT-System vorzubeugen.
  • In virtuellen Infrastrukturen können auch virtuelle Sicherheitsgateways (virtuelle Firewalls) betrieben werden. Der Einsatz solcher Gateways direkt am Perimeter des eigenen Netzes und somit zur Trennung von Netzen stark unterschiedlichen Schutzbedarfs sollte jedoch genau geprüft werden. Zur Trennung interner Netze mit nicht stark unterschiedlichem Schutzbedarf hingegen sind virtuelle Sicherheitsgateways denkbar. Die Planung solcher Gateways ist sorgfältig durchzuführen. Es muss dabei bedacht werden, dass je nach gewähltem Virtualisierungsprodukt der Netzverkehr durch die Virtualisierungsschicht nicht so geroutet wird, wie dies möglicherweise erwartet wird. Zudem ist nicht gewährleistet, dass die Schutzfunktion des virtuellen Sicherheitsgateways für andere virtuelle oder physische IT-Systeme auch dann noch gegeben ist, wenn die Virtualisierungsserver selbst kompromittiert worden sind. Eine Umgehung dieser Sicherheitsgateways ist nach einer Kompromittierung der Virtualisierungsserver sehr leicht zu realisieren. Da Sicherheitsgateways häufig ebenfalls das Ziel von Angriffen darstellen, sollte davon abgesehen werden, die Virtualisierungsserver selbst ausschließlich durch virtuelle Sicherheitsgateways zu schützen. In solchen Fällen ist eine geeignete Aufteilung der beteiligten Netze über Sicherheitsgateways notwendig. Siehe auch B 3.301 Sicherheitsgateway (Firewall) .
  • Virtuelle IT-Systeme sind bezüglich ihrer Netzintegration und ihres Schutzes durch Sicherheitsgateways genauso zu behandeln wie physische IT-Systeme, da die Virtualisierungsserver diesen in der Regel keinen zusätzlichen Schutz bieten.

Prüffragen:

  • Sind Verwaltungs- und Administrationsnetz vom Netz der virtuellen IT -Systeme separiert und ist diese Trennung gemessen am Schutzbedarf der virtuellen IT -Systeme ausreichend?

  • Ist ein anonymer Zugriff auf die Verwaltungsschnittstellen der Virtualisierungsserver ausgeschlossen?

  • Existiert ein geeignetes Authentisierungsverfahren für den Zugriff auf Speichernetzressourcen und sind die Speichernetze von den Netzen der virtuellen IT -Systeme separiert?

  • Sind die Netze für Live Migrationen von den Netzen der virtuellen IT -Systeme separiert?

  • Werden bestehende Sicherheitsrichtlinien bei den Netzverbindungen zwischen virtuellen und physischen IT -Systemen beachtet?

  • Ist sichergestellt, dass Sicherheitsgateways und Monitoring-Systeme nicht mit virtuellen Netzen umgangen werden können?

  • Ist ausgeschlossen, dass über virtuelle IT -Systeme, die mit mehreren Netzen verbunden sind, unerwünschte Netzverbindungen aufgebaut werden können?

  • Falls virtuelle Sicherheitsateways eingesetzt werden sollen: Steht die Nutzung virtueller Sicherheitsateways in Einklang mit den Sicherheitsanforderungen des Informationsverbunds?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK