M 5.154 Sichere Konfiguration eines Netzes für virtuelle Infrastrukturen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Virtualisierungsserver benötigen eine Vielzahl von Kommunikationsbeziehungen. Dies sind einerseits Verbindungen zu Verwaltungsnetzen und bei Bedarf Verbindungen zu Speichernetzen, um entsprechende Ressourcen des Rechenzentrums nutzen zu können. Andererseits stellen sie für die virtuellen IT-Systeme die jeweiligen Netzverbindungen zur Verfügung.

Hierbei kommen bei den verschiedenen Virtualisierungsprodukten unterschiedliche Techniken zum Einsatz. Bei einigen Virtualisierungsprodukten werden den einzelnen virtuellen IT-Systemen jeweils eigene Netzwerkkarten zugeordnet, die direkt mit den zu nutzenden Netzen verbunden sind. Dies können virtuelle oder physische Netzwerkkarten sein.

Bei anderen Virtualisierungsprodukten werden vollständige Netzinfrastrukturen innerhalb des Virtualisierungsservers abgebildet. Hierfür werden virtuelle Switches erzeugt, die zum einen für die virtuellen IT-Systeme die notwendigen Netzverbindungen bereitstellen und zum anderen den Übergang des virtuellen Netzes in das physische Netz steuern. Dabei ist es auch möglich, rein virtuelle Netze zu erzeugen, die keinen Übergang in das physische Netz besitzen.

Einige der Virtualisierungslösungen unterstützen ebenfalls die Möglichkeit, neben einer physischen eine logische Segmentierung, wie mit einem VLAN (Virtual Local Area Network), zu etablieren.

Weiterhin ist die Art und Weise, wie die Kommunikation zwischen virtuellen IT-Systemen untereinander realisiert wird, höchst unterschiedlich. Teilweise wird die Kommunikation zwischen virtuellen IT-Systemen in unterschiedlichen Netzen auf dem gleichen Virtualisierungsserver durch das physische Netz geleitet (Beispiel: Citrix XenServer, Sun VirtualBox oder VMware ESX), teilweise wird diese Kommunikation immer innerhalb der Virtualisierungsschicht durch geleitet, so dass keine Routinginstanz außerhalb der Virtualisierungsschicht an der Kommunikation beteiligt ist (Sun Solaris Containers).

Für eine sichere Konfiguration der Netze der Virtualisierungsserver sind mehrere Aspekte zu betrachten:

Prüffragen: