Hallo,
hat hier Jemand eine virtuelle DMZ im Einsatz um z.B. einen Webserver zu betreiben?Welche Voraussetzung (vNICs, NICs, VSwitches, Switches, Firewalls) sind überhaupt notwendig?
Ich hab bei VMware einen Security Guide gefunden, aus dem ich allerdings nicht ganz schlau werde.
Danke + Grüße,
Nico
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Singlehost und DMZ
-
mbreidenbach
- Experte
- Beiträge: 1006
- Registriert: 30.10.2004, 12:41
Das hängt vom Grad der Paranoia ab und dem Betrag um den man verklagt wird wenns schiefgeht.
Die Idee beim Hardening ist daß man mal davon ausgeht das System gehackt werden kann und es dann so aufbaut daß von einem kompromittierten System möglichst wenig Schaden verursacht werden kann.
Mindestens würde man mal ESXi Management, DMZ und ggf IP-basierten Storagetraffic durch VLANs trennen; besser noch durch mehrere NICs und vSwitche.
Zwischen DMZ und den Rest der Welt gehört eine Firewall. Und kein System kann aus der DMZ eine Verbindung nach 'innen' aufbauen.
Alle Patches einspielen.
Schöne komplizierte Kennwörter.
Logs zur Beweissicherung an einen externen Syslog Server schicken.
und so weiter...
Für weitere Denkanstöße empfehle ich eine Beschäftigung mit dem VMware Hardening Guide http://www.vmware.com/security/hardening-guides
Die Idee beim Hardening ist daß man mal davon ausgeht das System gehackt werden kann und es dann so aufbaut daß von einem kompromittierten System möglichst wenig Schaden verursacht werden kann.
Mindestens würde man mal ESXi Management, DMZ und ggf IP-basierten Storagetraffic durch VLANs trennen; besser noch durch mehrere NICs und vSwitche.
Zwischen DMZ und den Rest der Welt gehört eine Firewall. Und kein System kann aus der DMZ eine Verbindung nach 'innen' aufbauen.
Alle Patches einspielen.
Schöne komplizierte Kennwörter.
Logs zur Beweissicherung an einen externen Syslog Server schicken.
und so weiter...
Für weitere Denkanstöße empfehle ich eine Beschäftigung mit dem VMware Hardening Guide http://www.vmware.com/security/hardening-guides
-
Dayworker
- King of the Hill
- Beiträge: 13657
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Neben dem bereits gesagt, würde mich interessieren, ob ihr selbst oder eure Kunden Nutzer sein würden und wo der ESXi steht.
Falls der ESXi beim Hoster steht, dürfte es schwer werden mit einer eigenständigen Firewall davor und je nach zu erwartender Webserver-Last bist du mit einem virtualisierten System eventuell auch schlecht beraten. Sieh dir dazu beispielsweise mal http://www.computerbase.de/2012-09/das-neue-server-setup-von-computerbase/ an. Dort wurde für Web- und DB-Server jeweils eine Intel Xeon E5-2430 Hexacore-CPU mit HT bei unterschiedlicher RAM-Ausstattung verbaut.
Wenn der ESXi dagegen bei euch inhouse steht und/oder von aussen nicht erreichbar sein muß, könnte man auf die letzten Hardening-Stufen wahrscheinlich auch verzichten, aber dazu fehlen mir zuviele Erfahrungswerte.
Falls der ESXi beim Hoster steht, dürfte es schwer werden mit einer eigenständigen Firewall davor und je nach zu erwartender Webserver-Last bist du mit einem virtualisierten System eventuell auch schlecht beraten. Sieh dir dazu beispielsweise mal http://www.computerbase.de/2012-09/das-neue-server-setup-von-computerbase/ an. Dort wurde für Web- und DB-Server jeweils eine Intel Xeon E5-2430 Hexacore-CPU mit HT bei unterschiedlicher RAM-Ausstattung verbaut.
Wenn der ESXi dagegen bei euch inhouse steht und/oder von aussen nicht erreichbar sein muß, könnte man auf die letzten Hardening-Stufen wahrscheinlich auch verzichten, aber dazu fehlen mir zuviele Erfahrungswerte.
-
monster900
- Member
- Beiträge: 152
- Registriert: 27.02.2008, 15:10
Moin,
wir setzten seit März eine UTM auf virtuellen VM-Hosts bei uns ein (UTM-Clusterlösung). Die UTM-Clusterlösung läuft jeweils auf 2 dedizierten Hosts mit dem kostenlosen ESXi.
Für jedes Netz (Inet, DMZ1, DMZ2, LAN, VM Managment, Server-Management) setzten wir einen eigenen NIC ein.
Ein Einsatz einer UTM auf einem mit Produktivsystemen laufenden Host kam für uns nicht in Frage. Da reicht schon ein Fehler im Hypervisor oder bei der Konfiguration der vSchwitche und schon hängen die Produktivsysteme im Inet.
Grund für den Einsatz von VM-Hosts war die höhere Leistung und Flexibilität bei geringeren Kosten. Eine HW-UTM hätte bei deutlich schwächerer HW mehr Geld gekostet und dazu noch einen schlechteren HW-Service geboten.
Gruß
Dirk
wir setzten seit März eine UTM auf virtuellen VM-Hosts bei uns ein (UTM-Clusterlösung). Die UTM-Clusterlösung läuft jeweils auf 2 dedizierten Hosts mit dem kostenlosen ESXi.
Für jedes Netz (Inet, DMZ1, DMZ2, LAN, VM Managment, Server-Management) setzten wir einen eigenen NIC ein.
Ein Einsatz einer UTM auf einem mit Produktivsystemen laufenden Host kam für uns nicht in Frage. Da reicht schon ein Fehler im Hypervisor oder bei der Konfiguration der vSchwitche und schon hängen die Produktivsysteme im Inet.
Grund für den Einsatz von VM-Hosts war die höhere Leistung und Flexibilität bei geringeren Kosten. Eine HW-UTM hätte bei deutlich schwächerer HW mehr Geld gekostet und dazu noch einen schlechteren HW-Service geboten.
Gruß
Dirk
-
irix
- King of the Hill
- Beiträge: 13063
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Hier hat es sich ueber die Zeit wie folgt entwickelt:
- Im vNetwork ein eigener vDS/vSS und somit eigene vmnic
- VLANs
- Dahinter eine eigene pSwitch Infrastruktur
Erweiterung:
- PVLANs
Erweiterung:
- Vorschlaege aus dem vSphere Hardning Guide umgesetzt
Erweiterung:
- Eigener ESXi "DMZ" Cluster
- Seperates MGMT/FT/vMOTION Subnetz
Aber... ich habe hier das Problem das wir ISCSI SAN haben welches genau ein Subnet kann. Da ich nun kein eigenes SAN machen kann muss ich schauen wie man verhindert ueber die iSCSI VMKs von den DMZ zu den Internen sich zu verbinden. Man muss wiessen das per Default alle VMware Services auf allen VMKs aktiv sind. Die ESXi Firewall erlaubt es allerdings festzulegen welche IPs(Range) fuer bestimmte Services nur verwendet werden koennen.
Gruss
Joerg
- Im vNetwork ein eigener vDS/vSS und somit eigene vmnic
- VLANs
- Dahinter eine eigene pSwitch Infrastruktur
Erweiterung:
- PVLANs
Erweiterung:
- Vorschlaege aus dem vSphere Hardning Guide umgesetzt
Erweiterung:
- Eigener ESXi "DMZ" Cluster
- Seperates MGMT/FT/vMOTION Subnetz
Aber... ich habe hier das Problem das wir ISCSI SAN haben welches genau ein Subnet kann. Da ich nun kein eigenes SAN machen kann muss ich schauen wie man verhindert ueber die iSCSI VMKs von den DMZ zu den Internen sich zu verbinden. Man muss wiessen das per Default alle VMware Services auf allen VMKs aktiv sind. Die ESXi Firewall erlaubt es allerdings festzulegen welche IPs(Range) fuer bestimmte Services nur verwendet werden koennen.
Gruss
Joerg
irix hat geschrieben:Hier hat es sich ueber die Zeit wie folgt entwickelt:
...
Bei uns siehts ähnlich aus:
- Eigener vSS
- Eigen vmnic
- VLANs
- Dahinter eine eigene pSwitch Infrastruktur direkt an die Firewall. Entkoppelt vom restlichen LAN
- möglichst aktuelle ESX-Versionen
- Seperates MGMT und vMOTION Subnetz mit VLANs
- FC Storage
P.S. Und die Kabel sind Rot, damit sie sofort zu erkennen und zuzuordnen sind
-
mbreidenbach
- Experte
- Beiträge: 1006
- Registriert: 30.10.2004, 12:41
Zurück zu „vSphere 5.5 / ESXi 5.5“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste