Verwenden von Firewalls

Fügen Sie Firewallschutz für das virtuelle Netzwerk durch Installation und Konfiguration von hostbasierten Firewalls auf einigen oder allen virtuellen Maschinen im Netzwerk hinzu.

Aus Effizienzgründen können Sie private Ethernet-Netzwerke virtueller Maschinen oder Virtuelle Netzwerke einrichten. Bei virtuellen Netzwerken installieren Sie eine hostbasierte Firewall auf einer virtuellen Maschine am Eingang des virtuellen Netzwerks. Diese Firewall dient als Schutzpufferzone zwischen dem physischen Netzwerkadapter und den übrigen virtuellen Maschinen im virtuellen Netzwerk.

Hostbasierte Firewalls können die Leistung beeinträchtigen. Stimmen Sie Ihre Sicherheitsbedürfnisse mit den Leistungszielen ab, bevor Sie hostbasierte Firewalls auf virteullen Maschinen an anderen Positionen im virtuellen Netzwerk installieren.

Weitere Informationen hierzu finden Sie unter Absichern des Netzwerks mit Firewalls.

Verwenden der Netzwerksegmentierung

Behalten Sie verschiedene Zonen aus virtuellen Maschinen innerhalb eines Hosts auf verschiedenen Netzwerksegmenten bei. Wenn Sie jede virtuelle Maschinenzone in deren eigenem Netzwerksegment isolieren, minimieren Sie das Risiko eines Datenverlusts zwischen zwei Zonen. Segmentierung verhindert verschiedene Bedrohungen, einschließlich ARP-Manipulation (Address Resolution Protocol). Bei der ARP-Manipulation verändert ein Angreifer die ARP-Tabelle dahingehend, dass MAC- und IP-Adressen neu zugeordnet werden, und erhält somit Zugriff auf Netzwerkverkehr von und zu einem Host. Angreifer verwenden diese ARP-Manipulation für Man-in-the-Middle-Angriffe (MITM), für Denial of Service-Angriffe (DoS), zur Übernahme des Zielsystems und zur anderweitigen Beeinträchtigung des virtuellen Netzwerks.

Durch eine umsichtige Planung der Segmentierung wird das Risiko von Paketübertragungen zwischen VM-Zonen gesenkt. Durch die Segmentierung werden Spionageangriffe verhindert, die das Senden von Netzwerkverkehr an das Opfer erforderlich machen. So kann ein Angreifer auch keinen unsicheren Dienst in einer virtuellen Maschinenzone aktivieren, um auf andere virtuelle Maschinenzonen im Host zuzugreifen. Die Segmentierung können Sie mithilfe einer der beiden folgenden Methoden implementieren.

• Verwenden Sie getrennte physische Netzwerkadapter für Zonen virtueller Maschinen, damit die Zonen auch tatsächlich voneinander getrennt sind. Die Beibehaltung getrennter physischer Netzwerkadapter für die virtuellen Maschinenzonen stellt unter Umständen die sicherste Methode nach dem Anlegen des ersten Segments dar. Dieser Ansatz ist weniger anfällig für Konfigurationsfehler.
• Richten Sie virtuelle LANs (VLANs) zur Absicherung des Netzwerks ein. VLANs bieten fast alle Sicherheitsvorteile, die der Installation physisch getrennter Netzwerke innewohnen, ohne dass zusätzliche Hardware angeschafft werden muss. Bei Verwendung von VLANs fallen keine Kosten für Bereitstellung und Verwaltung zusätzlicher Geräte, Verkabelung usw. an. Weitere Informationen hierzu finden Sie unter Absichern virtueller Maschinen durch VLANs.

Verhindern des nicht autorisierten Zugriffs auf virtuelle Maschinen

Virtuelle Maschinen sind voneinander isoliert. Eine virtuelle Maschine kann weder Lese- noch Schreibvorgänge im Speicher der anderen virtuellen Maschine ausführen noch auf deren Daten zugreifen, ihre Anwendungen verwenden usw. Dennoch kann jede virtuelle Maschine oder VM-Gruppe innerhalb des Netzwerks weiterhin Ziel eines unerlaubten Zugriffs durch andere virtuelle Maschinen sein. Schützen Sie Ihre virtuellen Maschinen vor unerlaubtem Zugriff.

Weitere Informationen zum Schutz virtueller Maschinen finden Sie im NIST-Dokument mit dem Titel „Sichere virtuelle Netzwerkkonfiguration zum Schutz virtueller Maschinen (VM)“ unter:

https://csrc.nist.gov/publications/detail/sp/800-125b/final