Tags: vSphere, Sicherheit
Der Security Configuration Guide versammelt Best Practices, mit denen sich Installationen von vSphere 7 härten lassen. Laut VMware handelt es sich dabei um das erste größere Update seit mehreren Jahren, das sich nicht nur an den neuen Features, sondern auch an den geänderten Bedrohungen orientiert.
Anders als bei Microsofts Security Baseline für Windows oder Office handelt es sich beim Security Configuration Guide um keine empfohlene Konfiguration, die man einfach in das System importieren kann. Vielmehr besteht sie im Kern aus einer Excel-Tabelle mit Dutzenden von vSphere-Einstellungen.
Empfehlungen für ESXi, vCenter, VMs und Gast-OS
Diese ist in vier Arbeitsblätter unterteilt, welche jeweils die Konfigurationsoptionen für ESXi, vCenter Server, virtuelle Maschinen und Gastbetriebssysteme enthalten. Hinzu kommt in der aktuellen Version eine Registerkarte für veraltete Einstellungen ("deprecated").
Besonders aufschlussreich ist die Gegenüberstellung der Standardwerte mit den empfohlenen Einstellungen. Hier erkennt ein Admin sofort, wo es Abweichungen zwischen den Best Practices und den Einstellungen eines frisch installierten Systems gibt. Daraus folgt allerdings noch nicht, dass er einfach überall die Werte aus dem Security Configuration Guide übernehmen soll.
Nebeneffekte testen
VMware weist darauf hin, dass die Empfehlungen rein unter Sicherheitsgesichtspunkten erstellt wurden und es liegt in der Verantwortung der Anwender, mögliche Auswirkungen auf Performance und Funktionalität in ihrer Umgebung zu testen.
Als Handlungsanleitung enthält die Excel-Tabelle eine Spalte mit der Bezeichnung Action Needed, die empfiehlt, was bei der jeweiligen Einstellung zu tun ist. Die vier Aktionen dort bedeuten:
- Add: Der betreffende Parameter muss erst hinzugefügt werden, um die empfohlene Einstellung zu konfigurieren.
- Audit: Die Einstellung sollte geprüft und geändert werden, falls sie nicht korrekt ist.
- Audit or Remove: Der Guide empfiehlt eine Einstellung, die identisch ist mit dem Standard in vSphere 7. Nachdem man eventuelle Abweichungen korrigiert hat, kann man den Parameter entfernen.
- Modify: Der Parameter bzw. die Einstellung sollte bereits existieren und angepasst werden.
Zielgruppe
Der Security Configuration Guide richtet sich an Unternehmen, die vSphere selbst auf ihrer Hardware implementieren. VMware rät davon ab, ihn einfach auf vorgefertigte Lösungen wie die VxRail-Appliances von Dell EMC oder auf hybride Cloud-Infrastrukturen anzuwenden.
Schließlich wird die Dokumentation des Guides nicht müde zu betonen, dass auch die restriktivste Konfiguration nur bedingt hilft, wenn andere wichtige Maßnahmen vernachlässigt werden. Dazu gehören vor allem das zügige Einspielen von Updates oder die Reduktion der Angriffsfläche, etwa durch Deaktivieren von SSH.
Der Security Configuration Guide kann von der VMware-Website heruntergeladen werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Schritt-für-Schritt-Anleitung: vSphere Trust Authority konfigurieren
- vSphere Trust Authority: ESXi-Hosts über separaten Verwaltungs-Cluster absichern
- Kaspersky Security for Virtualization Agentless ergänzt VMware NSX
- Best Practices für vSphere: Konfiguration prüfen mit dem Compliance Checker
- VMware vShield 5: Sicherheit für virtuelle Maschinen
Weitere Links