buchachon - Fotolia
So erreichen Sie am besten hohe Security für Hyper-V-Hosts
Dauerhafte Sicherheit für Hyper-V muss auf mehreren Ebenen ansetzen. Dazu gehören Betriebssystem, Treiber, Patches und Security-Tools wie Microsoft Security Compliance Tool.
Man kann nicht dauerhaft Sicherheit für Hyper-V zur Verfügung stellen, indem man nur ein einzelnes Produkt oder bestimmte Einstellungen einsetzt. Stattdessen sollte man die Implementierung vereinfachen und sorgfältig alle Einstellungen und prinzipielle Verfahren überprüfen.
Hyper-V-Security beginnt mit der Sicherheit des Host-Betriebssystems. Die meisten Administratoren vereinfachen das produktive System, indem sie nur die minimale Windows-Server-Installation, Rollen und jene Software einsetzen, die zur Erledigung der notwendigen Aufgaben des Servers notwendig sind.
Diese Art von Vereinfachung reduziert zugleich mögliche Angriffspunkte. Man sollte jedoch auch ernsthaft das Betriebssystem, Treiber und Firmware mit allen Security-bezogenen Patches regelmäßig aktualisieren. Tools wie zum Beispiel das Security Compliance Toolkit von Microsoft können dabei helfen, festgelegte Referenzwerte für die Security- und Hyper-V-Konfigurationen einzuhalten.
Remote Management funktioniert in der Regel besser als lokales Management per Hand. Wenn man lokales Management ausschließt, bleiben Mitarbeiter außerhalb des physischen Rechenzentrums ohne direkten Zugang zu den installierten Systemen.
Tools für Remote Management bieten ausgiebige Logging- und Authentifizierung-Features, die zum Schutz vor unautorisierten Konfigurationsänderungen, Softwareinstallationen und anderen schädlichen Handlungen beitragen. Physische Server- und Storage-Systeme wie zum Beispiel Disk Arrays befinden sich in der Regel in abgeschlossenen Racks oder Schränken im Rechenzentrum, um direkte manuelle Eingriffe zu verhindern.
Man sollte vorsichtig sein, wenn man Zugangs- und Berechtigungsbescheinigungen für Systemmanagement, Hyper-V-Administration und das Management von Host-Betriebssystemen ausstellt. Es sorgt nicht für Sicherheit, wenn man einer einzelnen Person alle diese Aufgaben anvertraut, weil er oder sie womöglich nur über begrenzte Übersicht und Erfahrungen verfügt.
Die Hyper-V-Security durch Netzwerk- und Verschlüsselungs-Policies erhöhen
Ein sicheres Netzwerk wird auch die Host-Security von Hyper-V verbessern. Zum Beispiel ist ein abgetrenntes Netzwerk mit einem separaten Network Adapter für Systemmanagement, VM-Konfiguration, Live Migration Traffic und VM-Dateizugang in der Lage, den Host vor Attacken aus dem öffentlichen Netzwerk zu schützen. Für zusätzliche Sicherheit kann man Verschlüsselungs-Tools wie zum Beispiel IPsec auf dem Management-Netzwerk einsetzen, um den aktiven System- und Management-Traffic zu schützen.
Außerdem sollte man Verschlüsselungspraktiken auf die Storage-Ressourcen ausdehnen. So lassen sich zum Beispiel Server Message Block (SMB) 3.0 für die Verschlüsselung von SMB-Daten einsetzen oder BitLocker Drive Encryption verwenden, um andere Speicherquellen zu schützen. Zusätzlich können Anwender Encryption zusammen mit Virtual Private Networks (VPNs) nutzen, wenn der Zugang zu Speicherressourcen gegeben ist, die mit dem Hyper-V-Host verbunden sind.
Schließlich sollte man insgesamt Guarded Fabric oder geschützte Infrastrukturen für seine Hosts und Gast-VMs einsetzen: Sie sollten auf verlässlichen Systemen laufen, die entweder ein Software-Testat über Active Directory oder ein Hardware-Testat mit Unified Extensible Firmware Interface Secure Boot und einen Chip Trusted Platform Module 2.0 aufweisen. Eine Guarded Fabric gewährleistet, dass die zugrundeliegende Hardware bekannt und vertrauenswürdig ist, so dass man seine VM darauf laden und mit ihr zu arbeiten anfangen kann.