ISA Server, Sicherheit und Virtualisierung

[Muffel 11]

Ich betreibe momentan einen SBS 2003 R2 Premium Edition mit allem Schnickschnack in einem Rechenzentrum mit 2 externen IP-Adressen als eierlegende Wollmilchsau. Er ist fast vollständig Microsoft-konform eingerichtet. In dem Rechner ist ein VPN-Router eingebaut, der eine von den beiden externen IP-Adressen hat und über den ich mich mit dem Rechner via VPN verbinden kann (der SBS hat eine 2. Netzwerkkarte, die mit dem internen Anschluss des VPN-Routers verbunden ist). Der ISA-Server (also der SBS) hat die andere externe IP-Adresse, über die zum Beispiel die E-Mails an den Exchange-Server gehen. Es steht ein Hardware-Tausch des Servers bevor und damit würde ich gern virtualisieren (virtual Serer 2005 R2 oder Windows Server 2008), weil ich so auch endlich einen Terminal-Server einrichten könnte. Den SBS mit Exchange würde ich dann auch in eine VM verschieben.

 

Mit Virtual Server habe ich schon genug gespielt, aber nie in Echtumgebungen zu tun gehabt. Das ist soweit alles kein Problem, aber ich mache mir da doch ein klein wenig einen Kopf über die Sicherheit bei der Virtualisierung. Es gibt ja quasi keine phyikalisch getrennten Netze, so dass man bei Virtualisierung doch etwas gefährlich lebt. Klar könnte ich den vorhandenen VPN-Router vorn ran stellen und über diesen (via VLAN) eine echte DMZ aufbauen. Nur ist die DMZ zum Schluss auch nur wieder ein Anschluss am Virtualisierungshost.

 

Wie wird so ein Problem im Regelfall gelöst?

[ChristianHemker 10]

Hallo,

 

wenn es dir wirklich um sehr gute Sicherheit geht (und das scheint mir wegen deiner Frage so), dann kannst du Netzwerktrennungen nicht virtualisieren. Es sollte zumindest die Firewall physikalisch vorhanden sein, meiner Meinung nach.