AFM_Adm 11 Geschrieben 21. Februar 2013 Melden Teilen Geschrieben 21. Februar 2013 (bearbeitet) Hallo beisammen, unter Hyper-V 2 (Server 2008 R2) wurde es nicht empfohlen, verschiedene VM's die sich in verschiedenen Netzwerkzonen, wie z.B Server-LAN und DMZ befinden auf dem gleichen Host laufen zu lassen. Selbst wenn man extra physikalische NIC's und VLAN's nutzt. Wie schaut das nun bei Hyper-V 3 (Server 2012) aus und einem Cluster aus? MS selber nutzt diese Art der Virtualisierung doch für Ihre Cloud, von daher sehe ich eigentlich kein Problem darin, das es nicht sicher sein sollte. Habt ihr vielleicht genauere Infos? bearbeitet 21. Februar 2013 von AFM_Adm Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 21. Februar 2013 Melden Teilen Geschrieben 21. Februar 2013 Hi, was genau möchtest du erreichen? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 21. Februar 2013 Melden Teilen Geschrieben 21. Februar 2013 Es ist generell nicht empfohlen (egal mit welchen Virtualisierer) sicherheitskritische mit sicherheitsunkritischen Diensten auf dem gleichen System laufen zu lassen, Es kommt halt auf die Anforderungen an (wieviel Sicherheit brauche ich), die Ressourcen, die man zur Verfügung hat, und den Aufwand den man reinstecken möchte das ganze abzusichern. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 22. Februar 2013 Melden Teilen Geschrieben 22. Februar 2013 Warum sollte es bei Server 2012 anders sein als bei den Vorgängern? Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 22. Februar 2013 Autor Melden Teilen Geschrieben 22. Februar 2013 Hi, was genau möchtest du erreichen? Ich möchte eine sichere Trennung der Netzwerkzonen, mit dem minimalsten Hardwareaufwand erreichen und die Hyper-V Hosts optimal auslasten. Warum sollte es bei Server 2012 anders sein als bei den Vorgängern? MS selber nutzt in Ihrer Cloud doch Hyper-V 3 und Netzwerkvirtualisierung. Von daher denke ich mir das es sicher sein sollte, wenn die Ihre Kundensysteme (VM's) so bereitstellen. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 22. Februar 2013 Melden Teilen Geschrieben 22. Februar 2013 Moin, es geht um grundsätzliche Erwägungen. Es hat in der Vergangenheit schon mehrere erfolgreiche Angriffe gegeben, mit denen aus VMs "ausgebrochen" werden konnte, sodass ein Übergriff auf andere VMs oder den Host möglich war. Auch wenn das natürlich nicht trivial ist, ist es etwas, was man vermeiden will - insbesondere wenn es um unterschiedliche Sicherheitszonen geht. In einem Hosting-Szenario kommen noch erheblich mehr Techniken zum Einsatz, um solche und andere Risiken zu verringern. Das kannst du nicht auf ein normales Design übertragen. Gruß, Nils Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 22. Februar 2013 Autor Melden Teilen Geschrieben 22. Februar 2013 Guten Morgen Nils, kennst du die Techniken, die im Hosting z.B. MS im Einsatz sind, um ein übergreifen aus einer VM zu einem Host zu verhindern? Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 22. Februar 2013 Melden Teilen Geschrieben 22. Februar 2013 MS selber nutzt in Ihrer Cloud doch Hyper-V 3 und Netzwerkvirtualisierung. Vergiss es. Die Netzwerkvirtualisierung kannst du derzeit nicht so richtig verwenden, da es keine Gateways bzw. Gateway Provider auf dem Markt gibt, so dass du aus dem VM Netzwerk heraus in externe Netze kommst. Das habe ich leider selber in der letzten Zeit leidvoll erfahren müssen. Derzeit sind in der Pipeline Gateway Appliances von nappliance und f5. Wann diese auf den Markt kommen? Keine Ahnung! Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 22. Februar 2013 Autor Melden Teilen Geschrieben 22. Februar 2013 Folgenden Artikel habe ich gerade noch zum Thema gefunden: http://www.aidanfinn.com/?p=11847 Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 25. Februar 2013 Autor Melden Teilen Geschrieben 25. Februar 2013 Hat vielleicht sonst noch jemand genauere Infos? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 25. Februar 2013 Melden Teilen Geschrieben 25. Februar 2013 Moin, kennst du die Techniken, die im Hosting z.B. MS im Einsatz sind, um ein übergreifen aus einer VM zu einem Host zu verhindern? du kannst davon ausgehen, dass kein Hoster mit solchen Informationen hausieren gehen wird. Folgenden Artikel habe ich gerade noch zum Thema gefunden: http://www.aidanfinn.com/?p=11847 I tend to disagree. ;) Aidan betrachtet hier nur die Netzwerkkarten und den Virtual Switch. Das ist aus meiner Sicht aber zu kurz gesprungen - es hat mehrere erfolgreiche Angriffe gegen die VM-Infrastruktur als ganze gegeben. Bei VMware beispielsweise gab es mal einen Angriff über den Treiber der virtuellen Grafikkarte. Da nützt mir ein noch so guter virtueller Switch rein gar nichts. Gruß, Nils Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 25. Februar 2013 Melden Teilen Geschrieben 25. Februar 2013 Bei einer Virtuellen Umgebung musst du immer davor ausgehen, dass die Virtualisierungsschicht geknackt wird. Jetzt musst du nur wissen wie kritisch das ist und ob es sich rechnet extra Hardware hinzustellen. Du gehst ja z.b. auch davon aus das Hardware kaputt geht und baust deshalb einen Cluster auf. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 25. Februar 2013 Melden Teilen Geschrieben 25. Februar 2013 Ja, und nichts anderes hat Nils doch eingeworfen. es geht um grundsätzliche Erwägungen. Es hat in der Vergangenheit schon mehrere erfolgreiche Angriffe gegeben, mit denen aus VMs "ausgebrochen" werden konnte, sodass ein Übergriff auf andere VMs oder den Host möglich war. Insofern muß der TO eben entscheiden wie sicher für ihn "sicher genug" ist. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.