14
Sicherheit in einer VDI
Hallo zusammen,
ich habe dazu schon etwas recherchiert aber leider bin ich bisher nicht so konkret fündig geworden.
In Randthemen wie Zonenarchitektur bin ich schon teilweise fündig geworden, aber ich bekomm es aktuell geistig noch nicht ganz zusammen.
Wenn ich eine VDI betreibe und virtuelle Desktops für meine Clients bereitstelle, dann schein ich ja auch was für die Sicherheit zu tun.
Meine Fragen:
Wenn ich mir in dieser virtuellen Desktopumgebung einen Virus einfange, kann sich dieser dann auch auf die anderen virtuellen Desktops die auf dem Host laufen ausbreiten, oder ist der in diesem virtuellen Desktop gefangen? Kann sich der Virus ggf. auch noch weiter im LAN ausbreiten?
Ist ein Virus in einem virtuellen Desktop „unbedenklich“, da das System ggf. jeden Morgen neu aufgesetzt wird?
Wenn ja warum, wenn nein warum nicht?
Sollte ich die Virtualisierungshosts (wo die virtuellen Desktops laufen) in ein gesondertes Netzsegment stellen, also von den eigentlichen Clients trennen?
Sollte ich die Virtualisierungshots sogar in eine interne DMZ stellen und vom Rest des LANs trennen?
Und zuletzt, sagt man eigentlich noch Terminalserver oder ist das ein veralteter Begriff
?
Danke für eure Hilfe!
ich habe dazu schon etwas recherchiert aber leider bin ich bisher nicht so konkret fündig geworden.
In Randthemen wie Zonenarchitektur bin ich schon teilweise fündig geworden, aber ich bekomm es aktuell geistig noch nicht ganz zusammen.
Wenn ich eine VDI betreibe und virtuelle Desktops für meine Clients bereitstelle, dann schein ich ja auch was für die Sicherheit zu tun.
Meine Fragen:
Wenn ich mir in dieser virtuellen Desktopumgebung einen Virus einfange, kann sich dieser dann auch auf die anderen virtuellen Desktops die auf dem Host laufen ausbreiten, oder ist der in diesem virtuellen Desktop gefangen? Kann sich der Virus ggf. auch noch weiter im LAN ausbreiten?
Ist ein Virus in einem virtuellen Desktop „unbedenklich“, da das System ggf. jeden Morgen neu aufgesetzt wird?
Wenn ja warum, wenn nein warum nicht?
Sollte ich die Virtualisierungshosts (wo die virtuellen Desktops laufen) in ein gesondertes Netzsegment stellen, also von den eigentlichen Clients trennen?
Sollte ich die Virtualisierungshots sogar in eine interne DMZ stellen und vom Rest des LANs trennen?
Und zuletzt, sagt man eigentlich noch Terminalserver oder ist das ein veralteter Begriff
?Danke für eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 468837
Url: https://administrator.de/contentid/468837
Printed on: April 18, 2024 at 17:04 o'clock
14 Comments
Latest comment
Hallo,
wie immer kommt es darauf an - wie verzahnt sind die Systeme untereinander, wie ist eure Infrastruktur, welches Gefährdungs- und Sicherheitslevel habt Ihr.
Die Clients in einer VDI würde ich auf jeden Fall in ein eigenes Netz setzen, was an sonstigen Anforderungen besteht ergibt sich aus obigem + vorhandener Ressourcen.
Viele Grüße,
Christian
certifiedit.net
wie immer kommt es darauf an - wie verzahnt sind die Systeme untereinander, wie ist eure Infrastruktur, welches Gefährdungs- und Sicherheitslevel habt Ihr.
Die Clients in einer VDI würde ich auf jeden Fall in ein eigenes Netz setzen, was an sonstigen Anforderungen besteht ergibt sich aus obigem + vorhandener Ressourcen.
Viele Grüße,
Christian
certifiedit.net
Moin,
Wenn ich eine VDI betreibe und virtuelle Desktops für meine Clients bereitstelle, dann schein ich ja auch was für die Sicherheit zu tun.
Nein. Einfach einen Desktop in eine VM packen hat überhaupt nichts mit Sicherheit (=Security) zu tun. Das wird es erst, wenn ein Konzept dahintersteht und das gegen Angriffsszenarien schützt, die in einer Risikoabwägung gefunden wurden.
Meine Fragen:
Wenn ich mir in dieser virtuellen Desktopumgebung einen Virus einfange, kann sich dieser dann auch auf die anderen virtuellen Desktops die auf dem Host laufen ausbreiten, ...
Ja. Natürlich kann er sich ausbreiten. Er kann entweder Exploits gegen den Hypervisor nutzen oder Remote Exploits gegen andere über Netzwerk erreichbare Systeme.
... oder ist der in diesem virtuellen Desktop gefangen?
Nur wenn er nicht weiß, wie man ausbricht.
Kann sich der Virus ggf. auch noch weiter im LAN ausbreiten?
Ja.
Ist ein Virus in einem virtuellen Desktop „unbedenklich“, da das System ggf. jeden Morgen neu aufgesetzt wird?
Nein.
Wenn ja warum, wenn nein warum nicht?
In der Zeit, in der er aktiv war, kann er sich schon andere Systeme Infiziert haben und ggf auch Datennschin versclüsselt haben.
Sollte ich die Virtualisierungshosts (wo die virtuellen Desktops laufen) in ein gesondertes Netzsegment stellen, also von den eigentlichen Clients trennen?
Kommt aif Deine Sicherheitsarchitektur an.
Sollte ich die Virtualisierungshots sogar in eine interne DMZ stellen und vom Rest des LANs trennen?
Kommt aif Deine Sicherheitsarchitektur an.
Und zuletzt, sagt man eigentlich noch Terminalserver oder ist das ein veralteter Begriff
?Natürlich sagt man noch Terminalserver. Aber das ist etwas anderes als Remote Desktop und VDI.
Danke für eure Hilfe!
Gern geschehen.
lks
Hallo IKS,
danke für deine Rückmeldung. Hat mir schon geholfen. Ich hab noch eine Frage zu deiner Antwort auf die Frage:
:
Wenn ich die Clients in die gleiche Netzzone packe wie die Virtualisierungshost, dann habe ich im Fall der Kompromittierung von einem Virtualisierungshost ja keinen Sicherheitsgewinn. Also ob sich bspw. der Client direkt den Virus einfängt oder der Virtualisierungshost, macht dann keine Unterschied oder? Insofern hatte ich gedacht eine Netztrennung würde in dem Fall Sinn ergeben
VG
danke für deine Rückmeldung. Hat mir schon geholfen. Ich hab noch eine Frage zu deiner Antwort auf die Frage:
:
Sollte ich die Virtualisierungshosts (wo die virtuellen Desktops laufen) in ein gesondertes Netzsegment stellen, also von den eigentlichen Clients trennen?Wenn ich die Clients in die gleiche Netzzone packe wie die Virtualisierungshost, dann habe ich im Fall der Kompromittierung von einem Virtualisierungshost ja keinen Sicherheitsgewinn. Also ob sich bspw. der Client direkt den Virus einfängt oder der Virtualisierungshost, macht dann keine Unterschied oder? Insofern hatte ich gedacht eine Netztrennung würde in dem Fall Sinn ergeben
VG
Nur wenn Du eine Firewall dazwischenpackst und die richtigen Regeln hast.
lks
Danke
Noch eine Frage zur Begrifflichkeit. Viele aus meinem Umfeld sprechen immer von Terminalservern, auf die ich über Citrix (XenDesktop) zugreife. Das ist ja dann strenggenommen kein Terminalserver, oder? Wie heißt das Sytem dann, dass den virtuellen Desktop zur Verfügung stellt? Und bitte nicht virtueller Client :D ...
Noch eine Frage zur Begrifflichkeit. Viele aus meinem Umfeld sprechen immer von Terminalservern, auf die ich über Citrix (XenDesktop) zugreife. Das ist ja dann strenggenommen kein Terminalserver, oder? Wie heißt das Sytem dann, dass den virtuellen Desktop zur Verfügung stellt? Und bitte nicht virtueller Client :D ...
Zitat von @NewBee2018:
Wie heißt das Sytem dann, dass den virtuellen Desktop zur Verfügung stellt? Und bitte nicht virtueller Client :D ...
Wie heißt das Sytem dann, dass den virtuellen Desktop zur Verfügung stellt? Und bitte nicht virtueller Client :D ...
Hypervisor
1
Danke für die Antworten!
Sind euch Quellen bekannt wo ich bisschen was zur Zonenarchitektur lesen kann? Ich finde überall nur so allgemeines BlaBla ... mir ist aber als Anfänger immer noch unklar ich ich eine Netzwerkzone sichergestellt, sie am Ende aber auch noch funktioniert.
Wo sollte ich zum Beispiel so Standard-Dienste wie DNS, DHCP, AD, NTP (was brauch ich noch alles für ein funktionierendes Netz??), dann Trennung Applikation-Server, DB-Server ... was kann/sollte noch getrennt werden? Ich finde so Literatur im Netzdesign ist wirklich mau oder aus den 2000ern. Zero-Trust habe ich auch schon mal ein bisschen was gelesen, dass ist aber eher was für google als für nen Mittelständler.
Ja ich weiß "es kommt drauf an" - risikoorientierter Ansatz und so, aber gehen wir doch bitte einfach einmal von einem hohen Schutzbedarf aller Daten aus.
Danke für eure Unterstützung.
Sind euch Quellen bekannt wo ich bisschen was zur Zonenarchitektur lesen kann? Ich finde überall nur so allgemeines BlaBla ... mir ist aber als Anfänger immer noch unklar ich ich eine Netzwerkzone sichergestellt, sie am Ende aber auch noch funktioniert.
Wo sollte ich zum Beispiel so Standard-Dienste wie DNS, DHCP, AD, NTP (was brauch ich noch alles für ein funktionierendes Netz??), dann Trennung Applikation-Server, DB-Server ... was kann/sollte noch getrennt werden? Ich finde so Literatur im Netzdesign ist wirklich mau oder aus den 2000ern. Zero-Trust habe ich auch schon mal ein bisschen was gelesen, dass ist aber eher was für google als für nen Mittelständler.
Ja ich weiß "es kommt drauf an"
- risikoorientierter Ansatz und so, aber gehen wir doch bitte einfach einmal von einem hohen Schutzbedarf aller Daten aus.Danke für eure Unterstützung.
Ja ich weiß "es kommt drauf an" - risikoorientierter Ansatz und so, aber gehen wir doch bitte einfach einmal von einem hohen Schutzbedarf aller Daten aus.
- risikoorientierter Ansatz und so, aber gehen wir doch bitte einfach einmal von einem hohen Schutzbedarf aller Daten aus.Dann solltest du dir praktische Erfahrung einkaufen und nicht erst irgendwo knapp über 0 praktischem Wissen und ein wenig Theorie anfangen. Denn sonst vergisst du sicher div. Baustellen und das Projekt wird ein BER. Ist übrigens nur gut gemeint.
Danke für eure Unterstützung.
Gerne
Zitat von @NewBee2018:
Ja ich weiß "es kommt drauf an" - risikoorientierter Ansatz und so, aber gehen wir doch bitte einfach einmal von einem hohen Schutzbedarf aller Daten aus.
Ja ich weiß "es kommt drauf an"
- risikoorientierter Ansatz und so, aber gehen wir doch bitte einfach einmal von einem hohen Schutzbedarf aller Daten aus.Mitarbeiter und Computer in einen Bunker sperren, Außer Strom und Wasser keine Verbindungen nach außen zulassen. Mitarbeiter die "austeigen" wollen erschießen.
Beantwortet das Deine Frage, was man bei einem hohen Schutzbedarf macht?
lks
1
Ich habe kein Projekt umzusetzen, mich interessiert es einfach, warum Leute Dinge gemacht haben wie sie es gemacht haben ... Klar kann ich die Leute befragen, hab ich auch ... dann kommt auch schnell ein "das geht nicht". Mir gehts halt erst mal um den prinzipiellen Aufbau.
Mitarbeiter und Computer in einen Bunker sperren, Außer Strom und Wasser keine Verbindungen nach außen zulassen. Mitarbeiter die "austeigen" wollen erschießen.
Ich glaube da bekomme ich Probleme mit der Compliance :D
Ich glaube da bekomme ich Probleme mit der Compliance :D
Zitat von @NewBee2018:
Mitarbeiter und Computer in einen Bunker sperren, Außer Strom und Wasser keine Verbindungen nach außen zulassen. Mitarbeiter die "austeigen" wollen erschießen.
Ich glaube da bekomme ich Probleme mit der Compliance :D
Mitarbeiter und Computer in einen Bunker sperren, Außer Strom und Wasser keine Verbindungen nach außen zulassen. Mitarbeiter die "austeigen" wollen erschießen.
Ich glaube da bekomme ich Probleme mit der Compliance :D
Es gibt Organisationen, die das so handhaben und keine Probleme mit der Compliance haben.
lks
Moin,
Gruß,
Dani
Wenn ich eine VDI betreibe und virtuelle Desktops für meine Clients bereitstelle, dann schein ich ja auch was für die Sicherheit zu tun.
Ja und nein. Es können je nach Design nicht mehr so einfach Daten per E-Mail oder USB-Sticks abgezogen werden. Erst einmal bleibt alles im RZ bzw. Fileserver abgespeichert. Die Absicherung von Windows, Workstations, Administration (Tiering), Fernwartung, etc... ist wie bei physikalischen Rechnern zu sehen.Wenn ich mir in dieser virtuellen Desktopumgebung einen Virus einfange, kann sich dieser dann auch auf die anderen virtuellen Desktops die auf dem Host laufen ausbreiten, oder ist der in diesem virtuellen Desktop gefangen?
Ja.Kann sich der Virus ggf. auch noch weiter im LAN ausbreiten?
Ja. Da hat erst einmal nichts mit VDI zu tun.Sollte ich die Virtualisierungshosts (wo die virtuellen Desktops laufen) in ein gesondertes Netzsegment stellen, also von den eigentlichen Clients trennen?
Das hängt davon ab....wie hoch der Schutzbedarf ist. Wir haben z.B. die VMs von Entwicklern in separaten Netzsegmenten stehen und dazu die Hosts ebenfalls. Standardmäßig lässt sich inzwischen mit der Windows Firewall viele Szenarieren abbilden. Sollte ich die Virtualisierungshots sogar in eine interne DMZ stellen und vom Rest des LANs trennen?
Das lässt sich allgemein nicht beantworten. DMZ würde ich dazu nicht sagen, da sich in solch einer Zone nicht einmal die Hosts gegenseitig vertrauen. Und zuletzt, sagt man eigentlich noch Terminalserver oder ist das ein veralteter Begriff
Natürlich... warum nicht. Ansonsten RDS bzw. RDS-Hosts. Gruß,
Dani
1
Danke!
