Open Source im professionellen Einsatz
Linux-Magazin 05/2017
© Andrew Salamchev, 123RF

© Andrew Salamchev, 123RF

Open Stack gegen Angriffe abhärten

Festung in Schichten

Jede produktive Open-Stack-Installation, die Dienste und VMs mehrerer Kunden beherbergt, bietet für externe und interne Angreifer eine Menge Angriffspunkte. Das Härten des Gesamtsystems kann aus einem morschen Gemäuer fast ein Bollwerk machen – mehr als ein bisschen Mörtel bedarf es dafür aber schon.

268

Die Virtualisierung von Computing-Dienstleistungen ist eine tolle Idee. Sie ermöglicht es, potente Hardware effektiv zu nutzen, indem sie den Betrieb vieler virtueller Systeme auf einem physischen System erlaubt. Doch gibt es auch Zweifel an diesem Konzept: Eine der größten Sorgen der Virtualisierungsgegner besteht darin, dass es einem Angreifer gelingen könnte, aus seiner VM auszubrechen und so Zugriff auf Ressourcen des physischen Hosts zu bekommen. Die Trennung der Ressourcen unterschiedlicher VMs auf demselben Server wird zum Dreh- und Angelpunkt, der entscheidet, ob der Anwender dem Prinzip Virtualisierung vertrauen kann.

Wie wichtig es ist, dass die Grenzen von VM und Host nicht verschwimmen, zeigt ein simples Gedankenexperiment. Gegeben sei ein Server, der mehrere virtuelle Maschinen betreibt, die alle demselben Kunden gehören. Schon in diesem Szenario ist es kritisch, wenn der Ausbruch aus einer VM und damit der direkte Zugriff auf den Server gelingt: Im schlimmsten Fall hat der Angreifer nun nämlich vollen Zugriff auf die VMs des Hosts und kann diese – je nach Bedarf – ausräumen, um an sensible Daten zu kommen, oder sie verminen, um noch mehr Informationen unbemerkt abzufischen.

Um diesen Zustand zu erreichen, muss ein Angreifer mehrere Hürden überspringen: Zunächst muss es ihm gelingen, auf die virtuelle Maschine selbst irgendwie Zugriff zu erhalten. Wenn alle VMs zum selben Kunden gehören und dieselben Admins sie regelmäßig warten, lässt sich dieses Risiko zwar minimieren, doch ausschließen lässt es sich nicht. Im zweiten Schritt muss der Angreifer die Hürde zwischen VM und Host überspringen. Verschiedene Technologien wie etwa SE Linux helfen dabei, einige der Risiken zu minimieren.

[...]

Linux-Magazin Online veröffentlicht alle Print-Artikel, die seit 2001 im Linux-Magazin erschienen sind. Damit steht Ihnen ein hochwertig bestücktes Archiv bis hin zu den Beiträgen der aktuellen Ausgabe online zur Verfügung. Die über 3000 Artikel sind größtenteils kostenlos zugänglich, nur für Beiträge (als PDF) der jüngsten zehn Linux-Magazine ist eine kleine Gebühr fällig.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • "Planet Open Stack" als Vision

    Auf dem Berliner Open Stack Dach Day 2015 stellte Mark Collier, COO der Open Stack Foundation, in seiner Keynote die Vision des Cloud-Infrastruktur-Projekts vor. Die heißt "Planet Open Stack".

  • Open-Stack-Workshop

    Dass Open Stack in aller Munde ist, bedeutet nicht, dass es überall installiert ist. Die für eigene Anwendungsfälle richtigen Komponenten auszuwählen und das Setup des Stapels erweisen sich als hochkomplex. Mit diesem Artikel startet ein dreiteiliger Workshop, der Admins fit für die Open-Stack-Praxis macht.

  • Upgrades

    Bei Open Stack stapeln sich die Dienste hoch und mit ihnen die Abhängigkeiten. Vor allem Upgrades bereiten Admins Kopfzerbrechen: Ist es überhaupt möglich, Open Stack sinnvoll zu aktualisieren? Und wie verhalten sich die kommerziellen Open-Stack-Produkte? Das Linux-Magazin hat getestet.

  • Open Stack Newton

    Ihrem eigenen Release-Gesetz folgend verabreichten die Open-Stack-Entwickler im Oktober der Cloudwelt mit ihrer neuen Version auch neue Impulse. Neben diversen Fehlerkorrekturen implementierten sie in den Kernkomponenten auch Neuerungen, die zu bewerten sich dieser Artikel zur Aufgabe macht.

  • Ubuntus Cloud

    Mit Ubuntu 12.04 alias "Precise Pangolin" will Canonical den Cloudmarkt anzapfen, indem es den Admins vieles einfacher macht. Dazu integriert der Distributor Open Stack und Landscape und verspricht fünf Jahre Support. Geht die Taktik auf oder bleibt es bei wolkigen Versprechen?

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.