© 2008 Prof. Dr. G. Hellberg 1 Virtualisierung Server-Virtualisierung IT-sicherheitstechnische Betrachtung IT-sicherheitstechnische Betrachtung Theorie

1 Virtualisierung

© 2008 Prof. Dr. G. Hellberg

Server-VirtualisierungServer-Virtualisierung IT-sicherheitstechnische BetrachtungIT-sicherheitstechnische Betrachtung

Theorie und PraxisTheorie und PraxisProf. Dr. G. HellbergProf. Dr. G. Hellberg

2 Virtualisierung


Aufbau des Seminars (1. Tag)

• Einführung / Motivation• Virtualisierung Grundlagen:

– Was ist Virtualisierung?– Begrifflichkeiten– Architektur virtueller Server / Systeme– Wie funktioniert eine virtuelle Maschine?– Typische Einsatzgebiete virtueller Systeme

• Vorteile / Nachteile virtueller Systeme• Marktübersicht• Installation virtueller Systeme• Konfiguration virtueller Systeme• Beispielinstallation verschiedener Betriebssysteme

3 Virtualisierung


Aufbau des Seminars (2. Tag)

• Weitere Beispielinstallationen verschiedener Betriebssysteme• Installation eines Virtuellen Servers unter Windows / Linux• Konfigurationsmöglichkeiten für verschiedene Einsatzgebiete• Einrichten einer virtuellen Maschine• Möglichkeiten des Remotemanagements / Fernwartung• Troubleshooting eines virtuellen Systems• Wiederherstellung nach einem Ausfall• Hochverfügbarkeitsmöglichkeiten mittels Replikation und Clustering;

Grenzen des Einsatzes• Datensicherungskonzepte• Sicherheitstechnische Aspekte der Virtualisierung• Gefahren und Risiken• Sicherheitsmassnahmen• Diskussion verschiedener praxisnaher Szenarien / Beispielen• Ausblick

4 Virtualisierung


Einführung / Motivation

• Virtualisierung gilt zur Zeit unumstritten als einer der Megatrends in der IT (ist aber sehr alt ):

5 Virtualisierung



• Was wissen Sie bereits über Virtualisierung?• In welchem Bereich / welchen Bereichen verwenden

Sie bereits Virtualisierung?• Welche Erwartungen haben Sie an dieses Seminar?

6 Virtualisierung


Was meint eigentlich “virtuell”

• Es existiert und man kann es sehen– Real

• Es existiert nicht, aber man sieht es – Virtuell

• Es existiert, aber man sieht es nicht– Unsichtbar

• Es existiert nicht und man sieht es nicht– Dann ist es weg

Als virtuell gilt die Eigenschaft einer Sache, die nicht in der Form existiert, in der sie zu wirken scheint, aber in ihrem Wesen und ihrer Wirkung einer real existierenden Sache gleichartig ist. Das Wort führt über den französischen Begriff virtuel („fähig zu wirken, möglich“) zurück auf das lateinische Wort virtus („Tugend, Tüchtigkeit, Kraft, Männlichkeit“).Virtualität spezifiziert also ein gedachtes, oder über seine Eigenschaften konkretisiertes Objekt, das zwar nicht physisch, aber doch in seiner Funktionalität oder Wirkung vorhanden ist. Mit anderen Worten: Dinge, die offensichtlich nicht existieren, wirken so, als ob sie existieren, oder wirken zumindest auf vergleichbare Weise.Quelle: Wikipedia

7 Virtualisierung


ArchitectedFishingInterface

Virtual IceHas better RAS than real ice

Virtualization Gives Users Idealized Resources

8 Virtualisierung



• Virtualisierung gilt zur Zeit unumstritten als einer der Megatrends in der IT (ist aber sehr alt ):

• Virtualisierung verheißt mehr Leistung auf weniger Rechnern bei besserer Ausnutzung der Hardware und maximaler Flexibilität. Eine Virtualisierunglösung (am besten Open Source), Linux und günstige x86-Hardware – das verspricht Serverkonsolidierung bei gleichzeitig geringen Kosten.

• Bei Webhoster schon längere Zeit beliebtes Vorgehen soll jetzt in großem Stil in die Rechenzentren einziehen.

• Schade bloß, dass das alles so unübersichtlich ist. • Zwei Hauptaspekte sollten berücksichtigt werden:

– Die Auswahl eines geeigneten Systems– Betrachtung und Einschätzung der Sicherheit

9 Virtualisierung



• Virtuelle Maschinen erobern immer mehr die Server in Rechenzentren und die Testplätze von Entwicklern, Trainern, Admins oder Consultans. Selbst im Privatbereich kann mit Programmen, wie dem kostenlosen VMware Player, ein virtueller Zweitrechner für Testzwecke betrieben werden.

• Das Thema Virtualisierung umfasst eigentlich viele Bereiche – von der Speichervirtualisierung im SAN bis hin zur Applikationsvirtualisierung mit Citrix Presentation Server (zwei Beispiele). Viele meinen derzeit jedoch damit häufig Produkte von VMware, Microsoft Virtual Server / PC, das OpenSource-Projekt XEN oder ähnliche Software, die auf einer einzigen Hardware mehrere Computer nachbildet, um darin jeweils unabhängige Betriebssysteme laufen zu lassen. Die Konzepte für die praktische Anwendung und das Wissen zur Bedienung dieser virtuellen Maschinen unter VMware werden unter Berücksichtigung der Sicherheitsaspekte detailliert in diesem Seminar erörtert.

10 Virtualisierung


Grundlagen Virtualisierung

• Virtualisierung (1. Sicht)• Unter Virtualisierung versteht man eine abstrakte Ebene, die

die physische Hardware vom Betriebssystem entkoppelt und somit eine größere Auslastung der IT-Ressourcen und eine höhere Flexibilität ermöglicht.

• Mit Virtualisierung ist es möglich, mehrere virtuelle Maschinen mit heterogenen Betriebssystemen einerseits isoliert, andererseits jedoch nebeneinander auf der gleichen physischen Maschine auszuführen. Jede virtuelle Maschine verfügt über einen eigenen virtuellen Hardware-Satz, wie z. B. RAM-Speicher, CPU, NIC, usw., auf den das Betriebssystem und die Anwendungen geladen werden. Das Betriebssystem erkennt, unabhängig von den tatsächlichen physischen Hardware-Komponenten, einen konsistenten und normalisierten Hardware-Satz.

11 Virtualisierung



• Virtuelle Maschinen sind in Dateien eingekapselte Komponenten. Somit kann eine virtuelle Maschine schnell gespeichert, kopiert und bereitgestellt werden. Komplettsysteme (voll konfigurierte Anwendungen, Betriebssysteme, das BIOS und die virtuelle Hardware) können aufgrund des Wegfalls von Ausfallzeiten und der kontinuierlichen Auslastungskonsolidierung binnen Sekunden von einem physischen Server auf einen anderen verschoben werden.

• Virtualisierung wurde in den sechziger Jahren erstmals erwähnt und angewendet und ermöglichte damals die Partitionierung großer Mainframe-Hardware - seinerzeit eine knappe und äußerst teure Ressource. Mit den Jahren stellten Mini-Computer und PCs eine immer effizientere und günstige Möglichkeit dar, Verarbeitungsleistung zu verteilen, sodass Virtualisierung in den achtziger Jahren nicht mehr so stark verbreitet war.

12 Virtualisierung



• In den neunziger Jahren begannen Wissenschaftler zu erkennen, wie Virtualisierung einige der Probleme lösen könnte, die mit der Verbreitung günstigerer Hardware, mit Unterauslastung, mit immer höher werdenden Verwaltungskosten und Sicherheitslücken zusammenhingen.

• Heutzutage liegt Virtualisierung wieder voll im Trend, da Unternehmen diese Technologie nutzen können, um die globale IT-Infrastruktur skalierbar, sicher und verwaltbar zu machen.

•

13 Virtualisierung



• Virtualisierung (2. Sicht)• In der Informatik ist die eindeutige Definition des Begriffs Virtualisierung

schwierig zu verfassen. Es gibt viele Konzepte und Technologien im Bereich der Hardware und Software, die diesen Begriff verwenden. Ein sehr offener Definitionsversuch könnte wie folgt lauten:

• Virtualisierung bezeichnet Methoden, die es erlauben, Ressourcen eines Computers aufzuteilen.

• Primäres Ziel ist, dem Benutzer eine Abstraktionsschicht zur Verfügung zu stellen, die ihn von der eigentlichen Hardware – Rechenleistung und Speicherplatz – isoliert. Eine logische Schicht wird zwischen Anwender und Ressource eingeführt, um die physischen Gegebenheiten der Hardware zu verstecken. Dabei wird jedem Anwender (so gut es geht) vorgemacht, dass er (a) der alleinige Nutzer einer Ressource sei, bzw (b) werden mehrere (heterogene) Hardwareressourcen zu einer homogenen Umgebung zusammengefügt. Die für den Anwender unsichtbare bzw. transparente Verwaltung der Ressource ist dabei in der Regel die Aufgabe des Betriebssystems.

http://de.wikipedia.org/wiki/Informatik

http://de.wikipedia.org/wiki/Betriebsmittel_%28Informatik%29

http://de.wikipedia.org/wiki/Transparenz_%28Computer%29

http://de.wikipedia.org/wiki/Betriebssystem

14 Virtualisierung



• Wir unterscheiden die folgenden Möglichkeiten:

• Zwei verschiedene Arten der Virtualisierung. Links durch eine Virtualisierungssoftware (z. B. VMware, DataSynapse Gridserver), rechts durch Virtualisierung auf Hardwareebene (z. B. AMD64 mit Pacifica).

http://de.wikipedia.org/wiki/AMD_Virtualization

15 Virtualisierung



• Softwarevirtualisierung • Erzeugung virtueller Betriebsumgebungen

– Betriebssystemvirtualisierung mittels OS-Container – Systemvirtualisierung mittels Virtual Machine Monitor (VMM)

• Hardware-Emulation (fälschlicherweise auch Full Virtualization genannt) • Hardware-Virtualisierung (Native Virtualization, Full Virtualization) • Paravirtualisierung

• Applikationsvirtualisierung • Hardware-Virtualisierung • Systemvirtualisierung auf physischer Hardwareebene

– Partitionierung – Domaining

• Prozessorvirtualisierung • Speichervirtualisierung

16 Virtualisierung



• Erzeugung virtueller Betriebsumgebungen • Betriebssystemvirtualisierung mittels OS-Container • Bei Virtualisierung auf Betriebssystemebene wird anderen

Computerprogrammen eine komplette Laufzeitumgebung virtuell innerhalb eines geschlossenen Containers oder „jails“ zur Verfügung gestellt, es wird kein zusätzliches Betriebssystem gestartet. Die OS-Container stellen eine Teilmenge des Wirtbetriebssystems dar. Vorteil dieses Konzepts liegt in der guten Integration der Container an das Gastbetriebssystem. Der Nachteil dieses Konzepts liegt in den Containern. Aus den Containern heraus können keine Treiber geladen bzw. andere Kernel geladen werden. Bei der OS-Virtualisierung läuft immer nur ein Kernel.

• z. B.: OpenSolaris Zoning, BSD jails, Mac-on-Linux

http://de.wikipedia.org/wiki/Computerprogramm

http://de.wikipedia.org/wiki/Laufzeitumgebung

http://de.wikipedia.org/wiki/OpenSolaris

http://de.wikipedia.org/w/index.php?title=Zoning_%28Informatik%29&action=edit

http://de.wikipedia.org/wiki/Jail

http://de.wikipedia.org/wiki/Jail

http://de.wikipedia.org/wiki/Mac-on-Linux

17 Virtualisierung



• Systemvirtualisierung mittels Virtual Machine Monitor (VMM)• Bei Virtualisierung mittels eines Virtuelle Maschinen-Monitors werden die

bereitstehenden nativen Ressourcen intelligent verteilt. Dies kann durch Hardware-Emulation, Hardware-Virtualisierung oder Virtualisierung mittels Hypervisors stattfinden. Den einzelnen Gast-Systemen wird dabei jeweils ein eigener kompletter Rechner mit allen Hardware-Elementen (Prozessor, Laufwerke, Arbeitsspeicher, usw.) vorgegaukelt.

• Der Vorteil ist, dass an den Betriebssystemen selbst (fast) keine Änderungen erforderlich sind und die Gast-Systeme alle ihren eigenen Kernel laufen haben, was eine gewisse Flexibilität im Ggs. zur Betriebssystemvirtualisierung mit sich bringt.

• Wenn weder diese Hardware-Elemente, noch die Betriebssysteme der Gastsysteme diese Form der Virtualisierung unterstützen, muss die Virtualisierungssoftware eine Emulationsschicht benutzen, um jedem Gast-System vorzugaukeln, es hätte die Hardware für sich allein. Diese Emulation ist oft weniger effizient als direkter Zugriff auf die Hardware, was dann zu einer verringerten Geschwindigkeit führen kann.

• Bsp.: VMware Workstation, Microsoft Virtual PC, VirtualBox

http://de.wikipedia.org/wiki/Virtuelle_Maschine





http://de.wikipedia.org/wiki/Prozessor_%28Hardware%29

http://de.wikipedia.org/wiki/Laufwerk_%28Computer%29

http://de.wikipedia.org/wiki/Arbeitsspeicher

http://de.wikipedia.org/wiki/Emulator

http://de.wikipedia.org/wiki/VMware


http://de.wikipedia.org/wiki/Microsoft_Virtual_PC



http://de.wikipedia.org/wiki/VirtualBox

18 Virtualisierung



• Hardware-Emulation (fälschlicherweise auch Full Virtualization genannt)

• Die Virtuelle Maschine simuliert die komplette Hardware und ermöglicht einem nichtmodifizierten Betriebssystem, das für eine andere CPU ausgelegt ist, den Betrieb.

• (z. B. Bochs (hier anstatt Emulation Simulation), PPC-Version von Microsoft Virtual PC)

• Hardware-Virtualisierung (Native Virtualization, Full Virtualization)• Die Virtuelle Maschine stellt dem Gastbetriebssystem nur Teilbereiche

der physischen Hardware in Form von virtueller Hardware zur Verfügung. Diese reicht jedoch aus, um ein unverändertes Betriebssystem darauf in einer isolierten Umgebung laufen zu lassen. Das Gast-System muss hierbei für den gleichen CPU-Typ ausgelegt sein.

• (z. B. VMware, x86-Version von Microsoft Virtual PC, Xen 3.0 auf Prozessoren mit Hardware-Virtualisierungstechnologien: Intel VT-x oder AMD Pacifica)

http://de.wikipedia.org/wiki/Bochs








http://de.wikipedia.org/wiki/Xen

http://de.wikipedia.org/wiki/Intel_Virtualization_Technology


19 Virtualisierung



• Paravirtualisierung• Bei Paravirtualisierung wird zwar ein zusätzliches

Betriebssystem virtuell neu gestartet, jedoch wird keine Hardware virtualisiert oder emuliert, sondern die virtuell gestarteten Betriebssysteme verwenden eine abstrakte Verwaltungsschicht um auf gemeinsame Ressourcen (Netzanbindung, Festplattenspeicher, Benutzerein/-ausgaben) zuzugreifen.

• z. B.: Red Hat Fedora Core 5 mit Xen 3.0, Suse Linux Enterprise Server mit Xen

http://de.wikipedia.org/w/index.php?title=Paravirtualisierung&action=edit

http://de.wikipedia.org/wiki/Hardware_%28Computer%29

http://de.wikipedia.org/wiki/Fedora_Core





http://de.wikipedia.org/wiki/Suse_Linux_Enterprise_Server




20 Virtualisierung



• Applikationsvirtualisierung • Applikationsvirtualisierung ist das lokale Ausführen von

Desktop- oder Server-Anwendungen, ohne dass diese installiert werden müssen (vergleiche dazu Softwareinstallation und Terminal Services). Der virtualisierten Anwendung wird dazu eine virtuelle Umgebung generiert, die alle Registry-Einträge, Dateien und andere Komponenten enthält, die das Programm zur Ausführung benötigt. Diese virtuelle Umgebung wirkt dabei wie eine Puffer-Lage zwischen der Anwendung und dem Betriebssystem und verhindert Konflikte mit anderen Applikationen oder dem Betriebssystem.

• z. B. Java VM

http://de.wikipedia.org/w/index.php?title=Applikationsvirtualisierung&action=edit

http://de.wikipedia.org/wiki/Java_Virtual_Machine

21 Virtualisierung



• Hardware-Virtualisierung • Hierfür können entweder das ganze System

(Partitioning mit LPAR, Domaining) oder einzelne seiner Komponenten wie z. B. CPU (Intels Vanderpool oder AMDs Pacifica) virtualisiert werden.

http://de.wikipedia.org/wiki/LPAR

http://de.wikipedia.org/wiki/Intel_VT

http://de.wikipedia.org/wiki/Intel_VT




22 Virtualisierung



• Systemvirtualisierung auf physischer Hardwareebene• Partitionierung• Partitionierung bezeichnet das Splitten einer einfach

vorhandenen, gewöhnlich großen Ressource (wie z. B. Festplattenspeicher oder Netzbandbreite) in eine kleinere handlichere Anzahl von System des gleichen Typs. Dies wird häufig auch als Zoning bezeichnet, in z. B. Storage Networks.

• z. B. IBM LPAR• Domaining• Prozessorvirtualisierung• z. B. Intels Vanderpool, AMDs Pacifica• Speichervirtualisierung • z. B. Ardence, Cassatt• siehe auch Adaptive Computing

http://de.wikipedia.org/w/index.php?title=Systemvirtualisierung&action=edit

23 Virtualisierung



• Virtualisierung (3. Sicht)• Von Hewlett-Packard stammt die präziseste

Definition: "Virtualisierung ist eine Herangehensweise in der IT, die Ressourcen so zusammenfasst und verteilt, dass ihre Auslastung optimiert wird und automatisch Anforderungen zur Verfügung steht."

24 Virtualisierung



• Architektur virtueller Server / Systeme

25 Virtualisierung



• Architektur virtueller Server / Systeme z.B. VMware Standards• Hypervisors sind die primäre Virtualisierungskomponente, mit deren Hilfe die

grundlegende Partitionierung von Computer-Systemen durchgeführt werden kann (z. B. einfaches Partitionieren von CPU, Speicher und I/O). Eines der grundlegenden funktionalen Elemente bei VMware ESX Server ist ein integrierter VMware Hypervisor.

• Im Zuge der fortschreitenden Entwicklung innerhalb der Virtualisierungstechnologie und der Verbesserung der unterliegenden Hardware könnte die Hypervisor-Funktion in einem alleinstehenden Software-Layer untergebracht werden; in mit einem bestimmten Betriebssystem verknüpfter Hardware oder Software. Ein Hypervisor-Framework mit offenen Standards kommt dem Kunden insofern zugute, als es zur Nutzung von Standard-Hypervisor-Funktionen ein Ökosystem aus interoperierenden Virtualisierungsanbietern und Lösungen ermöglicht.

• VMware trägt mit dem bestehenden Framework aus Schnittstellen - den sogenannten Virtual Machine Hypervisor-Schnittstellen (VMHI) - das auf den wirtschaftlich erfolgreichen Virtualisierungsprodukten basiert, dazu bei, die Entwicklung dieser Standards in einer industrieneutralen Weise zu unterstützen. Diese Frameworks und Schnittstellen werden unten beschrieben.

26 Virtualisierung



• Architektur virtueller Server / Systeme im Vergleich zum NT 4.0 BS-Architektur-Modell:

POSIXapplication

OS/2subsystem

POSIXsubsystem

Applications

ProtectedSubsystems

(Servers)

Windows NTExecutive

Executive Services

I/O Manager

Microkernel

Hardware Abstraction Layer (HAL)

ObjectManager Security

ReferenceMonitor

ProcessManager

LocalProcedure

CallFacility

VirtualMemoryManager

Win32KWindowManager& GDI

User Mode

Kernel Mode

GraphicDeviceDrivers

Win32 application

Securitysubsystem

Logonprocess

OS/2application

CSRsubsystem

Hardware

27 Virtualisierung



• Wie funktioniert eine virtuelle Maschine?• Dieses möchte ich zunächst anhand eines

Beispieles mit VMware Workstation 5.5 in einer praktischen Demonstration veranschaulichen:

• Praktisches Beispiel.

28 Virtualisierung



• Typische Einsatzgebiete virtueller Systeme: (a)– Als Techniker oder Consultant müssen Sie komplexe

Testumgebungen aufbauen? Mit mehreren Rechnern – Clients wie Servern -, die oft sogar untereinander zu vernetzen sind.

– Als leitender Mitarbeiter sind Sie dafür verantwortlich, die IT-Kosten im Rahmen zu halten? Sie ärgern sich über jeden neu angeschafften Server-Boliden, der dann wieder völlig unterfordert, strom- und platzfressend im 19“-Schrank hängt.

– Im Support, im Helpdesk oder auch als Trainer benötigen Sie ständig andere PC´s mit unterschiedlichen Betriebssystemen und Konfigurationen? Diese Rechner müssen jederzeit bereitstehen und auf Abruf sofort laufen.

– Als Administrator wünschen Sie sich schon lange eine Pilotumgebung, in der Sie völlig entspannt neue Service-Packs, Patches und Migrationen ausprobieren können.

29 Virtualisierung



• Typische Einsatzgebiete virtueller Systeme: (b)– Als Programmierer oder Webdesigner würden Sie gerne

eine lauffähige Entwicklungsumgebung aus Web- oder Datenbankserver inkl. passender Clients ständig mit dabei haben? Diese Rechner möchten Sie zusätzlich als Demo-Umgebung unkompliziert an Ihre Kunden weitergeben.

– Sie sind ein ambitionierter Laie, der schnell einmal ein neues Betriebssystem, etwa Linux, ausprobieren möchte, ohne gleich einen neuen Rechner zu kaufen oder das bestehende System durch parallele Installationen zu gefährden.

30 Virtualisierung



• Vorteile / Nachteile virtueller Systeme:• Grössere Flexibilität gegenüber echter Hardware

– Unterschiedliche BS auf der gleichen Hardware– Verringerung der Anzahl physischer Server– Flexible Verteilung von Ressourcen– Einfaches Kopieren virtueller Maschinen

31 Virtualisierung



• Grössere Flexibilität gegenüber echter Hardware– Unterschiedliche BS auf der gleichen HardwareLinux läuft neben Windows oder Netware. Durch diese

Flexibilität können Sie komplexe Testumgebungen auf einem einzigen Rechner aufbauen oder alte Systeme im Serverraum auf wenige Maschinen konsolidieren.

32 Virtualisierung



• Grössere Flexibilität gegenüber echter Hardware– Verringerung der Anzahl physischer ServerDas führt zu Ersparnissen bei Strom, Platz und Anschaffung.

Die vorhandene physikalische Hardware wird durch mehrere virtuelle Maschinen besser ausgelastet – keine Verwschwendung mehr von teuren Serverressourcen.

33 Virtualisierung



• Grössere Flexibilität gegenüber echter Hardware– Flexible Verteilung von RessourcenRAM, CPU, Netzwerkkarten und Plattenplatz werden genau

den virtuellen Maschinen zugewiesen, die sie wirklich brauchen, ohne Umbau physischer Komponenten. Ein skalierbarer Ausbau der Kapazitäten und die Lastverteilung sind teilweise im laufenden Betrieb möglich.

34 Virtualisierung



• Grössere Flexibilität gegenüber echter Hardware– Einfaches Kopieren virtueller MaschinenDamit geben Sie fertig installierte und konfigurierte Gäste an

Kunden oder Mitarbeiter auf DVD, USB-Platte oder sogar per Internet-Download weiter. Sie verteilen sie auf eine komplette Demo-Umgebung zum sofortigen Starten und Evaluieren einer Anwendung. Genauso betreiben Sie Ihre Testumgebung aus der Firma problemlos auf dem Laptop im Hotel, unterwegs im Zug oder zu Hause.

35 Virtualisierung



• Vorteile / Nachteile virtueller Systeme:• Hardware-Unabhängigkeit der Gastsysteme in den

VM´s– Einfacher Hardwarewechsel oder Klonen von Systemen– Sehr schnelles Bereitstellen neuer virtueller Rechner– Schnelles Abzweigen einer Test- oder Pilotumgebung

36 Virtualisierung



• Hardware-Unabhängigkeit der Gastsysteme in den VM´s– Einfacher Hardwarewechsel oder Klonen von SystemenIn den VMs ist immer die gleiche virtuelle Hardware

vorhanden, unabhängig davon, welche physische Hardware darunter liegt. Gastsysteme werden ohne Treiberärger einfach kopiert.

37 Virtualisierung



• Hardware-Unabhängigkeit der Gastsysteme in den VM´s– Sehr schnelles Bereitstellen neuer virtueller RechnerDurch Kopieren von fertig installierten Mustervorlagen entfällt

die komplette Neuinstallation des Betriebssystems in jeder weiteren Maschine. Die Notwendigkeit zur Hardware-Beschaffung wird verringert.

38 Virtualisierung



• Hardware-Unabhängigkeit der Gastsysteme in den VM´s– Schnelles Abzweigen einer Test- oder PilotumgebungWenn die Systeme bereits virtualisiert sind, ist eine Kopie der

aktuellen virtuellen Produktionsserver möglich, um in Sicherheit Patches oder Einstellungen zu testen. Zusätzliche Hardware und aufwändiges Klonen ist nicht mehr notwendig.

39 Virtualisierung



• Vorteile / Nachteile virtueller Systeme:• Vorteile virtueller Maschinen im täglichen Einsatz

– Schnelle und einfache Disaster Recovery– Testen ohne Reue– Isolation sich beeinflussender Applikationen– Laufende Server ohne Ausfallzeit auf andere Hardware

verschieben

40 Virtualisierung



• Vorteile virtueller Maschinen im täglichen Einsatz– Schnelle und einfache Disaster RecoveryDurch Sichern kompletter virtueller Systemplatten mit den

darin enthaltenen Betriebssystemen und Applikationen, ähnlich dem Image, erfolgt das Zurückspielen der virtuellen Systeme innerhalb von Minuten durch einfaches Kopieren.

41 Virtualisierung



• Vorteile virtueller Maschinen im täglichen Einsatz– Testen ohne ReueWiederanlaufpunkte mittels RedoLogs, Snapshot und Revert

sind eine besondere Komfortfunktion virtueller Maschinen. Damit sichern Sie Systemzustände, z.B. vor anstehenden Installationen. Änderungen lassen sich jederzeit auf Knopfdruck wieder verwerfen. Ohne langwierig Festplattenimages zurückzuspielen, steht das System in der VM sofort wieder im sauberen Zustand vor der Änderung.

42 Virtualisierung



• Vorteile virtueller Maschinen im täglichen Einsatz– Isolation sich beeinflussender ApplikationenKritische Anwendungen bekommen in Minutenschnelle einen

Server für sich allein, der von einer vorhandenen Mustervorlage geklont wird.

43 Virtualisierung



• Vorteile virtueller Maschinen im täglichen Einsatz– Laufende Server ohne Ausfallzeit auf andere Hardware

verschiebenBei Wartung an der Hardware bemerken angemeldete Nutzer

keinerlei Unterbrechung, das kann allerdings nicht jedes Virtualisierungsprodukt. Bei Hardware-Ausfall lassen sich virtuelle Server schnell wieder auf anderen Hosts starten.

44 Virtualisierung



• Vorteile / Nachteile virtueller Systeme:• Die Hemmschwelle: Nachteile, Stabilität, Sicherheit virtueller Maschinen• Einige kurze und knappe Aussagen dazu:

– VMs laufen stabil– Virtuelle Maschinen sind vielfach praxiserprobt– Der leichte Performance-Verlust durch die Virtualisierung kann in den

meisten Fällen vernachlässigt werden, ausser bei stark ausgelasteten Servern

– Für Testumgebungen sind VMs fast uneingeschränkt zu empfehlen. Nur spezielle Hardware kann nicht immer problemlos verwendet werden, z.B. Messplätze oder Multimedia-Anwendungen

– In Produktionsumgebungen gibt es seltene Anwendungsfälle, wo eine Virtualisierung nicht sinnvoll oder sogar unmöglich ist. Hier ist eine gute Vorbereitung notwendig. Hauptsächlich bereiten Performancefragen oder spezielle Hardware Probleme. Ein Großteil der Server sind aber potentielle Virtualisierungskandidaten

– VMs bieten in den meisten Anwendungsfällen grundsätzlich viel mehr Vorteile als Nachteile

45 Virtualisierung



• Vorteile / Nachteile virtueller Systeme:• Nachteile und Grenzen virtueller Maschinen

– Nicht jede Hardware wird in virtuellen Maschinen unterstützt– Bestimmte Ressourcen stehen nur begrenzt zur Verfügung– Performanceprobleme– Single Point of Failure– Zusätzliches Know-how erforderlich

46 Virtualisierung



• Nachteile und Grenzen virtueller Maschinen– Nicht jede Hardware wird in virtuellen Maschinen unterstütztViele Einschränkungen lassen sich zwar umgehen, z.B. kann

als Ersatz für ISDN-Karten ein sogenannter LAN-CAPI verwendet werden. Manche Einschränkungen sind aber unausweichlich, z.B. erkennt ein Gastsystem keine Hardware-Dongles im PCI-Slot.

47 Virtualisierung



• Nachteile und Grenzen virtueller Maschinen– Bestimmte Ressourcen stehen nur begrenzt zur VerfügungDie meisten Virtualisierer reichen bespielsweise nur 3,6 GB

RAM (ESX-Server bis zu 16 GB) oder nur eine CPU (VMware bis zu 2 CPUs, ESX-Server bis zu 4 CPUs) in eine VM durch.

48 Virtualisierung



• Nachteile und Grenzen virtueller Maschinen– PerformanceproblemeDie Leistung der physischen Hardware kann in einer VM nicht

vollständig genutzt werden. Dieser Punkt spielt allerdings nur bei sehr hochlastigen Servern eine Rolle. Aktuelle Hardware wird nur in den wenigsten Fällen von einem Betriebssystem und den Applikationen voll ausgelastet.

49 Virtualisierung



• Nachteile und Grenzen virtueller Maschinen– Single Point of FailureFällt der Virtualisierungshost aus, dann laufen gleich mehrere

virtuelle Server und Dienste nicht mehr. Durch mehrere physische Server und Ausfallkonzepte wie Clustering muss dieser Punkt in kritischen Umgebungen besonders abgesichert werden.

50 Virtualisierung



• Nachteile und Grenzen virtueller Maschinen– Zusätzliches Know-how erforderlichZur sicheren Bedienung und Verwaltung der vorhandenen

Systeme und der Applikationen kommt zusätzlich der Umgang mit der virtuellen Infrastruktur hinzu.

51 Virtualisierung



• Vorteile virtueller Systeme: (2. Sicht)• Partitionierung• Mehrere Anwendungen und Betriebssysteme werden auf einem physischen System

unterstützt. • Server können entweder auf Basis einer Scale-up- oder einer Scale-out-Architektur in

virtuelle Maschinen konsolidiert werden. • Rechenressourcen werden als ein Pool behandelt, die virtuellen Maschinen auf

kontrollierte Art und Weise zugewiesen werden. • Isolierung• Virtuelle Maschinen sind vollständig von der Server-Maschine und anderen virtuellen

Maschinen isoliert. Im Falle eines Ausfalls einer virtuellen Maschine bleiben die übrigen Maschinen davon unberührt.

• Daten können nicht auf andere virtuelle Maschinen ausweichen, und Anwendungen können nur über konfigurierte Netzwerkverbindungen miteinander kommunizieren.

• Verkapselung• Die gesamte virtuelle Maschinenumgebung wird in einer Datei gespeichert und ermöglicht

dadurch einfaches Sichern, Verschieben und Kopieren. • Der Anwendung wird eine standardisierte, virtualisierte Hardware gegenübergestellt, die

Kompatibilität gewährleistet.

52 Virtualisierung



• Marktübersicht:– VMware Produkte

• VMware Workstation 5.5, 6.0, VMware Player• VMware Server 1.0 und Version 2.0• VMware ESX Server 3 und Virtual Center 2 (Virtual

Infrastructure 3)– Microsoft Produkte

• Microsoft Virtual PC 2004 und Virtual PC 2007• Microsoft Virtual Server 2005 RC2, Server Hyper V 2008

– Weitere: Virtuozzo, OpenVZ, Linux-V-Server, XEN, VirtualBox, Qemu, SHype (IBM)

53 Virtualisierung



• Praktische Übungen:– Installation virtueller Systeme– Konfiguration virtueller Systeme– Beispielinstallation verschiedener Betriebssysteme

54 Virtualisierung



• Weitere Beispielinstallationen verschiedener Betriebssysteme• Installation eines Virtuellen Servers unter Windows / Linux• Konfigurationsmöglichkeiten für verschiedene Einsatzgebiete• Einrichten einer virtuellen Maschine• Möglichkeiten des Remotemanagements / Fernwartung• Troubleshooting eines virtuellen Systems• Wiederherstellung nach einem Ausfall• Hochverfügbarkeitsmöglichkeiten mittels Replikation und Clustering;

Grenzen des Einsatzes• Datensicherungskonzepte• Sicherheitstechnische Aspekte der Virtualisierung• Gefahren und Risiken• Sicherheitsmassnahmen• Diskussion verschiedener praxisnaher Szenarien / Beispielen• Ausblick

55 Virtualisierung


Ausblick: Virtualisierung

• Wird immer mehr an Bedeutung gewinnen• Neue Hardware (Multicore-CPU) wird

Virtualisierungstendenzen verstärken• iSCSI wird gerade im Mittelstand gefragtes SAN• Zentrales Management wird immer nötiger werden• Entwicklung einheitlicher Benchmarks speziell für

Virtualisierung wird notwendig werden (VMmark)• Betrachtungen der Sicherheitsaspekte werden

immer mehr Bedeutung erlangen

56 Virtualisierung


Diskussion / Fragen

Danke für Ihre Aufmerksamkeit.

Fragen?

Documents

© 2008 Prof. Dr. G. Hellberg 1 Virtualisierung Server-Virtualisierung IT-sicherheitstechnische Betrachtung IT-sicherheitstechnische Betrachtung Theorie