Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Virtual Appliance unsicher?

Hallo,

mich würde interessieren wie es mit der Sicherheit der Virtual Appliance für VMware aussieht, bezüglich Sicherheit im Vergleich gegenüber einer Hardware-Appliance.
In anderen Foren wird dringlichst davon abgeraten Firewalls auf einem Hypervisor zu installieren, da dies ein Sicherheitsrisiko ist.

Sollte demnach die Virtual Appliance nur in Testumgebungen oder als LAN-Firewall verwendet werden oder kann dem bedenkenlos widersprochen werden?

Vielen Dank für eure Meinung


This thread was automatically locked due to age.
Parents
  • Astaro als Hersteller wird hier sicherlich nicht seriös ein offizielles Statement abgeben können, da die Risikobewertung des Setups sehr stark von vielen unterschiedlichen Faktoren abhängt und Astaro nun nicht Dein Setup en detail kennt.

    Generell würde ich persönlich sagen, dass bei einem gut gewarteten VMWare-System, dessen Patch- und Operations Management okay ist, der Betrieb auf einer VMWare Umgebung nicht deutlich unsicherer ist, um relevant zu sein.

    Allerdings solltest Du das von einem seriösen IT-Security-Consultant selbst bewerten lassen. 

    Gegenfragen bzw Gedankenanstöße: Nutzt Du VLANs auf Deinen Switchen? Wenn ja, hast Du die gleichen physikalischen Switche für unterschiedliche Schutzzonen wie DMZ, LAN und WAN? Oder vertraust Du hier der Virtualisierung nicht?

    Hast Du Maschinen unterschiedlichen Schutzbedarfs auf dem gleichen VMWare Host laufen?

    Hast Du vielleicht ein SAN? Wenn ja, wer darf hier drauf zugreifen? Hast Du hier auch Maschinen unterschiedlichen Schutzbedarfs auf dem gleichen System rumturnen?

    Hast Du Maschinen aus unterschiedlichen Schutzzonen im gleichen Management-LAN, vielleicht mit nem zweiten Interface?

    Wie immer gilt: Virtualisierungstechnologien können erhebliche Vereinfachungen im Betrieb bieten, haben aber wie bei jeder logischen Abstraktion gewisse Restrisiken. 

    Ich selbst würde in einem "normalen" IT Betrieb VMWare durchaus akzeptieren und mir eher Gedanken über doofe User, Nicht-HTTPS-Scanning, USB-Portkontrolle und die Sicherheit meiner mobilen Endgeräte statt über die theoretischen Risiken einer VMWare Umgebung machen. Sofern ich jedoch bspw. einen Internetübergang für's Militär konzipieren würde, wären sämtliche logischen Abstraktionstools, bei denen unterschiedliche Schutzzonen nicht auf getrennter Physik abgebildet wären, raus.

    Just my 2 cents,
    Christian
Reply
  • Astaro als Hersteller wird hier sicherlich nicht seriös ein offizielles Statement abgeben können, da die Risikobewertung des Setups sehr stark von vielen unterschiedlichen Faktoren abhängt und Astaro nun nicht Dein Setup en detail kennt.

    Generell würde ich persönlich sagen, dass bei einem gut gewarteten VMWare-System, dessen Patch- und Operations Management okay ist, der Betrieb auf einer VMWare Umgebung nicht deutlich unsicherer ist, um relevant zu sein.

    Allerdings solltest Du das von einem seriösen IT-Security-Consultant selbst bewerten lassen. 

    Gegenfragen bzw Gedankenanstöße: Nutzt Du VLANs auf Deinen Switchen? Wenn ja, hast Du die gleichen physikalischen Switche für unterschiedliche Schutzzonen wie DMZ, LAN und WAN? Oder vertraust Du hier der Virtualisierung nicht?

    Hast Du Maschinen unterschiedlichen Schutzbedarfs auf dem gleichen VMWare Host laufen?

    Hast Du vielleicht ein SAN? Wenn ja, wer darf hier drauf zugreifen? Hast Du hier auch Maschinen unterschiedlichen Schutzbedarfs auf dem gleichen System rumturnen?

    Hast Du Maschinen aus unterschiedlichen Schutzzonen im gleichen Management-LAN, vielleicht mit nem zweiten Interface?

    Wie immer gilt: Virtualisierungstechnologien können erhebliche Vereinfachungen im Betrieb bieten, haben aber wie bei jeder logischen Abstraktion gewisse Restrisiken. 

    Ich selbst würde in einem "normalen" IT Betrieb VMWare durchaus akzeptieren und mir eher Gedanken über doofe User, Nicht-HTTPS-Scanning, USB-Portkontrolle und die Sicherheit meiner mobilen Endgeräte statt über die theoretischen Risiken einer VMWare Umgebung machen. Sofern ich jedoch bspw. einen Internetübergang für's Militär konzipieren würde, wären sämtliche logischen Abstraktionstools, bei denen unterschiedliche Schutzzonen nicht auf getrennter Physik abgebildet wären, raus.

    Just my 2 cents,
    Christian
Children
No Data