Security Professionals - ipfw add deny all from eindgebruikers to any

Virtualisatie - Wat is de meest "secure" manier om het uit te voeren?

31-01-2011, 09:42 door Dev_Null, 15 reacties
VRAAG: Wat - denk jij - is de beste en meest "secure" virtualisatie oplossing"
- Software virtualisatie:
Dus virtualisatie via 2 lagen (extra lagen) software zoals:
- "virtual machine provider" (zoals virtual box, vmware, ) bovenop
- "een laag "Windows, Unix, Linux, Apple, operating system layer"

- Hardware virtualisation
Virtualisatie, rechstreeks bovenop de hardware door virtual machine providers zoals Xen, VMware ESX server

- optie 3..
Reacties (15)
31-01-2011, 13:24 door Anoniem
Wat moet het doen?
02-02-2011, 09:21 door Dev_Null
Maakt dat iets uit Anoniem - Maandag 13:24?
02-02-2011, 09:36 door Anoniem
Door Dev_Null: Maakt dat iets uit Anoniem - Maandag 13:24?
In mijn beleving zijn beveiliging en automatisering geen doelen.
02-02-2011, 10:12 door MrTre
Qua performance zou ik zeggen direct op de hardware, met bijv. ESX server.

Als je bijvoorbeeld linux installeert (of windows) en daarop vmware workstation installeert, en dan je VM's heb j performance verlies omdat je host OS ook wat wilt hebben. Bij ESX heb je dat niet/minder.

Qua veiligheid, tsjah, wat voor veiligheid zoek je? Virussen die zich wel/niet kunnen verspreiden? Als ze niet door de VM heen kunnen breken kunnen ze de ander vast wel via het netwerk infecteren. (net zoals dat bij fysieke computers gebeurt)
02-02-2011, 10:35 door Anoniem
Voor een veilig gehardend virtualisatie platform heeft vmware een prima whitepaper met handreikingen:

http://blogs.vmware.com/security/2010/04/vsphere-40-hardening-guide-released.html

Verder moet je de reguliere maatregelen treffen die je normaal ook rondom een fysieke oplossingen zou treffen. (firewall, antivirus, ids, ips, etc)
02-02-2011, 10:57 door Anoniem
Het is algemeen bekend dat als je virtualiseert dat meeste mallware niet meer werkt dus is het veiliger dan op een fysiek systeem

Software :
Handig als je de pc wilt gebruiken tijdens het virtualliseren wilt gebruiken
Gebruikt meer memory omdat er een niet-getunede OS laag tussen zit

Hardware
Handig als je het dedicated wilt gebruiken voor virtualisatie, maar je kan je pc/server niet meer gebruiken voor andere zaken dan het virtualiseren.
Over het algemeen betere prestaties aangezien de software is afgestemt op de hardware en de resource footprint kleiner is
02-02-2011, 11:02 door ej__
Het is simpel: het komt niet in de buurt van de veiligheid met fysiek gescheiden servers. Zeker firewalls niet virtualiseren!

Zoek maar eens op hoe vaak er blunders in bijvoorbeeld VMware ESX hebben gezeten zodat alle vm's ongeautoriseerde toegang tot de hypervisor en dus tot alle vm's hebben gehad.
02-02-2011, 13:43 door Anoniem
@ej__: En daar komt dat heilige huisje 'firewalls' weer tevoorschijn. Ik ben wel benieuwd wat firewalls nu anders maakt dan, pakweg een www of dns server. In de context van virtualisatie natuurlijk, dat bied voor voor nog wat discussie nml.

@dev_null: je vergeet zaken als KVM, virtualbox en jails oplossingen zoals freebsd dat doet.
04-02-2011, 10:08 door Dev_Null
@dev_null: je vergeet zaken als KVM, virtualbox en jails oplossingen zoals freebsd dat doet.
Dank u wel voor deze toevoeging aan de discussie!
04-02-2011, 12:52 door ej__
Door Anoniem: @ej__: En daar komt dat heilige huisje 'firewalls' weer tevoorschijn. Ik ben wel benieuwd wat firewalls nu anders maakt dan, pakweg een www of dns server. In de context van virtualisatie natuurlijk, dat bied voor voor nog wat discussie nml.

Kraak de firewall en je hebt toegang tot alles. Kraak de dns server en je kunt bij dns data. Hoe moeilijk is dat?
04-02-2011, 14:20 door blondie1970
Bestaat er dan hardware virtualisatie??? Ook ESX is gewoon een OS (Linux kernel+) met daarop een hypervisor (VMWare). De Kernel + Hypervisor zijn dan wel zo klein mogelijk gemaakt maar in wezen is het natuurlijk gewoon software.

Dus is er verschil tussen software en software? Alleen dat de ene software de andere niet is. Als je erg geinsteresseerd bent in data afscherming tussen virtuele machines dan zou ik zeggen kijk naar KVM + SELinux. Redhat heeft hier interessante stukken over geschreven. Met de juiste SE magic kun je een extreme afscherming tussen je virtuele machines bewerkstelligen (bijna military grade). Maar ja ik weet niet of dit de beveiliging is die je bedoelt?
04-02-2011, 15:58 door Anoniem
het is net zo veilig als de kennis, en werkdruk van de beheerder.
04-02-2011, 22:48 door ej__
Ja, er bestaat hardware virtualisatie. Begin eens met een oudje: een ibm 360 en 370. Kijk eens naar wat ibm doet met zijn huidige mini's en mainframes.

Intel VT en AMD-V is hardware virtualisatie, niet op het nivo van IBM maar toch.

Hardware virtualisatie heeft software nodig om die aan te sturen, dat is ESX, Xen, etc.

Betere benaming is overigens hardware-assisted virtualization.
05-02-2011, 23:00 door staubsauger
Maar je hebt toch echt fysieke hardware nodig om überhaupt iet te kunnen virtualiseren.
Intel VT en AMD-V is geen hardware virtualisatie maar hardware simulatie.
07-02-2011, 07:25 door Anoniem
Zowel performance als security: ESXi. Qua performance moge dat duidelijk zijn. Qua security, omdat ESXi de kleinste footprint van allemaal heeft. Mocht je er toch uit breken, dan hou je ESXi over, het minst van allemaal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.