Gehostete Virtualisierung im Vergleich zur Bare-Metal-Virtualisierung
Im Wesentlichen gibt es zwei Virtualisierungskonzepte: die „gehostete“ Virtualisierung und die „Bare-Metal-Virtualisierung“. Gehostete Virtualisierungssoftware wird als Anwendung oder „Gast“ auf einem Allzweckbetriebssystem ausgeführt. Bare-Metal-Virtualisierungslösungen verfügen über eine direkte Schnittstelle zur Hardware und benötigen daher kein Betriebssystem. Weiter unten finden Sie Erläuterungen zu häufigen Sicherheitsproblemen und zu den Unterschieden zwischen gehosteten und Bare-Metal-Virtualisierungsplattformen.
| Problem | Gehostet | Bare-Metal |
|---|---|---|
| Sicherheitslücken im zugrunde liegenden Betriebssystem | Gehostete Virtualisierungsprodukte werden auf Allzweckbetriebssystemen ausgeführt und sind somit anfällig für alle Sicherheitslücken und Angriffe, denen diese Systeme ausgesetzt sind. | Bare-Metal-Virtualisierungslösungen von VMware basieren auf „VMkernel“, einem speziellen Mikrokernel, der wesentlich weniger Angriffsmöglichkeiten bietet als Allzweckbetriebssysteme. |
| Daten- und Dateifreigabe zwischen Gast- und Hostsystem | Die meisten gehosteten Virtualisierungsprodukte verfügen über Methoden zur Freigabe von Anwenderinformationen zwischen Gast- und Hostsystem (gemeinsam genutzte Ordner, Zwischenablagen usw.). Sie sind praktisch, jedoch auch anfällig für Datendiebstahl und schädlichen Code. | ESX ist eine spezielle Lösung für virtualisierte Umgebungen, daher ist ein gesonderter Mechanismus zur Freigabe von Anwenderinformationen zwischen Host und virtuellen Maschinen nicht erforderlich. |
| Ressourcenzuweisung | Gehostete Virtualisierungsprodukte werden als Anwendungen auf dem Hostbetriebssystem ausgeführt. Sie sind also vom Betriebssystem und anderen Anwendungen abhängig. | Bare-Metal-Virtualisierungslösungen von VMware verfügen dagegen über intelligente Funktionen zur Ressourcenzuweisung und Isolierung virtueller Maschinen von den zugrunde liegenden Hardwarekomponenten. So kann keine virtuelle Maschine auf alle Ressourcen zugreifen und einen Systemabsturz verursachen. |
| Anwendungsbereich | Gehostete Virtualisierungslösungen eignen sich für Umgebungen mit vertrauenswürdigen virtuellen Gastmaschinen. Dies beinhaltet die Softwareentwicklung, Tests, Demonstrationen und Fehlerbehebungen. | ESX ist für den Einsatz in Produktionsumgebungen geeignet, in denen virtuelle Gastmaschinen potenziell böswilligen Anwendern und Netzwerkzugriffen ausgesetzt sind. Eine leistungsfähige Isolierung und eine strenge Trennung des administrativen Zugriffs reduzieren das Risiko schädlicher Aktivitäten über den Bereich der virtuellen Maschine hinaus. |
Schlanke Virtualisierung: Umfassende Sicherheit in einem kompakten Paket
Eine „schlanke“ Virtualisierung, wie sie z.B. von VMware ESXi 3.5 bereitgestellt wird, stellt den nächsten Schritt bei der Virtualisierung dar und führt zu einer deutlich höheren Sicherheit und besserer Verwaltbarkeit.
- Durch die reduzierte Größe weisen schlanke Lösungen wesentlich weniger Angriffsmöglichkeiten und Sicherheitslücken auf.
- Aufgrund ihrer Unabhängigkeit von einer übergeordneten Partition oder einer Konsole, die auf einem Allzweckbetriebssystem basiert, entstehen weniger Schnittstellen, die auch für böswillige Angriffe genutzt werden könnten. Ein wichtiger Aspekt angesichts der Gerätetreiberpfade von der VM zur physischen Hardware.
- Unstrukturierte, konsolenbasierte Administrationsinteraktionen werden durch authentifizierte und geprüfte Schnittstellen wie den VI-Client und die Remote-CLI ersetzt.
Machen Sie den nächsten Schritt.
Im VMware Security Center erhalten Sie aktuelle Informationen zu Sicherheitsproblemen. Im VMware Virtual Appliance Marketplace finden Sie zertifizierte virtuelle Sicherheits-Appliances.