Der Schutz der ESX-Server ist von zentraler Bedeutung. Ist der ESX-Host kompromittiert, so sind die virtuellen Gäste vermutlich ebenfalls in Mitleidenschaft gezogen. Symantec liefert mit Symantec Critical System Protection (SCSP) eine Sicherheits-Suite für ESX-Server-Systeme. Diese greift direkt auf der Ebene des Hosts ein. Daneben steht als ergänzender Schutz der virtuellen Gäste die Symantec Endpoint Protection zur Verfügung.
In diesem Workshop gehen wir zuerst auf die Überwachung des ESX-Server-Hosts mithilfe der Symantec Critical System Protection ein. In einem späteren zweiten Teil dieser kleinen Workshop-Serie betrachten wir die virtuellen Gäste. Sie werden durch die Symantec Endpoint Protection vor Übergriffen geschützt.
ESX-Hosts mit Symantec Critical System Protection überwachen
Symantec Critical System Protection erweitert die Sicherheit auf physische und virtuelle Server durch richtliniengesteuerte Überwachungs- und Schutzfunktionen. Durch umfangreiche Konfigurationseinstellungen lässt sich der Schutz an die eigenen Anforderungen anpassen. Ferner unterstützt das Sicherheitswerkzeug die Unternehmen bei der Richtlinieneinhaltung in heterogenen Umgebungen.
Das Werkzeug ist am ehesten mit einem Host-Intrusion-Prevention-System zu vergleichen und daher nicht auf Signaturen angewiesen. Ferner hilft das Tool bei Systemüberwachung, Benachrichtigung und Prüfung, die auf Host-Intrusion Detection-Technologie basieren, die Host-Integrität und Sicherheitsrichtlinien einzuhalten.
Symantec Critical System Protection kooperiert mit Symantec Endpoint Protection auf physischen und virtuellen Servern. Die kombinierten Lösungen ermöglichen Virenschutz, Intrusion Prevention sowie Anwendungs- und Gerätekontrollen und nutzen Symantec Protection Center für eine erweiterte Sicherheitsverwaltung.
Die Systemanforderungen
Die Symantec Critical System Protection besteht aus mehreren Softwaremodulen, die miteinander interagieren. Dies sind der Symantec-Critical-System-Protection-Management-Server, die Critical-System-Protection-Agenten und die Managementkonsole. Der Management-Server übernimmt die zentrale Verwaltung. Durch seine Agenten steht er mit den überwachten Systemen in Verbindung. Die Managementkonsole ist das Benutzer-Interface für den IT-Administrator.
Systemanforderungen für den Management-Server
• Microsoft Windows Server
• SQL Enterprise Server
Systemanforderungen für die Managementkonsole
• Microsoft Windows
• Java-Client oder Webkonsole
Systemanforderungen für die Agenten
• Microsoft Windows
• Sun Solaris
• Red Hat Linux
• SUSE Linux
• HP-UX
• IBM AIX
• VMware ESX Konsolenbetriebssystem
Die Verwaltungskonsole des Securrity Systems
Nach der Installation des Symantec-Critical-System-Protection-Management-Server, der Managementkonsole und der Agenten können Sie die Konsole starten. Die zentrale Managementkonsole vereinfacht die Verwaltung heterogener Systeme und bietet eine Ansicht von Ereignissen in Echtzeit sowie grafische Berichtsfunktionen.
Die Sicherheits-Suite kennt unterschiedliche Sichtweisen auf die Systeme. Im Master View sehen Sie die wichtigsten Einträge zur Verwaltung. Den Prevention View sollten Sie wählen, wenn Sie sich über die Schutzeinrichtung informieren wollen.
Der Großteil der Verwaltung erfolgt im Master View. Auf der linken Seite sehen Sie mehrere Reiter. Unter Home werden Ihnen die wichtigsten Ereignisse und Information eingeblendet. Wenn Sie diesen Reiter wählen, sehen Sie im Fenster rechts daneben mehrere Ausgaben. Unter Agents werden Ihnen die installierten Agenten auf den Zielsystemen angezeigt. Daneben finden Sie eine Zusammenstellung der Event-Kategorien. Unterschiedliche Farben signalisieren den Zustand des Events. Eine Legende ist im unteren Bereich eingeblendet.
Unter den Assets werden die IT- Systeme eingeordnet. Wenn Sie ein Asset ändern oder konfigurieren wollen, so können Sie diese Option wählen. Durch die Integration mit der Symantec-Control-Compliance-Suite werden Infrastruktur und Informationen geprüft und überwacht.
Eine neue Sicherheits-Policy anlegen
Die Policies beschreiben die Schutzregeln für die Rechnersysteme. Um beispielsweise eine Policy zu erzeugen, müssen Sie zuerst den zugehörigen Reiter aktivieren. Im oberen Bereich der Policies können Sie die Anzeige der Policies verändern. Darunter finden Sie mehrere Filter. Standardmäßig zeigt Ihnen die Symantec-Suite Filter für alle Windows-Systeme, die Solaris-Policies, die Linux-Policies und die Unix-Policies. Rechts im Bild sehen Sie die Policies eingeblendet.
Um eine neue Policy zu erzeugen, müssen Sie unter Policy Task den Link zu New Policy aktivieren. Folgen Sie dann dem Konfigurationsdialog und stellen Ihre Parameter für die Policy bereit. Zu den Attributen der Policy gehören unter anderem die Revision, die Version des Agenten, das Betriebssystem und der Typ der Policy. Wichtig: Bevor Sie fortfahren, müssen Sie Ihre erstellte Policy auf die physischen und virtuellen Zielsysteme ausrollen. Folgen Sie dazu den Anweisungen der Roll-out-Funktion.
Die ESX-Hosts überwachen
Der Einsetzzeck von Symantec Critical System Protection Management liegt in der Überwachung der Zielsysteme, also beispielsweise der ESXi-Hosts. Ferner unterstützt die Critical System Protection zahlreiche physische und virtuelle Plattformen, einschließlich Windows, Solaris, Linux, AIX und HP-UX und hat virtuelle Agenten für nicht unterstützte und weniger weit verbreitete Plattformen. Diese Agenten müssen Sie vorher auf die Zielsysteme, wie etwa die ESX-Hosts, mithilfe der Roll-out-Funktion ausrollen. Dieser Vorgang ist automatisiert, und Sie müssen nur den Dialogen folgen und Ihre spezifischen Eingaben durchführen.
Die Überwachung erfolgt unter der Rubrik Monitore. Hierin finden Sie ein detaillierte Auflistung ihrer Monitortypen, der Events und Detailinformationen. Wichtig: In der Liste der Events können Sie ersehen, welchen Angriffen und Bedrohungen Ihr ESX-Host ausgesetzt war. Wenn Sie weitere Details dazu sehen wollen, so selektieren Sie mit der Maus einen der Events. Im unteren Bereich des Arbeitsfensters werden Ihnen dann die Details hierzu eingeblendet. (hal)