Die Sicherheit von Clustern

Grundsätzlich gelten für Cluster die gleichen Sicherheitsanforderungen wie für andere Server. Allerdings gibt es durch die intensive Kommunikation zwischen den Knoten im Cluster noch einige spezifische Anforderungen an diese Umgebungen, mit denen sich der vorliegende Beitrag befasst. Auch das Thema Sicherheit bei iSCSI wird behandelt, das durch die Verwendung von Ethernet- Verbindungen potenziell mehr gefährdet ist als andere SAN-Architekturen.

Die Kommunikation zwischen den Knoten im Cluster sollte grundsätzlich nicht über die Adapter erfolgen, die auch für die Zugriffe von Clients auf diese Knoten verwendet werden. Vielmehr sollte mit einem privaten Netzwerk gearbeitet werden, das auch bezüglich der verwendeten Netzwerkkomponenten vollständig von dem für Client-Zugriffe eingesetzten Netzwerk getrennt ist. Das hat automatisch die Folge, dass die Cluster- Kommunikation über ein dediziertes Netzwerk erfolgt, das für Angreifer schwerer zu attackieren ist als das für die Client-Zugriffe genutzte Netzwerk, wo relativ einfach mit Software-Sniffern wie dem Netzwerkmonitor gearbeitet werden kann.

Zudem wird durch das getrennte Netzwerk auch eine höhere Zuverlässigkeit erreicht, da sich beispielsweise Lastprobleme durch intensive Client- Zugriffe nicht auf die clusterinterne Kommunikation auswirken.

Für die Administration der Cluster sollten selbstverständlich – wie für alle anderen Administrationsvorgänge – nur sichere Clients eingesetzt werden, um beispielsweise die Verbreitung von Würmern und Viren auf die Server zu reduzieren.

Das für den Clusterdienst verwendete Konto sollte nur die minimal erforderlichen Berechtigungen auf der Domänenebene haben. Es erhält auf den Knoten im Cluster jeweils volle administrative Berechtigungen. Diese sind aber nicht in der Domäne erforderlich und sollten daher auch nicht vergeben werden. Außerdem ist es ratsam, dieses Konto nur zum Starten des Dienstes, aber nicht für die Verwaltung des Clusters zu verwenden. Falls mehrere Cluster betrieben werden, ist pro Cluster ein eigenes Dienstkontoempfehlenswert. Administrative Berechtigungen für den Cluster können Benutzern über die Clusterverwaltung zugewiesen werden (Bild 1).

Bild 1: Administratoren können über die Clusterverwaltung definiert werden.
Bild 1: Administratoren können über die Clusterverwaltung definiert werden.

Wichtig ist auch, dass die Sicherheit auf den Knoten im Cluster sauber konfiguriert wird, ebenso wie die Zugriffsberechtigungen auf die Clusterressourcen. Auf den Quorumdatenträger sollten nur das Clusterdienstkonto und die lokalen Administratoren der Knoten im Cluster Zugriff erhalten. Für Skripts sollten gegebenenfalls entsprechende Zugriffsberechtigungen vergeben werden.

Alles in allem sind es aber nur wenige, eigentlich ohnehin selbstverständliche Maßnahmen, die bei Clustern zusätzlich ergriffen werden müssen.