Cybersicherheit Proxmox VE

Unternehmen 

DynFi

Redakteur

Grégory BERNARD - +33 1 82 52 24 52

Projekt 

Sicherung des Proxmox-Hypervisors

Lizenz 

CC-BY-NC-SA

Marques

Proxmox® ist eine eingetragene Marke der Firma Proxmox Server Solutions GmbH.
DynFi® ist eine eingetragene Marke der Firma DynFi EURL. 

Version 

1.0.0

Warum stellen wir dieses Whitepaper kostenlos zur Verfügung?

Wir glauben an die Vorzüge des Wissensaustauschs. Deshalb stellen wir diese Studie kostenlos zur Verfügung, wenn Sie davon profitieren möchten, ohne damit Handel zu treiben. Unser Team von Ingenieuren ist seit zwanzig Jahren an der Entwicklung, Einrichtung, Bereitstellung und Wartung kritischer Infrastrukturen in der Cloud oder innerhalb privater Netzwerke beteiligt, die vollständig auf Open-Source-Software basieren.

In den letzten vierzehn Jahren haben wir sehr spezifische Kenntnisse im Bereich der Cybersicherheit entwickelt und wir glauben, dass die Weitergabe eines Teils dieses Wissens dazu beitragen wird, die Widerstandsfähigkeit der kritischen Infrastrukturen von Unternehmen insgesamt zu verbessern.

Das andere Ziel besteht darin, Unternehmen, die nicht über unsere Kompetenzen verfügen würden, die Möglichkeit zu geben, von diesen zu profitieren, indem sie unsere Teams in Anspruch nehmen.

Wir bieten Ihnen unsere Dienstleistungen in den Bereichen :

  • der Beratung,
  • der Konzeption und der Netzwerkarchitektur
  • Bereitstellung von Proxmox VE-Clustern (unter Ceph, ZFS, NFS, …)
  • der Wartung

Diese Studie enthält 46 Sicherheitspunkte, 15 Seiten, nur 10 Punkte werden unten angezeigt. Um die gesamte Studie als PDF herunterzuladen, füllen Sie einfach das untenstehende Formular aus.

Cybersicherheit des Proxmox-Systems.

Proxmox VE (PVE) ist ein Virtualisierungssystem, das das Virtual Machine (VM) Management System KVM und das Container (CT) System LXC integriert. Zusätzlich zu diesen Grundbausteinen ermöglicht Proxmox VE den Einsatz dieser virtuellen Maschinen und Container in Umgebungen mit mehreren Dateisystemen (EXT4, ZFS, CEPH, …), aber auch in Netzwerkeinbindungssystemen (NFS, iSCSI), zum Beispiel.

Die bemerkenswerte Integration zwischen diesen verschiedenen Systemen macht Proxmox VE zum angesagtesten Open Source “Hypervisor” auf dem Markt. Seine Leistungen sind so bemerkenswert, dass PVE heute mit VMWare konkurriert, und zwar nicht nur in Bezug auf den Preis (die Lösung ist kostenlos - das scheint ein Selbstläufer zu sein), sondern auch in Bezug auf die Zuverlässigkeit, die Leistung und vor allem die einfache Wartung der Lösung.

Das Ziel dieses Whitepapers ist es, zu verstehen, wie man Proxmox VE-Umgebungen sicher machen kann, um sie widerstandsfähig (Hardened) zu machen.

Wir werden das von [ANSSI] (https://www.ssi.gouv.fr/) vorgeschlagene Dokument verwenden, um ESXi-Umgebungen zu sichern.

Zusammenlegung von Ressourcen

Wie im ANSSI-Rahmendokument ausgedrückt, ist die Abschottung von VMs eines der Hauptziele, um ein gutes Sicherheitsniveau der gehosteten VMs zu gewährleisten.

Die erste Empfehlung (R1) wird sich daher folgendermaßen äußern:

keine VMs mit unterschiedlichen Sicherheitsstufen innerhalb desselben Hypervisors hosten. Vermeidung der Exposition von VMs, die nicht exponiert werden müssen.

Die zweite Empfehlung (R2) visiert an, die Routing- und Filterfunktionen zwischen VMs mit unterschiedlicher Sensibilität zu begrenzen.

Dies kann übersetzt werden als :

Beschränkung der Angriffsfläche (d. h. der Anzahl der eingesetzten Dienste). Isolierung der logischen Netzwerkebenen mit separater, nicht miteinander verbundener Hardware.

Aufrechterhaltung eines sicheren Zustands

Die dritte Empfehlung (R3 und R4) besteht darin, die Dienste zur Benachrichtigung über Software-Schwachstellen Ihres Hypervisors UND der VMs und CTs, aus denen er besteht, zu abonnieren.

Man sollte darauf achten, eine [Proxmox Enterprise-Lizenz] (https://shop.dynfi.com/category/abonnements-proxmox/6/) zu erwerben, um sicherzustellen, dass der Hypervisor regelmäßige Updates erhält. In Proxmox (das unter Debian installiert ist) kann man die Bereitstellung der Software vuls auf einem speziellen Container vorsehen.
Oder, noch einfacher, das Paket debsecan
verwenden.

Die Treiber für Ihre Hardware müssen ordnungsgemäß gekennzeichnet sein und dürfen nur von den Websites der Hersteller (R5) bezogen werden.

Die Hardwaretreiber (BIOS) der Hosting-Plattformen sind selten OpenSource. Wenn es jedoch leistungsfähige Open-Source-Treiber gibt, die die BIOS der Hersteller ersetzen, empfehlen wir Ihnen, diese zu verwenden.

In der Realität gibt es nur sehr wenige OpenSource-BIOS und sie unterstützen nur extrem wenig Hardware, erst recht auf der Ebene der Server-Motherboards.

Die Verwendung von Open-Source-Software hat einen großen Vorteil, denn obwohl man den Hardwareherstellern vertrauen kann, haben die Erfahrungen der letzten Jahre gezeigt, dass Zweifel besser sind als absolutes Vertrauen.

In jedem Fall und in Ermangelung praktikabler Alternativen ist es unerlässlich, dass Sie Ihr BIOS regelmäßig aktualisieren und sicherstellen, dass Ihre Hypervisoren keine Software mit identifizierten Sicherheitslücken (CVS) enthalten.

Punkt R6 betrifft speziell VMWare und die Signatur von Binärdateien, die im Rahmen von Updates verteilt werden.

In diesem Punkt empfehlen wir Ihnen, die Proxmox Enterprise Subscription Services zu abonnieren, um Zugang zu signierten Binärdateien aus ihrem Enterprise-Verzeichnis zu erhalten.

Bei Punkt R7 geht es darum, sicherzustellen, dass die Kernel-Module zu 100 % aus identifizierten Quellen stammen.

Wie bei Punkt R6 empfehlen wir Ihnen, die “Enterprise”-Dienste von Proxmox zu abonnieren, um sicherzustellen, dass Sie über sichere und aktuelle Linux-Kernel verfügen. Ein Pluspunkt von Proxmox im Vergleich zu VCenter ist, dass Updates von Proxmox, selbst von Hauptversionen, sehr gut funktionieren. Die Schritte des Updates werden von den Proxmox-Teams detailliert beschrieben und sind hier zu finden:

Wenn die ersten beiden Links auf Sie zutreffen, haben Sie unsere Empfehlungen nicht richtig gelesen und es ist höchste Zeit, die Dinge in die Hand zu nehmen! Normalerweise sollten Sie bereits zwingend auf Version 6 von Proxmox sein.

Punkt R8 kann so interpretiert werden, dass Sie sudo verwenden müssen, um den Zugriff auf das root-Konto zu beschränken, während Sie gleichzeitig die Möglichkeit haben, die für Ihr System notwendigen Aktualisierungsvorgänge durchzuführen.

Punkt R9 ist ein kritischer Punkt und die Richtlinien von Proxmox erlauben es nicht, ihr APT-Verzeichnis für Offline-Updates zu kopieren, um Ihre VMs darauf zu synchronisieren.

Eine mögliche Teillösung ist die Verwendung eines Proxy-Servers, um sicherzustellen, dass nur ein Server Zugriff auf das WEB hat. Für Projekte, die von EIVs getragen werden, können spezielle Lizenzen ausgehandelt werden, die einen Offline-Zugang zu den Proxmox-Ressourcen ermöglichen, bitte kontaktieren Sie uns diesbezüglich.

Punkt R10 würde besagen, dass Ihr Proxy-Server durch einen zustandsgesteuerten Firewall-Dienst geschützt sein muss.

Wir empfehlen Ihnen die Verwendung einer Stateful Firewall wie DynFi Firewall, die die von ANSSI geforderten Kriterien in diesem Bereich erfüllt. Oder die Verwendung einer NEXT-GEN-Firewall mit L7-Filterfunktionen, die ordnungsgemäß getestet und validiert wurden.

Greifen Sie auf das vollständige Dokument zu.

Wenn Sie die vollständige Studie im PDF-Format herunterladen möchten, füllen Sie einfach das folgende Formular aus :