Zum Inhalt springen

Sicherheit durch Virtualisierung


Lord Pyro

Empfohlene Beiträge

D.h. bei einem Browser-Update sind alle Lesezeichen/Favoriten weg?

Gibt es für die Benutzer überhaupt eine Möglichkeit, ihre Daten persistent zu halten?

Es gibt ein Share wo diese Einstellungen hinterlegt sind.

z.B.:

VMware KB: Critical VMware Security Alert for Windows-Hosted VMware Workstation, VMware Player, and VMware ACE

Da steht ja auch: On Windows hosts, if you have configured a VMware host-to-guest shared folder.

... Ich zweifle, daß Du das danach noch im Großen einführen willst.

Ich will hier erstmal gar nichts einführen. Es soll ein Szenario erarbeitet werden mit bestimmten Voraussetzungen die ich erleutert habe.

Naja - jede VM muss administriert werden, da die ja durch die Benutzer konfiguriert werden. usw. Oder nicht?

Nein - es wird nichts konfiguriert.

Was ist wenn ein Benutzer ein Makro/eine Vorlage im Office haben will - diverse Addons und Plugins müssen instaliert und verwaltet werden, diverse Programme greifen auf Office zu.

Addons und Plugins kann ich ja vor weg schon mal installieren.

Welche Programme sollten denn auf Office zugreifen? Also außer Mail und... und...? JA das sehe ich auch als Problem an.

D.h. wenn Du eine VM aktualisieren willst musst die komplette VM via Softwareverteilung verteilt werden?

Wuppst halt mal ein paar GB an jede Station -

Macht das dein Netz morgens beim Einschalten mit?

Ich verteile die dann doch nicht jeden morgen!?! Überhaupt und an sich wird es eine Stufenweise Einführung. Ach und: Ich schalte mein Netz abends nicht aus!

...

:mod:

Mal für alle die Fachinformatiker sind:

"Fachinformatiker/innen der Fachrichtung Systemintegration realisieren kundenspezifische Informations- und Kommunikationslösungen."

Wenn der Kunde jetzt nun her geht (und der Kunde ist für mich die Geschäftsleitung) und sagt er möchten eine Dezentrale-Desktopvirtualisierungs-Lösung haben nach den Vorgaben eines externen Beraters, dann sollte man als Fachinformatiker den Auftrag durchführen zumal es heißt das es getestet werden soll und nicht sofort umgesetzt! Erst wenn im Gespräch ist dieses Projekt sofort ohne ausführliche Tests einzuführen, sollte man mögliche Probleme aufzeigen die dieses mit sich bringen kann. Wenn der Kundenspezifische Wunsch nicht die optimale Lösung ist muss man eben bessere Vorschläge bringen. Zunächst heißt es aber: es wird diese eine Lösung genauso wie der Kunde es wünscht getestet und nichts anderes! Laufen bei den Tests dann einige Sachen nicht wird der Kunde schon selbst sehen das er das Projekt wieder verwerfen muss und DANN kann man mit seinen Alternativ Vorschlägen kommen!

Es heißt also KUNDENSPEZIFISCH!!! Wer diesen Arbeitsablauf nicht realisieren kann, ist ein schlechter Fachinformatiker ganz gleich wie viel Know How er hat!

Als Autoverkäufer kann ich, wenn ein Kunde das Auto xyz in Weiß haben will auch nicht sagen: "Naja...das ist jetzt aber nicht die schönste Farbe für das Auto...und erst der Dreck den man da dran dann so sieht!" Der Kunde will sein Auto in Weiß und das bekommt er auch, so fern verfügbar!

Also ich persönlich wollte Lösungsansätze und keine Grundsatz diskussion über: Wie Sicher ist das dann, welcher Aufwand es macht oder ob die User Kenntnisse ausreichen!

Kundenspezifisch leute! Merkt euch das mal!

Da keine wirklich sinnvollen Lösungsansätze gepostet wurden würde ich mal den Thread als geschlossen erklären...einige (wenige) sollten sich nochmal das Berufsbild zu gemüte führen! Nur weil man vielleicht bei sich die Lösung X im Einsatz hat heißt das noch lange nicht, dass diese das bewährteste Konzept ist!

Link zu diesem Kommentar
Auf anderen Seiten teilen

Zunächst heißt es aber: es wird diese eine Lösung genauso wie der Kunde es wünscht getestet und nichts anderes! Laufen bei den Tests dann einige Sachen nicht wird der Kunde schon selbst sehen das er das Projekt wieder verwerfen muss und DANN kann man mit seinen Alternativ Vorschlägen kommen!

Es heißt also KUNDENSPEZIFISCH!!! Wer diesen Arbeitsablauf nicht realisieren kann, ist ein schlechter Fachinformatiker ganz gleich wie viel Know How er hat!

Damit müssen sich dann wohl über 80% der hier registrierten Benutzer augenblicklich ihre Ausbildung aberkennen lassen, bzw. ihre Ausbildung abbrechen. Denn jeder Fachinformatiker, der sich es sich anmasst:

  • über den Schreibtischrand zu blicken, um das gesamte Projekt zu überblicken
  • Schwachstellen im Vorfeld zu erkennen, um präventiv zu agieren
  • unnötige Kosten für den (meist nicht wirklich technischversierten) Kunden zu vermeiden
  • ein kompetentes Bild seines mitdenkenden Unternehmens zu vermitteln

hat absolut nicht verstanden, auf was es in der Berufswelt ankommt... Es sind natürlich nur hirnlose Zombies mit tiefsitzenden Beamtengenen gefragt, welche strikt nach Vorschrift handeln, egal wie sinnlos ein Unterfangen ist :rolleyes:

Link zu diesem Kommentar
Auf anderen Seiten teilen

Im Grunde ist es ganz klar:

- Jede Software hat Fehler

- viele Fehler lassen sich als Sicherheitslücken irgendwie/irgedwann ausnutzen

- Virtualisierungssoftware ist auch Software

- aus Virtualsierungssoftware kann ausgebrochen werden (google selbst)

Du hast keinen Mehrwert an Sicherheit. Es geht sogar noch weiter, du schaffst dir einen weiteren Komplexitätslayer der gezielt exploitable ist. Vom Useraspekt mal abgesehen, der denkt sich doch:"woah jetzt bin ich super sicher" und fängt an viel hemmungsloser und unvorsichtiger zu hantieren.

Du machst eigentlich nur Application Deployment mit dicken und vorallem Fehleranfälligen Containern.

Falls dich die Diskussion wirklich interessiert kannst auch gerne mal auf der OpenBSD Mailingliste danach suchen, dort wurde mehrmals auch mit Links zu wissenschaftlichen Papern erklärt warum Virtualisierung KEINE Sicherheitsvorteile bringt.

Zu dem "Profi" Hacker sag ich jetzt nichts. Ich würd einfach mal paar Papers holen, paar Meinungen von Leuten wie Henning Brauer oder Theo de Raadt miteinfangen und diesen Berater oder wenigstens die Idee kicken lassen.

Alles andere ist Zeit/Geldverschwendung und kann nicht im Sinne des Kunden sein.

Wenn du als Eiswagenhersteller die Aufgabe bekommst einen Eiswagen für die Sonne tauglich zu produzieren würdest du doch hoffentlich auch ablehnen oder?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wie löst du die Sache mit der Kommunikation der Applikationen untereinander ?

z.b. Anhänge aus outlook (was ja in ner VM läuft) bequem per doppelklick öffnen...hast du das schonmal getestet ?! oder muss der anhang gespeichert werden auf nem gemeinsamen share und dann aus der VM mit z.b. Adobe Reader geöffnet werden ? Die Benutzer freuen sich...wäre ein übliches Büro szenario...

mit sehr unversierten anwendern ist selbst Terminal arbeiten eine kathastrophe...

auch wenn die anwendungen seamless laufen....

Was ist mit den user Settings ?! die kommen in die VM?! wie verwaltet du diese?

hast ja gesagt gibt kein Administrationsaufwand...daher die guest OS mit der App haben keine zugehörigkeit in einem verzeichnisdienst?!

Wie läuft das mit Druckern ?! hat dann das VM Template alle drucker der firma eingebunden ?!.... wie wird der standarf drucker für den Benutzer gesetzt ?!

oder wird das dann on-site gemacht wenn jemand eine neue VM braucht...

und das ganze natürlich mehrmals da ja jede Anwendung ne eigene Umgebung hat...

Energiekosten ?!..Die normalen Clients sind hardware mässig ja ziemlich flott..

daher ist das wohl weniger das problem... aber durch stärkere auslastung

durch die mehrere VMs die lokal betrieben werden steigt der Stromverbrauch...

Szenario 1:

150 Energie-Spar clients oder gar Thin-Clients und 3 Leistungsstarke TS Server mit der Hauptlast.

Szenario 2:

150 normale-starke Client rechner die etwas stärker ausgelastet sind...

Alles soll in eigenen Netzsegmenten laufen..wo ist der Kommunikationsweg...

mögliche Adresskonflikte durch dynamische MACs der VMs?!

Ich verstehe den Hintergrund deines anliegens...und auf den ersten blick betrachtet ist die Lösung ja interessant... aber auf den zweiten blick...

Es gibt einfach zu viele baustellen, es fehlt die Transparenz...

Es klingt in der Theorie ja ganz nett...aber Praxisuntauglich...aber um

das herauszufinden willst du ja scheinbar das ganze realisieren...

Soetwas wäre mit Anwendern der eigenen gattung ne möglichkeit im kleinen

Kreis....aber nicht mit normalusern...

und zum Thema Fachinformatiker...richtig...er setzt das um was der Kunde will... aber...bevor er dieses umsetzt, sollte man ihn nach sammeln der Infos alternative aufzeigen und die schwachpunkte der Lösung erklären.

Wenn er dennoch gegen deinen fachlichen Rat dieses genau so umgesetzt haben möchte, unter vorraussetzung das es möglich ist, tut man dieses eben.

Aber die arbeit reinstecken, es umzusetzen, und somit den Kunden ins offene Messer laufen lassen um dann ne andere Lösung zu wählen ist nicht gerade effizient...und das gilt nicht nur für dienstleister...genauso wenn der Kunde

der eigene Chef ist...

Am Ende stehst du vielleicht vor unschönen Fragen wie:

Warum funktioniert das nicht so und so, und du erläuterst ihm warum es nachteile hat...und mit etwas pech kommt dann die Frage: Warum haben sie mir das nicht vorher gesagt und zeit und Geld verschwendet ?!

Die Antwort "Weil sie es so haben wollten" mag logisch klingen..kommt aber nicht gut...du bist schließlich kein sturer techniker sondern man erwartet von Fachkundigen mitarbeitern, dass diese Mitdenken und auf Probleme hinweisen bevor sie entstehen - sofern diese offensichtlich sind.

Das Prinzip mit dem VM wegwerfen und neue hinschieben um möglichst geringe Ausfallzeit zu haben ist gut...jedoch auf nem anderen Lösungsweg...

wenn Lokal gearbeitet werden soll...dann würd ich komplette Images der Clients im netz bereitstellen, so das diese per PXE boot in kurzer zeit anhand der Rechner Serien-Nr oder inventar nummer zurückgerollt bekommen.

im punkt Sicherheit lässt sich z.b. seit Windows 7 sehr viel mit der onboard Firewall machen...diese kann dann per Gruppenrichtlinie für jeden Client angepasst werden - von zentraler stelle...

Und Thema Sicherheit..da muss immer mit kompromissen gehandelt werden.

Das sicherste ist jeder client steht in nem eigenen Raum mit eigenem zugriffscode ohne Netzwerk...aber so kann man ja nicht arbeiten...

und ob ein zerhackstückeltes Netzwerk, wo am ende keiner mehr durchsteigt wirklich dann sichere Lösung ist...sei dahingestellt...Der Arbeitskomfort wird jedenfalls leiden...

Aber gut - ich habe jetzt nur die typische Sicht in einem betrieb.

ich sehe was jedentag unsere 150 clients so machen und deren user...

Bin in einer hausinternen IT Abteilung mit 2 Kollegen...und wenn ich an

dieses Szenario denke...eher ich das umsetze geb ich mir lieber die Kugel ;-)

Daher, ich will dein Anliegen nicht mies machen..ich finde es von der technischen seite sogar sehr interessant und würde gerne die praxis dazu sehen.es ist auch ein Interessanter Gedanke die Technik auf diese Art einzusetzen. aber mit den typischen Anwendern....never....

ist irgendwie ein Projekt was vom Topic super klingt...sich aber bei der Projektplanung dann als Totgeburt herausstellt, nachdem mann genau untersucht hat was für Anforderungen bestehen und wie man diese löst..

Bearbeitet von dscp2
Link zu diesem Kommentar
Auf anderen Seiten teilen

@ Lord Pyro

Wenn du eine Clientseitige Virtualisierungmethode suchst, dann solltest du dir das mal anschauen Citrix XenClient.

Ein Tip noch von meiner Seite.

Der aktuelle Trend der Firmen geht in den Bereich Server-Outsourcing. Das heisst, die Unternehmen stellen ihre Server in Rechenzentren und greifen dann via Thin Client, Laptop, Iphone, etc. über SSL VPN auf ihre streamed und hosted Applications zu(siehe Beispiel: XenDesktop in Verbindung mit XenApp). So hat man alles zentral an einem Ort und kann "JEDEN" einzelnen Desktop der Mitarbeiter administrieren.

Kein Unternehmen, deren IT-Abteilung halbwegs gebildet ist, wird Freeware wie "Virtual PC" einsetzen, um Sicherheit ins Netzwerk zu bekommen, oder um "vernünftig" zu virtualisieren. Wenn das so einfach wäre, könnten sich ja viele Unternehmen das Geld für VMWare, Citrix und Co. sparen.

MfG

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ein Tip noch von meiner Seite.

Der aktuelle Trend der Firmen geht in den Bereich Server-Outsourcing. Das heisst, die Unternehmen stellen ihre Server in Rechenzentren und greifen dann via Thin Client, Laptop, Iphone, etc. über SSL VPN auf ihre streamed und hosted Applications zu(siehe Beispiel: XenDesktop in Verbindung mit XenApp). So hat man alles zentral an einem Ort und kann "JEDEN" einzelnen Desktop der Mitarbeiter administrieren.

Hypethema. Total sinnlos und wie bei jedem Hypethema: Macht kaum eine Sau.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hypethema. Total sinnlos und wie bei jedem Hypethema: Macht kaum eine Sau.

Was ist ein Hypethema, dass niemand macht? Server-Outsourcing?

Also ich hab eher die gegenteilige Erfahrung gemacht und zwar das viele Firmen es machen und bei uns in der Gegend sogar viel zu wenig RZ-Stellflächen gibt und daher die Preise in die Höhe schiessen. Eine ordentliche RZ-Infrastuktur (Doppelboden, Feuermeldeanlage, Wachschutz, Klima, redundante USV und Dieselmotoren, ...) ist sauteuer und daher macht es idR absolut Sinn für ein dutzend Racks das auszulagern, anstatt so etwas komplett selbst zu bauen und zu warten.

Bearbeitet von bigvic
Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...