Praxistest: Vmware ACE 2
Armee der Klone
Der Name Vmware ist in aller Munde und beinahe schon zu einem Synonym für Virtualisierung geworden. Die Serverlösungen bieten sich für die Konsolidierung im RZ an und erfreuen sich sehr großer Beliebtheit. Softwareentwickler und -tester nutzen Vmware Workstation für die Bereitstellung mehrerer Betriebssystemumgebungen oder Versionsstände auf einer Hardware. Vmware ACE 2 wiederum unterstützt Administratoren dabei, eine gesicherte virtuelle Arbeitsumgebung für verschiedenste Szenarien bereitzustellen.
Vmware ACE 2 ist eine Erweiterung der Vmware Workstation 6 und ermöglicht die Festlegung von
Richtlinien (Policies), die auf einer virtuellen Maschine (VM) Anwendung finden. Ein denkbares
Regelwerk wäre beispielsweise die Einstellung, dass außerhalb des Unternehmens ein Zugriff auf das
Netzwerk aus der virtuellen Maschine heraus unterbunden wird. Ebenso lässt sich die Verwendung von
USB-Geräten auf bestimmte Geräte oder Typenklassen begrenzen. Um einen unautorisierten Zugriff auf
die Container-Daten der virtuellen Maschinen zu verhindern, werden diese mit 128-Bit AES
verschlüsselt.
Wer bereits mit der Vmware Workstation Erfahrungen gesammelt hat, wird mit ACE 2 kaum
Berührungsängste haben, da es sich im Kern um eine Vmware Workstation handelt. Durch die Eingabe
eines ACE-2-Lizenzschlüssels öffnen sich in der Workstation komplett neue Register auf der
Oberfläche und im Menü der Anwendung.
Der erste Schritt bei der Nutzung besteht darin, ein ACE Master zu erzeugen, also eine VM-Datei,
die mit Richtlinien ausgestattet wird. Ist bereits eine virtuelle Maschine vorhanden, die den
Bedürfnissen gerecht wird, so lässt sich diese mit dem Befehl "Clone to ACE Master" unter
Zuhilfenahme eines Einrichtungsassistenten innerhalb weniger Minuten für die Erstellung von ACE-VMs
erzeugen. Unverändert bleiben die Funktionen der Vmware Workstation 6 für die
Hardwarekonfiguration, beispielsweise Speicherausbau, Größe und Gestalt der virtuellen Festplatten
und Anzahl virtueller Netzwerkadapter.
Insgesamt handelt es sich bei den Richtlinien um 14 Funktionsgruppen. Unter "Access Control"
sind für die Sicherheit der VM besonders bedeutsame Einstellungen zu finden, so ein Passwort, das
beim ersten VM-Start für die Aktivierung einzugeben ist, und die Möglichkeit zur Vergabe eines
Pre-Boot-Passworts. Dieses wird bei jedem Start der VM auf dem Host benötigt und schützt die VM vor
unberechtigter Nutzung, noch ehe das eigentliche Betriebssystem innerhalb der Gastmaschine geladen
wird.
Aus einem Kundenprojekt stammt die Richtlinie "Host Guest Data Script". Dahinter verbirgt sich
die Möglichkeit, Eckdaten des Host-Systems als Variablen in der VM zu verwenden. In ein Skript
eingesetzt ermöglicht dies, der VM beispielsweise einen NetBIOS-Namen zuzuweisen, der sich in
Teilen aus den Bezeichnern des Wirtsystems zusammensetzt.
Die mögliche Laufzeit der ACE VM lässt sich auf Wunsch begrenzen. Dies bietet sich insbesondere
für externe Mitarbeiter an, die nur für bestimmte Zeit Zugang im Unternehmen benötigen. Auch
Testsoftware, die einem Kunden für eine bestimmte Zeit bereitgestellt werden soll, ist so ohne die
Notwendigkeit einer Installation durch den Kunden selbst leicht zu verteilen. Zwei Methoden der
Zeitberechnung sind anwendbar: die Anzahl der Tage seit der ersten Nutzung und die Begrenzung bis
zu einem bestimmten Datum. Eine nachträgliche Manipulation der VM durch das Kopieren auf eine
andere Hardware lässt sich durch die Verwendung der Richtlinie "Copy Protection" unterbinden. Zur
Bindung verwendet die Software neben eindeutigen Merkmalen des Host-Systems wie der MAC-Adresse der
Netzwerkkarte auch die SID des Windows-Wirtsystems oder den Namen des Ordners, in dem die VM
ursprünglich ausgeführt wurde.
Die Richtlinien unter "Network Access" erlauben erstmals auch eine direkte Beeinflussung des
Host-Betriebssystems im Sinne einer Netzwerkquarantäne. Arbeiten externe Berater im Unternehmen, so
ist es üblich, dass diese ihre eigene Hardware, sprich Notebooks, mitbringen. Je nach
Sicherheits-Policy eines Unternehmens ermöglicht es ACE, dem Hostsystem den Netzwerkzugriff zu
verweigern und gleichzeitig der virtuellen Maschine zu gestatten. Um ein selektives Umschalten
zwischen den Richtlinien zu realisieren, muss die Software das Netzwerk erkennen.
Erkennungsmerkmale sind beispielsweise IP-Adresse, Gateway, DNS- oder WINS-Server oder die Domäne,
inklusive Sub-Domains. Bei diesen Erkennungsmerkmalen ist es unbedeutend, ob ein DHCP-Server sie
zugewiesen oder der Anwender sie manuell eingegeben hat. Je nach Einstellung müssen mehrere oder
auch nur ein einziges Merkmal der Netzwerkzone entdeckt werden, ehe die Software auf das
Vorhandensein einer bestimmten Netzwerkumgebung schließt. Das Anwendungsfenster erinnert sehr stark
an eine Regelmaske einer Firewall-Lösung. Generelles Blockieren oder das Genehmigen von benannten
Ports ist mit etwas Kenntnis von Firewall-Regelwerken sehr schnell und einfach zu realisieren.
Als Sicherheitsrisiko wird allerorten der USB-Massenspeicher (neudeutsch: USB-Stick) betrachtet.
Als Unterrubrik der Richtlinie für "Removable Devices" findet sich ein spezielles Regelwerk für "
USB-Devices". Das generelle Deaktivieren von USB-Anschlüssen in der VM ist wenig zeitgemäß, würde
doch davon schon ein USB-Drucker vom Betrieb ausgeschlossen. In der Maske lassen sich ganze Klassen
von USB-Geräten von der Nutzung ausschließen oder der Einsatz auf bestimmte Geräte begrenzt. Der
einfachste Weg, die Hersteller- und Produkt-ID eines Geräts zu ermitteln, ist das schlichte
Anschließen während der Konfiguration der VM. In der Liste der Geräte erscheinen nach der Erkennung
beide Merkmale.
Besonders in Umgebungen, in denen der Administrator keinerlei Kenntnis über das Einsatzgebiet
der VM besitzt, ist die Aktivierung des "Virtual Printers" praktisch. Hinter der Funktionalität
verbirgt sich eine Integration der Drucklösung von Thinprint: Die Thinprint-Software emuliert den
Standarddrucker des Host-Systems im Gastsystem. Somit ist es nicht erforderlich, dem Anwender der
VM das Recht einzuräumen, Treiber nachzuinstallieren.
Auch im späteren ACE-Player-Betrieb, in dem die VM beim Endanwender zum Einsatz kommt, lassen
sich Snapshots nutzen. ACE unterscheidet zwei verschiedene Arten von Snapshots, die per Richtlinie
gesteuert werden. Der "User Snapshot" dient dem Anwender dazu, einen manuell gesetzten
Sicherheitspunkt wiederherzustellen. Der "Reimage Snapshot" wird je nach Konfiguration direkt beim
ersten Start der VM automatisch erzeugt. Durch die Wiederherstellung dieses Stands kann der
Benutzer den Auslieferungszustand jederzeit zurückholen. Sollen Snapshots zum Einsatz kommen, so
empfiehlt es sich generell, eine weitere virtuelle Festplatte in die VM einzubinden, die von der
Änderungsüberwachung nicht bearbeitet wird. Durch das Umlenken von Benutzerordnern wie "Eigene
Dateien" auf dieses Laufwerk steht deren Inhalt auch nach einer Wiederherstellung noch zur
Verfügung.
Der Betrieb der ACE-VM lässt sich innerhalb der Vmware Workstation des Administrators mit dem
Befehl "Preview in Player" jederzeit prüfen. Ist erst einmal ein ACE Master erzeugt, aus dem sich
verschiedene Pakete für die Verbreitung der VM herstellen lassen, so ist ein weiterer Befehl aus
der Menüleiste nutzbar. Hinter "New Pocket ACE Package?" verbirgt sich die Möglichkeit, eine
virtuelle ACE-Maschine so zu generieren, dass sie stets von einem USB-Stick oder anderen mobilen
Datenträger aus gestartet werden kann. Die eigene Arbeitsumgebung, die man an einem Umhängeband um
den Hals tragen kann, ist somit Wirklichkeit geworden.
Der Einsatz der Unmanaged-VMs ist schon für sich allein betrachtet eine äußerst spannende
Lösung. Die Verwendung eines Vmware ACE Managementservers erweitert den Nutzen für den
Unternehmenseinsatz noch einmal stark. Trägt der Admin während der Konfiguration die IP-Adresse des
Managementservers ein, so kontaktierten ihn die Clients in regelmäßigen Abständen (in der
Standardeinstellung alle fünf Minuten) und prüfen, ob Policy-Änderung vorliegen. So ist es
beispielsweise denkbar, dass die Systemadministration eine einmal freigegebene virtuelle
Arbeitsumgebung für einen externen Mitarbeiter für die weitere Nutzung sperrt, wenn der Mitarbeiter
seinen Auftrag im Unternehmen bereits erledigt hat. Eine weitere Aufgabe, die sich mit Hilfe des
Managementservers erledigen ließe, ist die nachträgliche Freigabe eines USB-Devices innerhalb der
VM.
Konsequenterweise bietet Vmware den Vmware ACE Managementserver als virtuelle Appliance zum
Download an. Auf Basis von Red Hat ist das komplette Serversystem inklusiver lokaler Datenbank
vorkonfiguriert. Bei dem Datenbanksystem handelt es sich um die Open-Source-Software Postgre SQL.
Findet sich im Unternehmensnetzwerk ein DHCP-Server, der die virtuelle Appliance mit einer
IP-Adresse versorgt, so ist die Einrichtung besonders einfach: Der Admin muss nur das knapp 50
MByte große Image laden, die VM starten und auf die Appliance-Ansicht im Menü klicken. Unten rechts
im Bildschirm findet sich der Eintrag "Open in Web-Browser". Beim Anklicken dieses Links wird die
Konfigurationswebseite des in der VM aktiven Apache-Webservers dargestellt. Ein
Konfigurationsassistent führt den Anwender über einige Masken, in der eine feste IP-Adresse,
Login-Informationen, die mögliche Integration in einen LDAP-Verzeichnisdienst wie Active Directory
oder die Nutzung einer externen Datenbank zur Auswahl stehen. In der Teststellung war die
Einrichtung des Vmware ACE Managementservers innerhalb weniger Minuten abgeschlossen. Alternativ
bietet Vmware den Server als Add-on für einen bereits vorhandenen Microsoft Internet Information
Server (IIS) an. Die Bedienung des Servers selbst erfolgt ausschließlich via Browser. Eine
Übersichtsliste zeigt alle aktivierten ACE-VMs an. Diese lassen sich von hier aus mit Änderungen an
der Konfiguration versehen. Je nach Positionierung des Servers ist auch ein Kontakt über das
Internet denkbar. Befindet sich das Kommunikations-Interface des Servers in der DMZ, so werden alle
aktiven VMs dargestellt, die ebenfalls über eine Internetanbindung verfügen. Ein mögliches
Einsatzszenario wären VMs mit der Testversion einer Software und zuvor festgelegter Laufzeit.
Braucht ein Benutzer einen längeren Testzeitraum, so ist dieser über eine Richtlinienänderung für
die VM ohne zusätzlichen Aufwand leicht auszubringen.
Die nachträgliche Änderung von Richtlinien über den Kontakt zum Server ist ein Feature, das
Vmware erst mit ACE 2 eingeführt hat. Die erste Version von ACE nutzte eine "Challenge"-Funktion,
bei der eine Anfragedatei an den Administrator typischerweise per E-Mail erzeugt wurde. Dieser
liest den Request ein und erzeugt nach Prüfung der Anfrage eine Antwortdatei (Hotfix). Spielt der
Anwender diese Datei ein, so ändert sich die ACE-Konfiguration. Diese Möglichkeit steht auch in der
aktuelleren Version von ACE zur Verfügung und bietet sich bei Unmanaged-ACE-VMs als Möglichkeit an,
um vergessene Passwörter zurückzusetzen oder die Laufzeit zu ändern.
Fazit
Bei Vmware ACE 2 handelt es sich um eine äußerst spannende Lösung für Unternehmen, die auf der
Suche nach einer Möglichkeit sind, um eine besonders gesicherte Arbeitsumgebung bereitzustellen.
Das Augenmerk der Anwendungsadministratoren richtet sich somit auf die Inhalte der virtuellen
Maschine. Da es sich innerhalb der VMs um eine quasi-standardisierte Hardware handelt, ist zudem
ein Funktionstest in anderen Umgebungen unnötig. Mithilfe der Images sind neue Arbeitsplätze
innerhalb weniger Minuten eingerichtet. Da die tatsächliche Rechenleistung des Hosts genutzt wird,
ist ACE auch als Ersatz für ein Terminalserverumfeld denkbar. Natürlich darf nicht übersehen
werden, dass es sich nun faktisch um zwei oder mehr "Rechner" auf einer Hardware handelt, die die
Systemadministration betreuen muss. Aber dem Charme, den die Vmware-Lösung ausstrahlt, kann man nur
schwer widerstehen. Der Einstiegspreis für ACE 2 liegt bei 999 Dollar und steigt bis zur maximalen
Ausbaustufe bei 16.000 Dollar mit 200 ACE-Client-Lizenzen.
Info: Vmware Tel.: 089/371564000 Web: www.vmware.com
Lesen Sie mehr zum Thema
