Eigentlich war ich schon immer ein Benutzer der Cloud, ohne dass ich dies wirklich gemerkt habe, weil ich gewisse SaaS-Dienste wie Dropbox oder Gmail usw. genutzt habe. Jetzt wollte ich aber aktiv herausfinden, wie das mit den virtuellen Maschinen (IaaS) funktioniert und wie man diese erstellt und bedient. In der Schweiz wird hauptsächlich die Microsoft Azure Cloud verwendet, gerade wenn’s um Office 365 oder Hosted Exchange geht, somit war es für mich geradezu naheliegend meine ersten Schritte in der Microsoft Azure IaaS Cloud zu machen.
Kreditkarte genügt – aber Achtung, es kann teuer werden
Die Anmeldung war trivial. Eine Kreditkarte genügte und dann ging’s auch schon los. Man erhält einen 200 CHF Gutschein für die ersten 30 Tage und kann so alles kostenlos ausprobieren.
Eine nette Geste von Microsoft, vermutlich ein Lockvogel-Angebot, damit man sich schneller registriert und die Kosten nicht so genau anschaut. Aber eben die Kosten sind schon nicht zu vernachlässigen. Ersten weiss man im Voraus nie so genau was es effektiv kosten wird und zweitens kostet nicht nur der Betrieb, d.h. CPU-Rechenzeit, sondern auch das Verwenden von Speicherplatz wird verrechnet. Kein Wunder macht Azure schon jetzt einen beträchtlichen Teil vom gesamten Microsoft-Umsatz aus.
Flexible Richtlinien und Actions
Schnell fand ich in der Dokumentation eine fünfminütige Einleitung für das Erstellen eines virtuellen Windows 10 Clients: docs.microsoft.com/de-de/azure/virtual-machines/windows/. Relativ einfach wird man durch die ersten Schritte geführt.
- Einloggen in portal.azure.com
- Erstellen einer virtuellen Maschine, PAYG (Pay-As-You-Go) auswählen, was so viel heisst wie man zahlt nur die effektiv verwendeten Ressourcen und die Windows Lizenz ist auch schon inkludiert.
- Auswählen wo man die virtuelle Maschine laufen lassen will z.B. (Europe) West Europe. Switzerland West und North sind noch nicht auswählbar aber bekanntlich schon im Aufbau. Die Banken und die öffentlichen Ämter werden sich freuen.
- Ein Admin Name und ein Passwort auswählen und dann kommt eine sehr kritische Frage.
- Welche Ports sollen “offen”, d.h. vom Internet her gesehen ansprechbar sein.
Auswählbar ist hier standardmässig: HTTP/HTTPS/SSH und RDP
Ich bin erstaunt!
Wer will einen frisch installierten Windwos 10 Client einfach so ins Internet stellen. Man weiss ja, dass innerhalb von ca. 5-10 Minuten der Windows ohne Firewall «gehackt» oder zumindest angegriffen wird. Ich entscheide mich für RDP und HTTPS. Hoffentlich kommt niemand auf dumme Gedanken und kapert meine frisch installierte virtual Machine.
Es werden noch weitere Fragen werden gestellt, wie z. B:
- zum virtuellen Netzwerk,
- zur internen und externen IP-Adresse
- sowie zur Network Security Group (NSG).
Hier habe ich die Möglichkeit einzuschränken, welche IP Adressen überhaupt zugreifen dürfen. Wunderbar! Jetzt kann ich wenigstens die Source IP der AVANTEC angeben und so die Angriffsfläche erstmal reduzieren.
- «Auto-shutdown» ist eine interessante Funktion, die den Windows Client täglich automatisch runterfährt. Dies spart Ressourcen und schont so den Geldbeutel.
Nach ein paar weiteren Fragen bzw. Einstellungen klicke ich auf den Erstellen Button und es wird mir angezeigt, dass meine virtuelle Maschine ca. 16.5 Rappen die Stunde kosten wird.
Nicht viel, aber auch nicht gratis.
Ich verbinde mit nun mit RDP auf die virtuelle Maschine und blicke auf ein frisch installiertes Windows 10. Mit einem Befehl in der PowerShell aktiviere ich den IIS Webserver:
- Install-WindowsFeature -name Web-Server -IncludeManagementTools
Jetzt kann ich vom Browser auf meinem PC auf die IP-Adresse der virtuellen Maschine zugreifen und es wird mir die Willkommens-Seite vom IIS (Internet Information Services) angezeigt:
Ein Traum für jeden Entwickler, der rasch einen Windows 10 Client benötigt, oder einen Webserver um seinen Code zu testen.
Später lese ich, dass man den ganzen Prozess auch automatisieren kann mittels Templates oder durch die Verwendung der PowerShell. Zudem lade ich auf meinem Mobile Gerät die Azure App runter und auch dort habe ich nun Zugriff auf den Windows Client. Wie praktisch, jedoch ziemlich gefährlich, wenn mein Mobile gehackt wird. Irgendwie habe ich nun das Gefühl, dass ich jetzt etwas gelernt habe, jedoch bin ich von den vielen Optionen und Einstellungsmöglichkeiten überwältigt.
Wie behält man hier den Überblick?
Eigentlich habe ich nur eine virtual Machine erstellt, aber ich habe schon sieben «Ressourcen» (VM, IP, Network, Disk usw.). Was passiert, wenn man 10 oder 100 Virtual Machines benötigt? Wer kann hier noch den Überblick behalten über die Einstellungen und Zugriffe? Wo genau befinden sich nun meine Daten? Wer hat Zugriff auf meine virtual Machine? Was ist mit der Redundanz? Wie sichere ich den Zugriff ab? Was ist nun mit der Sicherheit, benötige ich eine Firewall oder einen Proxy?
Und wie sieht es mit der Sicherheit aus?
Für mich wird es sehr schnell klar, dass die IaaS-Cloud nur eine andere bzw. weitere Art von Virtualisierung ist. d.h. ich muss mich trotzdem selber um die Sicherheit kümmern. Ich benötige eine Firewall, einen Virenscanner, einen Proxy, einen Mail-Gateway sowie Verschlüsselung usw. nun auch in der Cloud, damit meine Daten und meine Ressourcen sicher und geschützt sind.
Für Unternehmen gibt’s jedoch noch mehr neue Punkte, wie eine VPN-Verbindung in die Cloud, eine stetige Überwachung der Compliance und der Ressourcen (dies potentiell mehrere Clouds übergreifend) und das Thema starke Authentisierung und Logging/Auditing der Änderungen.
AVANTEC’s Head of Cloud Security Borna Cisar wird hier am nächsten Cloud Webinar diese und noch weitere Punkte präsentieren (Link unten).
Lavar
Lavar ist Security-Spezialist und langjähriger Mitarbeiter bei AVANTEC. Am liebsten beschäftigt er sich mit Firewalls, E-Mail Gateways, Proxy-, Cloud-Lösungen und Linux. Lavar interessiert sich vor allem für technische Details.
Ja, ich habe da auch so meine Erfahrung gemacht, und frage mich jetzt auch gerade: Brauche ich eine Firewall? Immerhin ist die sehr teuer und schlägt im Monat mit ca. 500 € zu Buche? Dann sehe ich dazu die Angabe 0 Datenverbrauch in der Firewall, brauche ich sie wirklich? Die Daten würden ja auch extra kosten.
Grundsätzlich kommt es darauf an, was man genau in der Cloud machen will.
Zuhause verbinde ich mich auch nicht direkt mit dem Internet. Meistens steht ein Router oder ein WLAN Access Point dazwischen. Ich persönlich habe sogar zwei Firewalls in Serie geschaltet. 🙂
In der Cloud sollte man sich die Frage stellen, ob nur ausgehende Verbindungen benötigt werden, oder auch eingehende.
Im ersten Fall benötigt man wohl kaum eine Firewall, aber trotzdem womöglich einen Proxy oder starken Endpoint/Server „Schutz“.
Bei eingehenden Verbindungen ist eine Firewall ein muss, bzw. ev. sogar ein Reverse Proxy oder eine WAF.
In einem Unternehmen gibt’s aber auch rechtliche und womöglich compliance Gründe eine Firewall bzw. ein lückenloses Logging und Reporting zu unterhalten.