Reaktion auf Sicherheitsvorfälle mit VMs

Diese Seite beschreibt, wie Administratoren bei einem Sicherheitsproblem mit einer VM in Apache CloudStack pragmatisch vorgehen können: Verantwortliche identifizieren und informieren, die VM ggf. anhalten und den Netzwerkzugriff über Security Groups stark einschränken oder vollständig unterbinden.

Schritt 1 – Verantwortliche identifizieren und kontaktieren

  1. Identifizieren Sie zunächst die betroffene VM über IP-Adresse oder VM-ID in der Instanzen-Ansicht.
  2. Ermitteln Sie anschließend das Eigentümerkonto und die zugehörigen Benutzer (inklusive E-Mail-Adressen) gemäß der separaten Anleitung „Identifizieren von VM-Besitzern und Kontakt-E-Mail-Adressen“.
  3. Informieren Sie die verantwortlichen Personen so früh wie möglich über den Vorfall (idealerweise alle Kontobenutzer, mindestens jedoch die hauptverantwortliche Person).

Die Kontaktaufnahme sollte dokumentiert werden (Zeitpunkt, Empfänger, Zusammenfassung des Problems), damit der weitere Verlauf nachvollziehbar bleibt.

Schritt 2 – VM stoppen (optional, aber häufig sinnvoll)

  1. Öffnen Sie in der Instanzen-Ansicht die Detailseite der betroffenen VM.
  2. Nutzen Sie die Schaltfläche Stop (rotes „Power-Button“-Symbol), um die VM kontrolliert herunterzufahren.

Das Stoppen einer produktiven VM kann Dienste für Nutzer unterbrechen – sofern möglich, sollten Sie betroffene Service-Owner vorab warnen oder in der Incident-Kommunikation darauf hinweisen.

Wenn der Verdacht besteht, dass die VM aktiv kompromittiert wurde (z. B. laufende Angriffe, Malware), ist ein schnelles Stoppen in vielen Fällen die sicherste Sofortmaßnahme.

Schritt 3 – Netzwerkzugriff über Security Groups einschränken

3.1 Neue restriktive Security Group anlegen

  1. Wechseln Sie in der linken Navigation zu Network → Security Groups. Security Groups auswählen

  2. Erstellen Sie eine neue Security Group, z. B. mit dem Namen incident-restricted und einer passenden Beschreibung (z. B. „Nur SSH aus Uni-Netz“).

    Änderungen an einer Security Group gelten immer für alle VMs, die dieser Gruppe zugeordnet sind – nutzen Sie daher für Incident-Szenarien möglichst eine eigene Gruppe nur für die betroffene VM.

  3. Öffnen Sie die neue Gruppe und wechseln Sie auf den Tab Ingress Rule.

  4. Fügen Sie eine sehr eingeschränkte Regel hinzu, z. B.:

  5. Protokoll: TCP

  6. Startport / Endport: 22

  7. CIDR: IP-Bereich des Uni-Netzwerks (z. B. 141.26.0.0/16).

    Ingress-Regeln anpassen

Damit ist nur noch SSH aus dem Uni-Netzwerk möglich; alle anderen eingehenden Verbindungen werden blockiert.

3.2 Security Group auf die VM anwenden

  1. Öffnen Sie wieder die Detailansicht der betroffenen VM.
  2. Weisen Sie der VM die neue Security Group incident-restricted zu (und entfernen Sie ggf. weiter gefasste Gruppen wie eine Standard- oder Sandbox-Gruppe).

Die neuen Regeln werden unmittelbar wirksam – prüfen Sie nach der Änderung, ob die VM aus dem Internet tatsächlich nicht mehr (oder nur noch wie gewünscht) erreichbar ist.

Schritt 4 – Vollständige Netztrennung und Zugriff nur über Web-Konsole

Wenn Sie die VM vollständig vom Netzwerk trennen möchten (z. B. zur forensischen Analyse), können Sie alle eingehenden Verbindungen blockieren und die Arbeit nur noch über die CloudStack-Web-Konsole durchführen.

  1. Entfernen Sie in der Security Group alle Ingress-Regeln, sodass kein eingehender Traffic mehr erlaubt ist.

  2. Stellen Sie sicher, dass keine weiteren Security Groups mit offenen Ports an der VM hängen.

    Wenn in einer Security Group keine Ingress-Regeln definiert sind, wird standardmäßig kein eingehender Verkehr zugelassen (abgesehen von Antworten auf erlaubte ausgehende Verbindungen).

  3. Öffnen Sie in der VM-Detailansicht die Konsole (z. B. über die Schaltfläche „View console“), um weiterhin administrativen Zugriff über die eingebettete noVNC-Webkonsole zu haben.

Zugriff über Web-Konsole

Diese Variante ist besonders dann sinnvoll, wenn Sie die VM forensisch sichern oder analysieren möchten, ohne dass sie noch über das Netzwerk mit anderen Systemen kommunizieren kann.