Proxmox Security Hardening — von Default zu Production-Ready
Eine Standard-Proxmox-Installation ist nicht production-secure. MFA, granulare RBAC, Firewall-Segmentierung, Audit-Logging und CVE-Monitoring sind keine Optionen — sie sind Pflicht. Wir härten Ihren Cluster nach BSI-Empfehlung und CIS Benchmark.
Führende Unternehmen weltweit vertrauen WZ-IT
Die genannten Namen sind Marken ihrer jeweiligen Inhaber: Proxmox VE (Proxmox Server Solutions GmbH). WZ-IT ist ein unabhängiger Dienstleister und steht in keiner geschäftlichen, partnerschaftlichen oder vertraglichen Beziehung zu diesen Unternehmen. Wir bieten unabhängige Migrations-, Installations-, Hosting- und Betriebsdienstleistungen an.
Was Proxmox Security umfasst
Defense in Depth — keine einzelne Maßnahme schützt Sie. Wir kombinieren sechs Schutzschichten zu einem belastbaren Security-Konzept.
Authentifizierung & MFA
TOTP/WebAuthn für alle Admin-Accounts, OIDC/SAML-Integration mit Authentik oder Keycloak, getrennte Read/Write-Rollen.
Firewall & Netzwerk-Segmentierung
Proxmox Firewall auf Cluster-, Node- und VM-Ebene. Trennung von Management-, Storage- und VM-Netzen via VLAN/SDN.
API-Token & Service-Accounts
Granulare API-Tokens mit Scope-Begrenzung, Rotation, Revocation. Keine Root-Tokens für Automatisierung.
CrowdSec / Fail2Ban
Schutz vor Brute-Force-Angriffen auf SSH und Web-UI. CrowdSec für kollaboratives Threat Intelligence Network.
Audit-Logging & SIEM
Vollständiges Audit-Trail aller Admin-Aktionen. SIEM-Integration via Syslog/Wazuh für Compliance und Forensik.
CVE-Monitoring & Patching
Kontinuierliches Monitoring auf Schwachstellen in PVE, Kernel und Gast-OS. Automatisierte Patching-Workflows mit Wartungsfenstern.
Konkrete Maßnahmen, keine Floskeln
Was wir bei jedem Cluster-Hardening konkret umsetzen — auf Cluster-, VM- und Backup-Ebene.
Cluster & Host
- SSH-Hardening (Key-only, Port-Change, Ratelimiting)
- Kernel-Parameter via sysctl gehärtet
- AppArmor/SELinux Policies aktiv
- Subscription Notice entfernt, Repos gehärtet
- Web-UI nur über VPN/Bastion erreichbar
VMs & Container
- Unprivileged Container als Default
- CPU-Pinning gegen L1TF/Spectre
- IOMMU-Isolation für PCI-Passthrough
- Disk-Verschlüsselung (LUKS, ZFS native)
- Cloud-Init mit signed templates
Backup & Recovery
- PBS mit client-seitiger Verschlüsselung
- Air-Gapped/Immutable Offsite-Kopie
- Object Lock auf S3-Backend (PBS 4.2)
- Quartalsweise Restore-Validation
- Ransomware-Tabletop-Übung
Wo steht Ihr Cluster?
Bevor wir härten, machen wir einen strukturierten Security-Audit Ihres bestehenden Setups. Sie bekommen einen Report mit konkreten Findings, priorisiert nach Risiko, und einen Maßnahmenplan mit Aufwand-Schätzung.
Cluster-Konfiguration
PVE, Corosync, Quorum
Netzwerk & Firewall
VLAN, SDN, FW Rules
IAM & Berechtigungen
RBAC, MFA, API-Tokens
Backup & Recovery
PBS, Offsite, Restore-Tests
Patching & CVEs
Update-Status, bekannte CVEs
Audit-Logs
Logging, SIEM, Retention
Nicht „unsicher", aber nicht production-grade. Defaults: kein MFA, Web-UI auf Port 8006 öffentlich, Firewall deaktiviert, Audit-Logging minimal. Für interne Lab-Umgebungen okay, für Production (insbesondere mit DSGVO-Daten) inakzeptabel. Wir härten typischerweise 30-50 Konfigurationspunkte pro Cluster.
Ein vollständiger Security-Audit (Cluster-Konfiguration, Netzwerk, IAM, Backup, Patching, Logging) kostet ab 1.490 €. Sie erhalten einen detaillierten Report mit priorisierten Findings, Risiko-Bewertung und konkretem Maßnahmenplan. Die Umsetzung der Findings ist optional als Stundenkontingent oder Festpreis-Projekt.
Unsere Hardening-Maßnahmen orientieren sich an BSI Grundschutz, CIS Benchmark for Linux, Proxmox Security Hardening Guide und Best Practices der Proxmox-Community. Bei regulierten Branchen mappen wir auf BSI C5, ISO 27001 oder spezifische Vorgaben (BaFin, KRITIS).
Die Proxmox Firewall blockt unbefugten Netzwerkzugriff — ja, das hilft gegen lateral movement. Aber Ransomware kommt typisch über VMs (Phishing, Web-Exploits) — die Firewall der VM/Workload schützt dort. Wichtigste Ransomware-Schutzmaßnahme: client-seitig verschlüsselte, immutable Offsite-Backups via PBS 4.2 mit S3 Object Lock.
Best Practice: Sicherheits-Updates innerhalb von 14 Tagen nach Veröffentlichung, kritische CVEs (CVSS ≥9) innerhalb von 72 Stunden. Wir betreuen Patching im Rahmen unserer Wartungs-Service-Levels — automatisierte Updates mit Wartungsfenstern und Rollback-Plan.
Wir bieten White-Box Audits mit Konfigurations-Review, kein klassisches Pentest. Für externes Pentesting kooperieren wir mit zertifizierten Pentest-Firmen — wir koordinieren den Scope, dokumentieren die Findings und setzen die Remediation um.
Branchenführende Unternehmen vertrauen auf uns
Was sagen Kunden über uns?
Lassen Sie uns über Ihre Idee sprechen
Ob konkrete IT-Herausforderung oder einfach eine Idee – wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.
Vertraut von führenden Unternehmen
Timo Wevelsiep & Robin Zins
Geschäftsführer