Suchen

Vier Denkanstöße zu virtuellen Server-Farmen Server-Virtualisierung erfordert Nachjustierung der Netzwerksicherheit

| Redakteur: Stephan Augsten

Wenn es beim Errichten virtueller Server-Farmen um IT-Sicherheit geht, sieht man im Rechenzentrum immer wieder in ungläubige Gesichter. Denn im Grunde ändert die Virtualisierung kaum etwas. In diesem Beitrag erläutern wir, auf welche Aspekte man sich in Sachen Virtualization Security sich dennoch besonders konzentrieren sollte.

Firma zum Thema

Bei der Server-Virtualisierung gibt es kleine, aber feine Unterschiede zur traditionellen Network Security.
Bei der Server-Virtualisierung gibt es kleine, aber feine Unterschiede zur traditionellen Network Security.
( Archiv: Vogel Business Media )

Rollt man eine virtuelle Umgebung im Rechenzentrum aus, wird man im Vergleich zu einer physischen Server-Farm keine großen Veränderungen spüren. Was einmal wichtig war, bleibt es auch weiterhin. So muss man bei der Administration virtueller Systeme dieselben Zugriffsberechtigungen für dieselben Plattformen umsetzen.

Doch nur weil das Gesamtbild gleich zu sein scheint, heißt das nicht, dass sich die Anforderungen bis ins kleinste Detail entsprechen! Einige traditionelle Sicherheitsfunktionen wie beispielsweise Intrusion-Detection- und -Prevention-Systeme (IDS/IPS) sind in einer virtuellen Umgebung schwieriger umzusetzen: Wenn man zig Patchkabel zieht und den physischen Switch durch einen virtuellen ersetzt, der über mehrere Hostsysteme verteilt ist, stellt sich zwangsläufig die Frage nach der Positionierung des IDS/IPS.

Ein weiteres Sicherheitsproblem in virtuellen Umgebungen ist die Unberechenbarkeit des Standorts. Wenn man in einem Rechenzentrum oder über mehrere Datacenter hinweg virtualisiert, lässt sich schwer nachvollziehen, auf welchem physischen Host-System eine spezielle virtuelle Maschine zu welchem Zeitpunkt gestartet wird. In der reellen Welt arbeitet man mit individuellen Ethernet-Ports, um dynamische virtuelle Netzwerke zu erstellen (VLAN-Trunking).

Letztlich muss man die Sicherheitstopologie also dahingehend ändern, dass sie nicht darauf ausgerichtet ist, welche Systeme in einem bestimmten Rack sitzen. Es ist vielmehr von Bedeutung, die Funktionen zu überwachen, die in einem speziellen VLAN oder Subnetz ablaufen.

Firewalling in virtuellen Umgebungen

Bei der Virtualisierung muss man aber auch Performance- und Management-Aspekte vorausplanen und im Auge behalten. Im Falle vieler einzelner Systeme ist es einfach, die Last auf mehrere kleine und günstige Firewalls zu verteilen. Da in diesem Fall jede Firewall nur eine kleine Anzahl an Geräten überwacht, lassen sich wiederum Regelwerke deutlich einfacher definieren.

Innerhalb großer virtualisierter Cluster muss man die diversen Firewalls zu einer kleineren Anzahl größerer Geräte vereinigen, die für deutlich höhere Belastungen geeignet sind. Ein tückischeres Problem ist, dass die meisten Firewalls so ihre Probleme bei der Verwaltung großer Mehrzonen-Policies haben. Bei der Definition von Richtlinien in virtuellen Umgebungen können selbst die besten Firewalls versagen.

Seite 2: Vier Überlegungen für die Sicherheitsintegration virtueller Server

(ID:2043967)