Netzwerk-Virtualisierung

Sicherheit im Software-Defined Data Center

| Autor / Redakteur: Martin Rausche* / Stephan Augsten

Der Admin als Security Designer?

Die klassische Firewall fungiert weniger als „Brandschutzmauer“, wie es der englische Begriff suggeriert, sondern vielmehr als Brandschutztür: Sie lässt die Personen (den Datenverkehr) durch, während sie sich rechtzeitig schließt, um Feuer (also Angriffe) fernzuhalten.

Eine solche Brandschutztür funktioniert wunderbar, solange alle zu schützenden Personen im gesicherten Raum oder Trakt verbleiben: die Menschen hier – das Feuer dort. Bewegen sich die Personen jedoch eifrig im gesamten Gebäude hin und her, verliert die Brandschutztür an Wirkung und letztlich sogar ihren Sinn.

Eben diese Beweglichkeit ist aber genau der große Vorteil eines Software-Defined Datacenter (SDDC) gegenüber herkömmlichen RZ-Umgebungen. Applikationen und deren Workloads lassen sich sogar im Betrieb per VM-Migration schnell und einfach von Server zu Server verschieben.

Ebenso einfach sind neue virtuelle Applikationsserver eingerichtet, um eine Serverfarm zu skalieren oder einem weiteren Kunden die gleiche Software bereitzustellen – und ebenso schnell sind die Ressourcen wieder freigegeben. Es herrscht also ein ständiges Kommen und Gehen.

In einem solchen Gewimmel jedoch lassen sich Personen nicht mehr auf althergebrachte, statische Weise vor Feuer schützen: Individuelle Brandschutzanzüge sind gefragt, nicht wenige Brandschutztüren! Diese Anzüge müssen für die jeweilige Tätigkeit der Person maßgeschneidert sein, um sie im Alltag nicht zu behindern.

Muss der Administrator also nun umschulen vom „Brandschutztür-Konstrukteur“ zum „Maßschneider“ mit Spezialgebiet „Asbest-Haute Couture“? Auch dies wäre nicht wirklich praktikabel, geht es doch um zahlreiche zu schützende Applikationsvarianten. Gefragt ist eine Lösung, die ihm diese Arbeit abnimmt und sie automatisiert.

Virtuelles Netz mit verteilter Firewall

Genau hier setzt die Netzwerkvirtualisierung mittels NSX mit dem Konzept der Distributed Firewall an: Jede virtuelle Maschine (VM) erhält ihre eigene – somit verteilte – virtuelle Firewall. Diese arbeitet nicht in der VM selbst, sondern im Kernel der virtuellen Netzwerkschnittstelle (vNIC). Damit sitzt sie so nah wie möglich an der Applikation, ohne selbst Teil der Angriffsfläche zu sein – sie hat nicht einmal eine IP-Adresse.

Wie eine Distributed Firewall die Applikation zu schützen hat, legt die IT nun nicht mehr anhand von traditionellen, Port-basierten Firewall-Regeln fest, sondern mittels Richtlinien: Per Policy definiert die IT ein einziges Mal, wie eine Anwendung zu schützen ist, etwa durch Transport über HTTPS, Limitierung des Nutzerkreises, Weiterleitung an Drittlösungen von Partnern wie Check Point oder Palo Alto Networks etc. Die Firewall, die diese Policies umsetzt, wird automatisch mit der VM provisioniert und mit deren Nutzungsende wieder deprovisioniert.

Das Policy Set folgt einer VM bei Migrationen und steht nach deren Deprovisionierung trotzdem für neue VMs gleichen Typs wieder automatisch zur Verfügung. Der Policy-basierte Sicherheitsansatz gestattet damit die geforderte Dynamik im virtualisierten Netzwerk – und vermeidet gleichzeitig den berüchtigten Wildwuchs der Regelwerke, der die Verwaltung herkömmlicher Firewalls so sehr erschwert.

Fazit

Martin Rausche
Martin Rausche (Vild: VMware)

NSX sorgt also für automatisches Aufsetzen, Skalieren, Migrieren und Deprovisionieren einer verteilten Firewall in Abstimmung auf den Applikationstyp. Möglich ist dies, da NSX den erforderlichen Einblick in VMware vCenter und damit in alle virtualisierten Objekte hat. So macht NSX das Rechenzentrum sicherer und zugleich dem IT-Personal das Leben leichter. Denn es bietet eine automatisierte Variantenfertigung von VM-Sicherheits-Maßanzügen – statt rostiger alter Brandschutztüren.

* Über den Autor

Martin Rausche ist Systems Engineering Manager (SDDC Specialists) CEMEA bei VMware.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43968349 / Cloud und Virtualisierung)