Aus der Möglichkeit, Netzwerke vollständig in der Software abzubilden, ergeben sich völlig neue und umfassende Modelle für die Anwendung von Sicherheitsmaßnahmen. Zum einen sind virtuelle Netzwerke standardmäßig vollkommen voneinander isoliert, d.h. es besteht keine Gefahr, dass ein Datenaustausch zwischen unzusammenhängenden Datenströmen stattfindet und sich Bedrohungen dadurch von einem Server zum anderen ausbreiten. Da virtuelle Netzwerke von dem darunter liegenden physischen Netzwerk entkoppelt sind, wird außerdem Ihre Hardwareinfrastruktur vor Angriffen geschützt, die von Workloads innerhalb der virtuellen Netzwerke initiiert werden. Das Beste aber ist, dass keine physischen Subnetze, VLANs, ACLs oder Firewall-Regeln nötig sind, um dieses Maß an Isolation zu erreichen. Bei der Netzwerkvirtualisierung ist all das praktischerweise bereits standardmäßig enthalten.

Eine Demilitarized Zone (DMZ) ist ein Subnetzwerk, das ein internes Netzwerk von einem nicht vertrauenswürdigen externen Netzwerk (normalerweise das Internet) trennt und in der Regel die externen Services eines Unternehmens enthält. Bei hardwarebasierten Netzwerken muss die Workload sich physisch in der DMZ befinden, wenn ein neuer Service einem externen Netzwerk wie dem Internet präsentiert werden soll. Die Netzwerkvirtualisierung hingegen ermöglicht es, Sicherheitskontrollen einer einzelnen Workload zuzuweisen statt der zugrunde liegenden Netzwerktopologie, sodass eine DMZ sich überall befinden kann. In anderen Worten: Für jedes System innerhalb des Rechenzentrums können Richtlinien definiert und erweiterte Sicherheitsservices angewendet werden – unabhängig davon, wo sich dieses im Netzwerk befindet. So können Unternehmen das Provisioning deutlich beschleunigen und schnell auf neue Anforderungen reagieren.

Bei hardwarebasierten Netzwerken werden Sicherheitsrichtlinien in der Regel auf Gruppen angewendet, die durch die Netzwerktopologie definiert sind. Bei diesem Ansatz wird nicht berücksichtigt, dass diese Topologie sowie der Zustand des Rechenzentrums sich ändern können. Dies ist in der Praxis jedoch der Fall. Workloads werden ständig geändert und weiterentwickelt. Virtualisierte Netzwerke werden diesen dynamischen, sich ständig ändernden Workloads hingegen ganz einfach gerecht. Rechenzentrumselemente können nach gemeinsamen Workload-Eigenschaften oder nach Zweck gruppiert werden statt nach Speicherort im Netzwerk, sodass Sicherheitsrichtlinien schneller und flexibler definiert und auf Gruppen angewendet werden können.

Zwar ist das Konzept der Mikrosegmentierung aus technischer Sicht nicht neu, doch ist es noch nicht allzu lange möglich, die Mikrosegmentierung auch tatsächlich zu implementieren. Die Voraussetzungen hierfür schaffen die Netzwerkvirtualisierung und die Möglichkeit, Sicherheitsfunktionen auf den Hypervisor zu verlagern. Die Mikrosegmentierung ermöglicht im Prinzip die Erweiterung des Schutzes auf die individuelle Workload-Ebene. So bietet sie Firewall-Funktionen für jede einzelne virtuelle Maschine (VM). Da die Firewall- Funktionen nunmehr auf Kernel- und VNIC-Ebene verfügbar sind, kann der gesamte rechenzentrumsinterne Ost-West-Datenverkehr – einschließlich des Datenverkehrs zwischen den VMs im selben VLAN – überwacht und gefiltert werden. Dadurch verfügen Sie über eine detaillierte und hochgradig anpassungsfähige Sicherheitsebene, wie sie in modernen Rechenzentren unverzichtbar ist, wenn diese zuverlässig geschützt werden sollen.

Netzwerkvirtualisierung ist viel mehr als nur die ergänzende Technologie zu Storage- und Computing-Virtualisierung. Netzwerkvirtualisierung ermöglicht Mikrosegmentierung und bildet die Grundlage eines Software-Defined Data Center (SDDC).

VMware NSX® ist die Netzwerkvirtualisierungsplattform, die Unternehmen von heute benötigen, um das Netzwerkbetriebsmodell ihrer Rechenzentren grundlegend umzustellen, mit Mikrosegmentierung neue Sicherheitsmaßstäbe zu setzen und schließlich vom vollen Potenzial eines SDDC zu profitieren. VMware NSX reproduziert die gesamte Netzwerkumgebung als Software, wobei die Netzwerk- und Sicherheitsfunktionen, die normalerweise von der Hardware übernommen werden, direkt in den Hypervisor eingebettet werden. Das zugrunde liegende physische Netzwerk wird zur Weiterleitung von IP-Paketen genutzt. Vom Konzept her ist die Netzwerkvirtualisierung mit der Computing- Virtualisierung vergleichbar. VMware NSX ermöglicht Ihnen, unabhängig von der Netzwerkhardware virtuelle Netzwerke zu erstellen und zu verwalten. Sie profitieren von umfassenden logischen Netzwerkelementen und -services, darunter logisches Switching, Routing, Firewalling, Lastausgleichsfunktionen, VPN, Servicequalität (QoS) und Überwachung.

Die Vorteile der Netzwerkvirtualisierung mit VMware NSX für die Sicherheit im Rechenzentrum sind vielfältig. Wie bereits erläutert sind virtuelle Netzwerke standardmäßig voneinander isoliert, das heißt, dass zwischen den virtuellen Netzwerken kein Datenaustausch stattfindet, es sei denn, dies wird von Ihnen explizit autorisiert. So wird die Verbreitung von Schadcode verhindert. Der zweite Vorteil besteht in der Verlagerung von Netzwerk- und Sicherheitsservices auf die Hypervisoren. Dadurch können diese Services neuen VMs dynamisch zugewiesen werden und bleiben mit der VM verbunden, auch wenn diese auf einen anderen Host verlagert wird. Und dank Firewalling auf Kernel- und VNIC-Ebene für jede einzelne VM können sich Bedrohungen, die den Perimeter überwinden, nicht wie in herkömmlichen Netzwerken lateral im Rechenzentrum ausbreiten. Das ist die Definition des Begriffs „Mikrosegmentierung“ – die Verwendung gezielter Richtlinien und Netzwerkkontrollen für die Sicherheit im Rechenzentrum, wodurch die Ausbreitung von Schadcode entlang des internen Ost-West-Datenverkehrs verhindert wird.