
Netzwerkvirtualisierung und Sicherheit
MIKROSEGMENTIERUNG:
Sicherheit für jedes Rechenzentrum
Ausgeklügelte Angriffe erfordern ausgeklügelte Sicherheit
Trotz der stärkeren Fokussierung auf die Sicherheit im Unternehmen, umfangreichen Investitionen in Sicherheitstechnologie, strengeren Datenschutzgesetzen und kompetenten Sicherheitsteams kommt es weiterhin alarmierend oft zu Sicherheitsverstößen im Rechenzentrum, deren Schweregrad immer weiter zunimmt. Aktuelle Beispiele für diese unerfreuliche Realität sind Angriffe auf bekannte Unternehmen. Diese rücken eine umfangreiche Sicherheitslücke ins Scheinwerferlicht, die viele Unternehmen gemeinsam haben:
Wenn eine Bedrohung die Perimetersicherheit einmal überwunden hat, gibt es sehr wenige Kontrollen innerhalb des Rechenzentrums, die verhindern, dass sie sich von Server zu Server mit dem Ost-West- Datenverkehr weiter ausbreitet. Um sich gegen solch hochkomplexe Angriffe zu schützen, benötigen Unternehmen ein ebenso ausgefeiltes und modernes Sicherheitskonzept, bei dem nicht nur der Perimeter, sondern genauso die Sicherheit im Rechenzentrum selbst im Mittelpunkt steht.
Customer Case Study: Mikrosegmentierung mit NSX für DER Deutsches Reisebüro – in Rekordzeit zu mehr Sicherheit
Für unseren Kunden DER Deutsches Reisebüro (Teil der DER Touristik Gruppe) haben wir ein Mikrosegmentierungs-Projekt mit NSX in Rekordzeit umgesetzt. Das Unternehmen stand vor der Aufgabe, die Compliance-Anforderungen für die Kreditkartenabrechnung innerhalb weniger Monate zu erfüllen. Durch die langjährige, erfolgreiche Zusammenarbeit mit VMware entschied sich DER für Netzwerkvirtualisierung, um die erforderlichen sicheren Strukturen zu gewährleisten. So konnte das Weihnachtsgeschäft in Rekordzeit und ohne Umsatzeinbußen durch einen potentiellen Ausfall der IT-Systeme gesichert werden.
Mehr lesen? Customer Case Study zu NSX und Microsegmentierung mit DER Deutsches Reisebüro – umgesetzt durch MightyCare Solutions. Zusätzlich im VMware-Blog.
HERKÖMMLICHE FIREWALLS REICHEN NICHT MEHR AUS
Für den Schutz der Daten im Rechenzentrum wurden bislang in erster Linie Firewalls eingesetzt. Diese haben den Nachteil, dass sie nur vor externen Bedrohungen schützen. Das ist schließlich die Aufgabe einer Firewall – den Datenverkehr von Client zu Server (Nord-Süd-Datenverkehr) zu schützen.
Was also tun für den Fall, dass eine Bedrohung den Sprung über die Firewall schafft und sich seitlich, also von Ost nach West, im Rechenzentrum bewegt?


Eine Möglichkeit ist die Bereitstellung von einer Firewall pro Server. Das ist nicht so einfach wie es klingt. Zum einen sind die Kosten für die Bereitstellung von Hunderten oder Tausenden appliancebasierter Firewalls für den Schutz jeder einzelnen Workload astronomisch, weshalb diese Lösung aus Kostengründen ausscheidet. Hinzu kommt, dass das Management dieser Firewalls nicht ganz unkompliziert ist: Wenn Firewall-Regeln immer wieder manuell hinzugefügt, gelöscht oder geändert werden müssen, sobald eine neue virtuelle Maschine (VM) hinzugefügt, verlagert oder außer Betrieb genommen wird, kann die IT mit der Zahl der Änderungen bald nicht mehr Schritt halten. Allein deshalb sind physische Firewalls nicht praktikabel.
Dasselbe gilt für virtuelle Firewalls. Diese sind zwar nicht ganz so teuer wie hardwarebasierte Firewalls, doch wäre auch die Anschaffung und Implementierung Tausender virtueller Firewalls mit einem viel zu hohen Kosten- und Managementaufwand verbunden. Zudem ermöglichen virtuelle Firewalls nur einen Bruchteil des Durchsatzes, den eine physische Firewall unterstützt, wodurch im gesamten Netzwerk Engpässe entstehen, die sich erheblich auf die Performance und die geschäftliche Agilität niederschlagen würden.
Ein dritter Ansatz ist die logische Partitionierung des Rechenzentrums in unterschiedliche Sicherheitssegmente oder große Firewall-Zonen, allerdings ist auch dies mit verschiedenen Problemen verbunden. Erstens entsteht durch die Segmentierung des Rechenzentrums in derart große Zonen eine riesige Angriffsfläche, und da nicht der gesamte Ost-West-Datenverkehr gefiltert wird, können sich Bedrohungen ungehindert durch große Teile des Rechenzentrums bewegen, sobald sie den Perimeter überwunden haben. Zweitens werden Sicherheitsrichtlinien primär auf der Basis des physischen Bereitstellungsorts einer Workload in der Netzwerktopologie definiert, sodass sie immer dann, wenn neue Workloads bereitgestellt oder vorhandene Workloads geändert werden, manuell konfiguriert werden müssen, um der rigiden und statischen Topologie wieder zu entsprechen. Dies ist mit erheblichen Verzögerungen verbunden. Schließlich kann bei firewallbasierten Sicherheitssystemen der Datenverkehr zwischen zwei virtuellen Maschinen (VMs) im selben Netzwerksegment nicht gefiltert werden, sodass sich Bedrohungen ungehindert entlang der Ost-West- Routen innerhalb desselben VLANs bewegen können.
NETZWERKLÖSUNGEN DER NÄCHSTEN GENERATION FÜR EIN NEUES MAß AN SCHUTZ
Die Anzahl und Häufigkeit der Cyberangriffe weltweit belegen klar, dass die Perimetersicherheit eine erste Verteidigungslinie ist, aber kein ultimativer Verteidigungswall. Zum Schutz der sensiblen Informationen und Ressourcen in Ihrem Rechenzentrum brauchen Sie eine Sicherheitsstrategie, die auf der Inspektion und Filterung des Ost-West-Datenverkehrs innerhalb des Rechenzentrums basiert und die Bedrohungen ausschaltet, bevor sie die Chance haben, sich zu verbreiten und Schaden anzurichten. Dieser Ansatz, der als Mikrosegmentierung bezeichnet wird, baut auf einem Netzwerkmodell der nächsten Generation auf, besser bekannt als Netzwerkvirtualisierung.
Einfach ausgedrückt können Netzwerke mithilfe der Netzwerkvirtualisierung programmatisch erstellt, bereitgestellt und verwaltet werden, indem das zugrunde liegende physische Netzwerk als einfache Backplane zur Weiterleitung von Paketen herangezogen wird. Die Netzwerk- und Sicherheitsservices in der Software sind auf Hypervisoren verteilt und werden in Übereinstimmung mit Netzwerk- und Sicherheitsrichtlinien für jede angeschlossene Anwendung an einzelne virtuelle Maschinen (VMs) „angehängt“. Dies hat den großen Vorteil, dass die Netzwerk- und Sicherheitsservices mit verschoben werden, wenn eine VM auf einen anderen Host verschoben wird. Ebenso werden bei der Erstellung neuer VMs zur Anwendungsskalierung die notwendigen Richtlinien dynamisch auch auf diese VMs angewendet.
VON GRUND AUF MEHR SICHERHEIT
Aus der Möglichkeit, Netzwerke vollständig in der Software abzubilden, ergeben sich völlig neue und umfassende Modelle für die Anwendung von Sicherheitsmaßnahmen. Zum einen sind virtuelle Netzwerke standardmäßig vollkommen voneinander isoliert, d.h. es besteht keine Gefahr, dass ein Datenaustausch zwischen unzusammenhängenden Datenströmen stattfindet und sich Bedrohungen dadurch von einem Server zum anderen ausbreiten. Da virtuelle Netzwerke von dem darunter liegenden physischen Netzwerk entkoppelt sind, wird außerdem Ihre Hardwareinfrastruktur vor Angriffen geschützt, die von Workloads innerhalb der virtuellen Netzwerke initiiert werden. Das Beste aber ist, dass keine physischen Subnetze, VLANs, ACLs oder Firewall-Regeln nötig sind, um dieses Maß an Isolation zu erreichen. Bei der Netzwerkvirtualisierung ist all das praktischerweise bereits standardmäßig enthalten.
DIE DMZ
Eine Demilitarized Zone (DMZ) ist ein Subnetzwerk, das ein internes Netzwerk von einem nicht vertrauenswürdigen externen Netzwerk (normalerweise das Internet) trennt und in der Regel die externen Services eines Unternehmens enthält. Bei hardwarebasierten Netzwerken muss die Workload sich physisch in der DMZ befinden, wenn ein neuer Service einem externen Netzwerk wie dem Internet präsentiert werden soll. Die Netzwerkvirtualisierung hingegen ermöglicht es, Sicherheitskontrollen einer einzelnen Workload zuzuweisen statt der zugrunde liegenden Netzwerktopologie, sodass eine DMZ sich überall befinden kann. In anderen Worten: Für jedes System innerhalb des Rechenzentrums können Richtlinien definiert und erweiterte Sicherheitsservices angewendet werden – unabhängig davon, wo sich dieses im Netzwerk befindet. So können Unternehmen das Provisioning deutlich beschleunigen und schnell auf neue Anforderungen reagieren.
INTELLIGENZ AUF GRUPPENEBENE
Bei hardwarebasierten Netzwerken werden Sicherheitsrichtlinien in der Regel auf Gruppen angewendet, die durch die Netzwerktopologie definiert sind. Bei diesem Ansatz wird nicht berücksichtigt, dass diese Topologie sowie der Zustand des Rechenzentrums sich ändern können. Dies ist in der Praxis jedoch der Fall. Workloads werden ständig geändert und weiterentwickelt. Virtualisierte Netzwerke werden diesen dynamischen, sich ständig ändernden Workloads hingegen ganz einfach gerecht. Rechenzentrumselemente können nach gemeinsamen Workload-Eigenschaften oder nach Zweck gruppiert werden statt nach Speicherort im Netzwerk, sodass Sicherheitsrichtlinien schneller und flexibler definiert und auf Gruppen angewendet werden können.
KURZE EINFÜHRUNG IN MIKROSEMENTIERUNG
Zwar ist das Konzept der Mikrosegmentierung aus technischer Sicht nicht neu, doch ist es noch nicht allzu lange möglich, die Mikrosegmentierung auch tatsächlich zu implementieren. Die Voraussetzungen hierfür schaffen die Netzwerkvirtualisierung und die Möglichkeit, Sicherheitsfunktionen auf den Hypervisor zu verlagern. Die Mikrosegmentierung ermöglicht im Prinzip die Erweiterung des Schutzes auf die individuelle Workload-Ebene. So bietet sie Firewall-Funktionen für jede einzelne virtuelle Maschine (VM). Da die Firewall- Funktionen nunmehr auf Kernel- und VNIC-Ebene verfügbar sind, kann der gesamte rechenzentrumsinterne Ost-West-Datenverkehr – einschließlich des Datenverkehrs zwischen den VMs im selben VLAN – überwacht und gefiltert werden. Dadurch verfügen Sie über eine detaillierte und hochgradig anpassungsfähige Sicherheitsebene, wie sie in modernen Rechenzentren unverzichtbar ist, wenn diese zuverlässig geschützt werden sollen.
MIKROSEMENTIERUNG (UND MEGA-SICHERHEIT) FÜR DIE RECHENZENTREN VON HEUTE
Netzwerkvirtualisierung ist viel mehr als nur die ergänzende Technologie zu Storage- und Computing-Virtualisierung. Netzwerkvirtualisierung ermöglicht Mikrosegmentierung und bildet die Grundlage eines Software-Defined Data Center (SDDC).
VMware NSX® ist die Netzwerkvirtualisierungsplattform, die Unternehmen von heute benötigen, um das Netzwerkbetriebsmodell ihrer Rechenzentren grundlegend umzustellen, mit Mikrosegmentierung neue Sicherheitsmaßstäbe zu setzen und schließlich vom vollen Potenzial eines SDDC zu profitieren. VMware NSX reproduziert die gesamte Netzwerkumgebung als Software, wobei die Netzwerk- und Sicherheitsfunktionen, die normalerweise von der Hardware übernommen werden, direkt in den Hypervisor eingebettet werden. Das zugrunde liegende physische Netzwerk wird zur Weiterleitung von IP-Paketen genutzt. Vom Konzept her ist die Netzwerkvirtualisierung mit der Computing- Virtualisierung vergleichbar. VMware NSX ermöglicht Ihnen, unabhängig von der Netzwerkhardware virtuelle Netzwerke zu erstellen und zu verwalten. Sie profitieren von umfassenden logischen Netzwerkelementen und -services, darunter logisches Switching, Routing, Firewalling, Lastausgleichsfunktionen, VPN, Servicequalität (QoS) und Überwachung.
Die Vorteile der Netzwerkvirtualisierung mit VMware NSX für die Sicherheit im Rechenzentrum sind vielfältig. Wie bereits erläutert sind virtuelle Netzwerke standardmäßig voneinander isoliert, das heißt, dass zwischen den virtuellen Netzwerken kein Datenaustausch stattfindet, es sei denn, dies wird von Ihnen explizit autorisiert. So wird die Verbreitung von Schadcode verhindert. Der zweite Vorteil besteht in der Verlagerung von Netzwerk- und Sicherheitsservices auf die Hypervisoren. Dadurch können diese Services neuen VMs dynamisch zugewiesen werden und bleiben mit der VM verbunden, auch wenn diese auf einen anderen Host verlagert wird. Und dank Firewalling auf Kernel- und VNIC-Ebene für jede einzelne VM können sich Bedrohungen, die den Perimeter überwinden, nicht wie in herkömmlichen Netzwerken lateral im Rechenzentrum ausbreiten. Das ist die Definition des Begriffs „Mikrosegmentierung“ – die Verwendung gezielter Richtlinien und Netzwerkkontrollen für die Sicherheit im Rechenzentrum, wodurch die Ausbreitung von Schadcode entlang des internen Ost-West-Datenverkehrs verhindert wird.

HÖHERE SICHERHEIT IM RECHENZENTRUM – NOCH HÖHERE EINSPARUNGEN
Die Bereitstellung physischer oder virtueller Firewalls zum Schutz des Ost-West- Datenverkehrs im Rechenzentrum ist für die meisten Unternehmen aus finanziellen sowie aus betriebstechnischen Gründen keine Option. Die Mikrosegmentierung, die durch die Netzwerkvirtualisierung mit VMware NSX ermöglicht wird, beseitigt nicht nur die betrieblichen Hindernisse, indem sie eine ungleich effektivere und besser skalierbare Sicherheitslösung im Rechenzentrum ermöglicht.
Schützen Sie Ihr Rechenzentrum jetzt mit VMware NSX
Zu viele Unternehmen setzen unerwünschten Eindringlingen die Firewalls des Rechenzentrumsperimeters als einzigen Schutz entgegen. Angesichts der immer komplexer werdenden Cyberangriffe von heute merken Unternehmen zunehmend, dass diese Sicherheitsstrategie bei weitem nicht ausreicht. Um die Sicherheit in ihren Rechenzentren auf die Anforderungen der modernen Geschäftswelt auszurichten, virtualisieren Unternehmen ihre Netzwerke mit VMware NSX und profitieren so von einem innovativen Sicherheitskonzept, der sogenannten Mikrosegmentierung.
Mit der Mikrosegmentierung können Unternehmen den Ost-West-Datenverkehr in ihren Rechenzentren absichern und dabei ebenso strikte Sicherheitsmaßnahmen und -kontrollen anwenden wie zum Schutz des Perimeters. Darüber hinaus ermöglicht VMware NSX erhebliche Einsparungen bei den Investitionskosten sowie eine Vielzahl neuer Funktionen wie die automatisierte Bereitstellung von IT-Services, bedarfsorientierte Netzwerkbereitstellung und verbesserte Anwendungskontinuität. Und in Kombination mit Storage- und Computing-Virtualisierung bildet die Netzwerkvirtualisierung mit VMware NSX eine solide Grundlage für das Software-Defined Data Center (SDDC). Erfahren Sie mehr zu VMware NSX.