Mehr Sicherheit durch Virtualisierung

Firewalls in virtuellen Umgebungen

Wer virtualisierte Umgebungen konzipiert, muss auch überlegen, wo er Sicherheitssysteme wie Firewalls, Intrusion-Detection- oder Intrusion-Prevention-Komponenten platzieren will. Normalerweise werden einzelne Rechner über Netzwerkkabel, Router und Switches verbunden. Sicherheits-Appliances lassen sich dort einfach zwischenschalten. Wenn jedoch viele Computer nur noch als virtuelle Maschinen existieren und somit nur über virtuelle Netze innerhalb der Virtualisierungskomponente verbunden sind, wo schließt man dann eine Intrusion-Prevention-Appliance an?

Solche Fragen müssen Firmen berücksichtigen, wenn sie virtuelle Infrastrukturen konzipieren. In manchen Fällen mag die Lösung trivial sein, doch unter Umständen sind Anwender gezwungen, die Struktur anzupassen, um die vorhandenen Sicherheitskomponenten integrieren zu können.

Virtualisierte Sicherheitskomponenten

Eine besondere Variante ist dabei die Virtualisierung der Sicherheitskomponenten selbst. An Stelle von physikalisch eigenständigen Firewall-, VPN-, IDS- oder Content-Security-Appliances versucht man dabei auch die Sicherheitskomponenten als virtuelle Appliances in Form von virtuellen Maschinen auf einem gemeinsamen Host zu vereinen.

Manchmal scheidet diese Variante aber aus, da sie nicht genügend Leistung bietet. Wer zum Beispiel Gbit-Durchsätze benötigt und dafür spezialisierte Appliances einsetzt, der wird kaum eine vergleichbare Performance in einer virtuellen Umgebung erreichen. Aber auch wenn die Übertragungsbandbreite nicht das entscheidende Argument ist, muss man hier gut überlegen, welche Funktionen sinnvoll zusammenpassen, ohne dass die Sicherheit darunter leidet.