Rundumschutz für die IT
VMware vShield: Cloud- und virtuelle Umgebungen absichern
Die Zielsetzung der Servervirtualisierung besteht in einer besseren Hardwareausnutzung. Durch die Zusammenfassung mehrerer Server in einen werden Hardware, Platz und Ressourcen gespart. Unterstützt durch Management-Tools, wird auch die Bereitstellung neuer Dienste und Systeme beschleunigt. Das sind die wichtigsten Vorteile. Gleichzeitig wird der Host, der nun zum Träger vieler virtueller Server wird, Single-Point-Of-Failure. Das ist der Preis der Virtualisierung. Fällt der Host aus, so zieht er zwangsläufig alle seine virtuellen Gäste in den Abgrund. Die Abwehr von Übergriffen auf den Host wird damit essentiell. Aber auch die virtuellen Gäste müssen geschützt werden. Die Absicherung muss daher in alle Richtungen greifen. Ein besonderes Augenmerk gilt aber dem Host-System. Da der Hypervisor, also der VMware ESX/EXSi-Server, der Träger der virtuellen Maschinen darstellt, muss er besonders abgesichert werden. Gelingt es einem Angreifer, den Host zu komprimieren, so bleibt das kaum ohne Auswirkungen auf die virtuellen Gäste.
- VMware vShield
vShield umfasst mehrere Sicherheitskonzepte und eine gemeinsame Verwaltungskonsole. - VMware vShield
vShield Edge wird an der Grenze nach draußen positioniert. Es ist mit den Perimeter-Firewalls vergleichbar. - VMware vShield
vShield Endpoint überwacht die Endgeräte, die virtuellen Maschinen. vShield Endpoint kommt von den Partnern von VMware. - VMware vShield
Regelsätze steuern den Zugriff auf die virtuellen Ressourcen. - VMware vShield
Zum Umfang von vShield gehören auch NAT, eine DHCP- und VPN-Verwaltung und Routing-Funktionen. - VMware vShield
Wer vShield selbst installieren möchte findet auf der VMware Website die passenden Produktdownloads. - VMware vShield
Durch vShield Zones werden Zonen gebildet. Diese umfassen die Objekte des vCenter und erlauben eine passgenaue Konfiguration. - VMware vShield
Der vShield Manager wird als OVA-Vorlage bereitgestellt und ist in das vCenter zu integrieren. - VMware vShield
Nach der Integration des vShield Manager in das vCenter müssen Sie zuerst die IP-Konfiguration mittels Kommandozeileninterface vornehmen. - VMware vShield
... und können sich anschließend an der vShield Webkonsole anmelden. - VMware vShield
Der vShield Center
Virtuelle Security Appliances agieren in virtuellen Maschinen
Um Server gegen Angriffe abzusichern, setzt man in der physischen Welt meist auf ein Set an Sicherheitsvorkehrungen. Diese sind beispielsweise Firewalls, Intrusion-Detection- und -Prevention-Systeme, Virenscanner oder Data-Leakage-Prevention-Werkzeuge . All diese Sicherheitseinrichtungen können im Prinzip auch im Kontext einer virtuellen Maschine eingesetzt werden und verrichten hier ihre Dienste. Doch der Einsatz der aus der physischen Welt bekannten Sicherheits-Tools im Kontext virtueller Systeme ist eher als Notlösung zu bezeichnen. Dies hat mehrere Ursachen:
In einer bestehenden Umgebung mit physischen Servern werden oftmals Security-Appliances, wie etwa eine Firewall oder ein Intrusion-Prevention-System, zwischen zwei Serversysteme in deren Kommunikationskanal geschaltet. Diese Kopplung der Systeme bestehend aus zwei Servern und der Firewall dazwischen, ist relativ starr und wird sich in der physischen Welt kaum ändern. Wenn aber die beiden Server als Virtuelle Maschine (VM) auf einem ESX-Host ausgeführt werden, muss der gesamte Traffic zwischen den beiden virtuellen Servern aus den Host heraus hin zur Firewall und dann wieder zurückgeschleust werden. Dazu müssen virtuelle Switche eingerichtet werden.
Der Traffic zum oder vom ESX-Host belastet die physischen Netzwerk-Interfaces, die in virtuellen Umgebungen ohnehin meist ein Engpass sind. Um das zu vereinfachen, liefern manche Hersteller virtuelle Security-Appliances. Diese laufen dann in einer Virtuellen Maschine auf einem Hypervisor. Doch das bleibt nicht ohne Auswirkungen auf den gesamten Sicherheitsstatus. Was passiert beispielsweise, wenn zwischen zwei VMs eine virtuelle Security-Appliance ihren Dienst verrichtet und eine der Virtuellen Maschinen auf einen anderen Host migriert wird? Beim Umzug einer VM ändert sich auch die Verbindung zwischen den beiden. Daher muss bei der VM-Migration auch das Sicherheits-Setup berücksichtigt werden.
Wie diese beiden Beispiele zeigen, sind bestehende Sicherheitskonzepte eben nicht so ohne Weiteres in die virtuelle Welt zu übertragen. Stattdessen müssen neue Sicherheitstechniken entwickelt werden, die speziell auf die Besonderheiten der virtuellen Umgebungen eingehen. Eine grundsätzliche Anforderung dabei ist die Abstrahierung der Sicherheitskonzepte. Wenn Server auf Virtuellen Maschinen beispielsweise mittels vMotion schnell auf andere Hosts oder gar in die Cloud verschoben werden, dürfen die Sicherheitslösungen nicht mehr wie heute an fest installierte physische Firewalls gebunden sein, denn dann müsste nach der Verschiebung der VM auch die Firewall-Konfiguration angepasst und vielleicht sogar neu verkabelt (gepatched) werden. Dementsprechend hat VMware sein ursprünglich als VMsafe bezeichnetes Konzept in der vShield-Produktreihe verfeinert und vorgestellt. Dabei handelt es sich um einen Verbund von Sicherheitsvorkehrungen zum Schutz der Virtuellen Maschinen, die im Kontext des ESX-Servers laufen.