Suchen

SDDC für eine „Zero-Trust“-Sicherheitsstrategie

Mikro-Segmentierung des Datacenter

Seite: 3/3

Firma zum Thema

Mikrosegmentierte SDDCs auf NSX-Basis mit NSX-basierter Workload-Isolierung

Mit der NSX-Plattform möchte VMware eine Software entwickelt haben, welche erweiterte Automatisierung der Netzwerkkontrolle (siehe hierzu: „Open-Source-Tools für mehr Automatisierung im Rechenzentrum“) und robuste Sicherheits-Features miteinander verbindet ohne die Leistung aufs Spiel zu setzen.

Die NSX-Plattform von VMware kann zum Schutz kritischer Workloads auf dreierlei Weisen beitragen:

  • durch die Isolation von Workloads,
  • die Segmentierung des Datacenter und
  • den Einsatz erweiterter Dienste zur Verkettung von Datenflüssen (chaining) und
  • Datenstromlenkung (traffic steering) mit Möglichkeiten der Einbindung spezialisierter Lösungen von Drittanbietern wie Symantec, Trenmicro, Rapid1 und Palo Alto.

VMware NSX implementiert automatische Provisionierung mit Netzwerkisolierung und Mikrosegmentierung auf der Ebene des Hypervisors ohne die Notwendigkeit, zusätzliche Hardwareboxen hinzuzuschalten. Jeder zusätzliche Host erweitert die Fähigkeiten der Datenverarbeitung durch die NSX-Plattform um derzeit jeweils bis zu 20 Gigabit pro Sekunde.

VMware NSX läuft auf einem beliebigen Hypervisor und integriert sich in das bestehende physikalische Netzwerk.
VMware NSX läuft auf einem beliebigen Hypervisor und integriert sich in das bestehende physikalische Netzwerk.
(Bild: VMware)

Mikrosegmentierung gewährleistet nicht nur die Isolierung des virtualisierten Netzwerkes von den verwendeten Netzwerkressourcen, sondern erzwingt auch automatisch die Durchsetzung der festgelegten Schutzregeln für die betreffenden Workloads. Jedes isolierte Netzwerk kann aus Workloads bestehen, die auf Ressourcen kreuz und quer durch das gesamte Datencenter verteilt zugreifen.

Zudem dürfen sich VMs im Falle von NSX-basierten SDDCs sowohl auf demselben als auch auf einem beliebigen anderen Hypervisor befinden. Ein praktisches Beispiel: Die Isolierung zwischen verschiedenen virtuellen Netzwerken erlaubt die Nutzung von IP-Adressen, die sich gegenseitig überlappen. Auf diese Weise ist es in NSX möglich, Entwicklungs-, Test- und Produktionsumgebungen umzusetzen, die beispielsweise jeweils mit verschiedenen Applikationsversionen laufen, aber gemeinsame IPs teilen und alle dennoch gleichzeitig auf einer und derselben darunterliegenden physikalischen Hardware ablaufen.

Mikrosegmentierte Firewalls im SDN-Overlay in Vmare NSX
Mikrosegmentierte Firewalls im SDN-Overlay in Vmare NSX
(Bild: VMware)

Die Mikrosegmentierung hat zwar Gemeinsamkeiten mit der Isolierung, kann aber zusätzlich auch auf ein virtuelles Multi-Tier-Netzwerk angewendet werden. Die Mikrosegmentierung ist, genau wie die Isolierung, eines der Top-Features von VMwares virtualisierter NSX-Netzwerkplattform. Ein virtuelles Netzwerk kann auch eine Multi-Tier-Netzwerkumgebung, wie sie in einem SDDC üblich ist, unterstützen. Hierbei kommen zum Beispiel mehrere L2-Segmente mit L3-Segmentierung oder eine Mikrosegmentierung auf einem einzelnen L2-Segment unter Nutzung einer verteilten Firewall mit Workload-spezifischen Sicherheitsrichtlinien zum Einsatz.

Die „Zero-Trust“-Sicherheitsstrategie: Zugriffsidentität als der neue Perimeter

Ein VPN-Zugang zum Inneren eines Datacenter erfüllt bei Weitem nicht mehr die aktuellen Anforderungen der IT, zumal sich die gebotenen Dienste immer Öfter über die Grenzen eines einzelnen Datencenters hinaus ausstrecken. Mit wachsender Komplexität der Dienste und explodierender Anzahl von Endgeräten in Benutzung durch eine zunehmend mobile Belegschaft sind viele Unternehmen zu der Erkenntnis gelangt, dass der neue Perimeter rund um eine Benutzeridentität - und nicht um ein einzelnes Rechenzentrum herum - entstehen muss. Föderierte Identitäten mit Multi-Faktor-Authentifizierung wird zur Pflicht. Lösungen von Anbietern von Authentifizierungslösungen wie CA Technologies oder SafeNet/Gemalto können Abhilfe schaffen.

Bei der praktischen Umsetzung der Mikrosegmentierung gilt es, zu ermitteln, welche Ressourcen und Dienste innerhalb wie auch außerhalb eines einzelnen Datencenters einen besonderen Schutz benötigen und wer unter welchen Bedingungen auf diese Ressourcen zugreifen können soll. Viele Unternehmen müssen zudem noch ganz bestimmte gesetzliche Auflagen erfüllen.

Insgesamt gilt es, bei der Implementierung drei Problemfelder zu adressieren:

  • die Provisionierung von Workloads muss samt der fehlerfreien Konfiguration der zugehörigen Netzwerkressourcen in Software zuverlässig automatisiert werden;
  • das SDDC muss sich mit Hardware-Firewalls und Intrusion-Detection-Systemen im Perimeter nahtlos integrieren lassen (diese Voraussetzung erfüllen unter anderem VM-Series Firewalls von Palo Alto Networks mit dem Management-System Palo Alto Networks Panorama);
  • die resultierende Mikrosegmentierung muss eine lückenlose Isolierung der Workloads gewährleisten und Benutzeridentitäten als den neuen, softwaredefinierten Perimeter handhaben.

*Das Autoren-Duo

Filipe Pereira Martins und Anna Kobylinska arbeiten für die Soft1T S.a r.l. Beratungsgesellschaft mbH, McKinley Denali Inc. (USA).

(ID:43804679)