SDDC für eine „Zero-Trust“-Sicherheitsstrategie

Mikro-Segmentierung des Datacenter

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska* / Ulrike Ostler

Mikrosegmentierte SDDCs auf NSX-Basis mit NSX-basierter Workload-Isolierung

Mit der NSX-Plattform möchte VMware eine Software entwickelt haben, welche erweiterte Automatisierung der Netzwerkkontrolle (siehe hierzu: „Open-Source-Tools für mehr Automatisierung im Rechenzentrum“) und robuste Sicherheits-Features miteinander verbindet ohne die Leistung aufs Spiel zu setzen.

Open-Source-Tools für mehr Automatisierung im Rechenzentrum

Ein Vergleich der vier gängigsten offenen Automatsierungs-Tools für Datacenter

Open-Source-Tools für mehr Automatisierung im Rechenzentrum

10.09.14 - Die Zeiten selbstgeschriebener Skripte im DIY-Verfahren sind lange passé. Angesichts der unzähligen Server, die es im Rechenzentrum zu zähmen gilt, müssen Lösungen her, die den Verantwortlichen die schwere Last der Server-Automatisierung abnehmen. Als die interessantesten Open-Source-Tools gelten „Chef“, „Puppet“, „Saltstack“ und „Ansible“. lesen

Die NSX-Plattform von VMware kann zum Schutz kritischer Workloads auf dreierlei Weisen beitragen:

  • durch die Isolation von Workloads,
  • die Segmentierung des Datacenter und
  • den Einsatz erweiterter Dienste zur Verkettung von Datenflüssen (chaining) und
  • Datenstromlenkung (traffic steering) mit Möglichkeiten der Einbindung spezialisierter Lösungen von Drittanbietern wie Symantec, Trenmicro, Rapid1 und Palo Alto.

VMware NSX implementiert automatische Provisionierung mit Netzwerkisolierung und Mikrosegmentierung auf der Ebene des Hypervisors ohne die Notwendigkeit, zusätzliche Hardwareboxen hinzuzuschalten. Jeder zusätzliche Host erweitert die Fähigkeiten der Datenverarbeitung durch die NSX-Plattform um derzeit jeweils bis zu 20 Gigabit pro Sekunde.

VMware NSX läuft auf einem beliebigen Hypervisor und integriert sich in das bestehende physikalische Netzwerk.
VMware NSX läuft auf einem beliebigen Hypervisor und integriert sich in das bestehende physikalische Netzwerk. (Bild: VMware)

Ergänzendes zum Thema
 
Das Fazit der Autoren

Mikrosegmentierung gewährleistet nicht nur die Isolierung des virtualisierten Netzwerkes von den verwendeten Netzwerkressourcen, sondern erzwingt auch automatisch die Durchsetzung der festgelegten Schutzregeln für die betreffenden Workloads. Jedes isolierte Netzwerk kann aus Workloads bestehen, die auf Ressourcen kreuz und quer durch das gesamte Datencenter verteilt zugreifen.

Zudem dürfen sich VMs im Falle von NSX-basierten SDDCs sowohl auf demselben als auch auf einem beliebigen anderen Hypervisor befinden. Ein praktisches Beispiel: Die Isolierung zwischen verschiedenen virtuellen Netzwerken erlaubt die Nutzung von IP-Adressen, die sich gegenseitig überlappen. Auf diese Weise ist es in NSX möglich, Entwicklungs-, Test- und Produktionsumgebungen umzusetzen, die beispielsweise jeweils mit verschiedenen Applikationsversionen laufen, aber gemeinsame IPs teilen und alle dennoch gleichzeitig auf einer und derselben darunterliegenden physikalischen Hardware ablaufen.

Mikrosegmentierte Firewalls im SDN-Overlay in Vmare NSX
Mikrosegmentierte Firewalls im SDN-Overlay in Vmare NSX (Bild: VMware)

Die Mikrosegmentierung hat zwar Gemeinsamkeiten mit der Isolierung, kann aber zusätzlich auch auf ein virtuelles Multi-Tier-Netzwerk angewendet werden. Die Mikrosegmentierung ist, genau wie die Isolierung, eines der Top-Features von VMwares virtualisierter NSX-Netzwerkplattform. Ein virtuelles Netzwerk kann auch eine Multi-Tier-Netzwerkumgebung, wie sie in einem SDDC üblich ist, unterstützen. Hierbei kommen zum Beispiel mehrere L2-Segmente mit L3-Segmentierung oder eine Mikrosegmentierung auf einem einzelnen L2-Segment unter Nutzung einer verteilten Firewall mit Workload-spezifischen Sicherheitsrichtlinien zum Einsatz.

Die „Zero-Trust“-Sicherheitsstrategie: Zugriffsidentität als der neue Perimeter

Ein VPN-Zugang zum Inneren eines Datacenter erfüllt bei Weitem nicht mehr die aktuellen Anforderungen der IT, zumal sich die gebotenen Dienste immer Öfter über die Grenzen eines einzelnen Datencenters hinaus ausstrecken. Mit wachsender Komplexität der Dienste und explodierender Anzahl von Endgeräten in Benutzung durch eine zunehmend mobile Belegschaft sind viele Unternehmen zu der Erkenntnis gelangt, dass der neue Perimeter rund um eine Benutzeridentität - und nicht um ein einzelnes Rechenzentrum herum - entstehen muss. Föderierte Identitäten mit Multi-Faktor-Authentifizierung wird zur Pflicht. Lösungen von Anbietern von Authentifizierungslösungen wie CA Technologies oder SafeNet/Gemalto können Abhilfe schaffen.

Bei der praktischen Umsetzung der Mikrosegmentierung gilt es, zu ermitteln, welche Ressourcen und Dienste innerhalb wie auch außerhalb eines einzelnen Datencenters einen besonderen Schutz benötigen und wer unter welchen Bedingungen auf diese Ressourcen zugreifen können soll. Viele Unternehmen müssen zudem noch ganz bestimmte gesetzliche Auflagen erfüllen.

Insgesamt gilt es, bei der Implementierung drei Problemfelder zu adressieren:

  • die Provisionierung von Workloads muss samt der fehlerfreien Konfiguration der zugehörigen Netzwerkressourcen in Software zuverlässig automatisiert werden;
  • das SDDC muss sich mit Hardware-Firewalls und Intrusion-Detection-Systemen im Perimeter nahtlos integrieren lassen (diese Voraussetzung erfüllen unter anderem VM-Series Firewalls von Palo Alto Networks mit dem Management-System Palo Alto Networks Panorama);
  • die resultierende Mikrosegmentierung muss eine lückenlose Isolierung der Workloads gewährleisten und Benutzeridentitäten als den neuen, softwaredefinierten Perimeter handhaben.

*Das Autoren-Duo

Filipe Pereira Martins und Anna Kobylinska arbeiten für die Soft1T S.a r.l. Beratungsgesellschaft mbH, McKinley Denali Inc. (USA).

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?
Unabhängig davon ist es ohne Frage beschämend für Juniper, dass Sie ihrem Hostingprovider eine...  lesen
posted am 14.01.2016 um 14:27 von AnnaKobylinska

Ich kann mich nur wiederholen: Die Backdoor in Firewalls hat nicht das geringste mit der...  lesen
posted am 14.01.2016 um 08:20 von is-chertel

Auf Grund der fehlerhaften SSL-Konfiguration, welche die unternehmenseigenen Systeme von Juniper...  lesen
posted am 12.01.2016 um 20:08 von AnnaKobylinska

nicht von Juniper selbst @is-chertel: Ruhig Blut mit jungen Pferden. Juniper Networks hat...  lesen
posted am 12.01.2016 um 15:20 von FilipeMartins

Die fehlerhafte SSL-Konfiguration der Domains von Juniper lässt wohl kaum Vertrauen in die...  lesen
posted am 11.01.2016 um 20:13 von is-chertel


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43804679 / Software)