Switch und Appliance virtualiseren

Netzwerksicherheit in virtuellen Umgebungen

Migration der virtuellen Maschinen

Um die Dynamik von virtuellen Systemen auszunutzen und die Server-Hardware besser auszulasten, existieren mehrere Möglichkeiten zur Lastverteilung. Dabei müssen aber auch die Sicherheitseinrichtungen mit berücksichtigt werden. Durch das Verschieben einer virtuellen Maschine (VM) auf einen anderen physischen Host ändert sich beispielsweise die Verbindung zwischen VM und Security-Appliance. Falls es sich bei dem Sicherheitsmodul um eine externe, physische Komponente handelte, erscheint dies weniger aufwendig. In diesem Fall wird der gesamte Datenverkehr ohnehin vom Sender über die externe Appliance an den Empfänger gereicht.

Ob die beiden Partner, also der Sender und der finale Empfänger des Datenpaketes, dabei als virtuelle Maschinen auf einem gemeinsamen oder zwei getrennten physischen Hosts liegen, ändert am prinzipiellen Kommunikationsverhalten nichts. Die Datenpakete laufen immer von der VM des Senders über das physische Netzwerk-Interface zur externen Sicherheits-Appliance und von dort über ein weiteres Netzwerk-Interface zum Empfänger.

I/O: Microsoft implementiert in Hyper-V virtuelle Switche und virtuelle Netzwerkkarten zur Kommunikation der virtuellen Maschinen (VM).
I/O: Microsoft implementiert in Hyper-V virtuelle Switche und virtuelle Netzwerkkarten zur Kommunikation der virtuellen Maschinen (VM).

Laufen Sender, Empfänger und eine virtuelle Sicherheits-Appliances allerdings auf dem gleichen Host, bleibt der Datenverkehr innerhalb des Hypervisors; er verlässt den Rechner nicht. Bei der Migration einer der drei beteiligten virtuellen Maschinen auf einen zweiten Host muss dieser direkte Link daher aufgebrochen werden. Die Pakete müssen in jedem Fall aus dem Host geroutet werden.

Verwaltung: VShield von VMware übernimmt eine Basissicherung der virtuellen Maschine. Diese wird bei der Migration auch auf das Ziel übertragen.
Verwaltung: VShield von VMware übernimmt eine Basissicherung der virtuellen Maschine. Diese wird bei der Migration auch auf das Ziel übertragen.

Für die vSphere-Umgebungen bietet VMware die vShield Zones zum Management der Sicherheit einer kompletten virtuellen Infrastruktur an. Bei der Migration einer VM behält diese alle Security-Policies bei. Die Kommunikation zwischen den virtuellen Maschinen reißt dadurch nicht ab, sondern wird entsprechend umgeleitet. So soll laut VMware nicht einmal dann ein Sicherheitsrisiko entstehen, wenn ein virtueller Server aus dem Kernbereich der IT auf einen physischen Host wandert, der auch die Internet-Server aus der DMZ (demilitarisierte Zone) beherbergt.

Obwohl es also technische Lösungen gibt, ist deren Einsatz bei sicherheitskritischen Anwendungen generell skeptisch zu sehen. Sollte man daher auf den Einsatz von virtuellen Appliances gänzlich verzichten oder worin liegen deren Vorteile?