Netzwerksicherheit in virtuellen Umgebungen

Switche als zentrale Netzzugangsknoten

Ein Switch stellt immer den Zugang einer virtuellen Maschine zur weiteren Netzwerkumgebung dar. Diese gilt für physische und virtuelle Switche gleichermaßen. Durch die Konsolidierung mehrerer Rechner in einer virtuellen Umgebung wird der Netzwerkzugang aber stärker beansprucht und unter Umständen zum Engpass. Werden mehrere VMs über eine einzige physische Netzwerkkarte (NIC) geschleust, so wird diese auch zum Single-Point-Of-Failure für etliche Systeme. Daher sichert man diesen Zugang gegen einen Ausfall ab und legt ihn redundant aus.

Ferner muss dafür gesorgt werden, dass der maximale Kommunikationsbedarf aller virtuellen Maschinen durch die Netzwerkanbindung auch abgedeckt wird. Dazu können mehrere NICs im Teaming-Mode parallelgeschalten werden. Wenn beispielsweise ein virtueller NIC in VMware über den physischen NIC des ESX-Servers mit anderen Systemen kommuniziert, so wird dieser Zugang durch die Teaming-Funktion des Hypervisors immer abgesichert.

Generell werden virtuelle Maschinen, wie auch physische Rechner, auf OSI Layer 2 miteinander verbunden. Die VM wird somit mittels der virtuellen Switche in einen virtuellen Netzwerkport gepatched. Durch Softwareemulation wird außerdem dafür gesorgt, dass jede VM ihre eigene logische MAC-Adresse und IP-Adresse erhält, wenngleich diese physisch wieder auf wenige NICs zusammengeführt werden.

Virtuelle Maschinen auf einem Host lassen sich durch die Definition von VLANS zudem sicher trennen. Notwendig werden VLANS aber auch deswegen, da die physische Server-Hardware meist nicht über genügend Netzwerk-Slots verfügen, um alle benötigten Netzwerke durch separate NICs auch physisch zu trennen. Viele Unternehmen implementieren deshalb VLANs mit entsprechenden Sicherheitskonzepten.