Sicherheit in virtuellen VMware-Infrastrukturen

Mit VMware vShield vSphere-Umgebungen absichern

Zum Schutz virtueller Strukturen sind traditionelle Sicherheitstools nur bedingt geeignet. VMware bietet mit vShield eine spezielle Suite zur Absicherung von Sphere-Infrastrukturen an. Wir stellen Ihnen die Funktionen vor und demonstrieren die Integration der Sicherheitslösung in eine vSphere-Umgebung.

Traditionelle Sicherheitslösungen gehen nicht auf die Besonderheiten von virtuellen Strukturen ein. Aus diesem Grund sind sie kaum geeignet, virtuelle Systeme erfolgreich abzusichern. Der Grund dafür ist unter anderem die Dynamik virtueller Systeme. Wenn Server dynamisch und schnell auf einem Host aktiviert werden, müssen auch die Schutzvorkehrungen ebenso dynamisch sein. Allerdings dürfen sie das gesamte Systemgebilde nicht überlasten.

Der Schutz des Hosts ist darüber hinaus eine Aufgabe, die bei den traditionellen Sicherheitssystemen nicht anfällt. In einer bestehenden Umgebung mit physischen Servern werden oftmals Security-Appliances, wie etwa eine Firewall oder ein Malware Scanner, zwischen zwei Serversysteme in deren Kommunikationskanal geschaltet. Wenn allerdings die beiden Server als virtuelle Maschine auf einem ESX-Host ausgeführt werden, muss der gesamte Traffic zwischen den beiden virtuellen Servern aus den Host heraus hin zur Firewall und dann wieder zurückgeschleust werden. Dieser Datenverkehr aus dem Host oder wieder zurück belastet die physischen Netzwerk-Interfaces, die in virtuellen Umgebungen ohnehin meist ein Engpass sind. Dies ist ein weiterer Grund, warum in virtuellen Umgebungen andere Sicherheitsmechanismen gefordert sind.

Die genannten Beispiele zeigen, dass die traditionellen Sicherheitskonzepte eben nicht so ohne Weiteres in die virtuelle Welt zu übertragen sind. Stattdessen müssen neue Sicherheitstechniken entwickelt werden, die speziell auf die Besonderheiten der virtuellen Umgebungen eingehen. Diese bündelt VMware in die vShield Suite. Diese Suite besteht aus mehreren Modulen, dem Manager zur Verwaltung, App, Edge und Data Security sowie der Endpoint Protection, die bereits in vSphere 5.1 enthalten ist.

Der vShield Manager

Der vShield Manager ist die zentrale Verwaltungskonsole von vShield. Er wird auf einer virtuellen Appliance eingerichtet. Die weiteren vShield-Module, wie etwa vShield Egde und vShield App, werden vom Manager verwaltet. Der vShield Manager ist in der Lage, eine verteilte vShield-Infrastruktur zu verwalten. Eingeschlossen sind ferner das Management der IP-Adressen und die DHCP-Verwaltung. Die rollenbasierte Administration erlaubt dabei auch den Aufbau von unterschiedlichen Verwaltungsstufen. Die Verwaltung von vShield Egde kann zudem durch den vCloud Director, das VMware-Verwaltungsmodul für Clouds, vorgenommen werden.