Traditionelle Sicherheitslösungen gehen nicht auf die Besonderheiten von virtuellen Strukturen ein. Aus diesem Grund sind sie kaum geeignet, virtuelle Systeme erfolgreich abzusichern. Der Grund dafür ist unter anderem die Dynamik virtueller Systeme. Wenn Server dynamisch und schnell auf einem Host aktiviert werden, müssen auch die Schutzvorkehrungen ebenso dynamisch sein. Allerdings dürfen sie das gesamte Systemgebilde nicht überlasten.
Der Schutz des Hosts ist darüber hinaus eine Aufgabe, die bei den traditionellen Sicherheitssystemen nicht anfällt. In einer bestehenden Umgebung mit physischen Servern werden oftmals Security-Appliances, wie etwa eine Firewall oder ein Malware Scanner, zwischen zwei Serversysteme in deren Kommunikationskanal geschaltet. Wenn allerdings die beiden Server als virtuelle Maschine auf einem ESX-Host ausgeführt werden, muss der gesamte Traffic zwischen den beiden virtuellen Servern aus den Host heraus hin zur Firewall und dann wieder zurückgeschleust werden. Dieser Datenverkehr aus dem Host oder wieder zurück belastet die physischen Netzwerk-Interfaces, die in virtuellen Umgebungen ohnehin meist ein Engpass sind. Dies ist ein weiterer Grund, warum in virtuellen Umgebungen andere Sicherheitsmechanismen gefordert sind.
Die genannten Beispiele zeigen, dass die traditionellen Sicherheitskonzepte eben nicht so ohne Weiteres in die virtuelle Welt zu übertragen sind. Stattdessen müssen neue Sicherheitstechniken entwickelt werden, die speziell auf die Besonderheiten der virtuellen Umgebungen eingehen. Diese bündelt VMware in die vShield Suite. Diese Suite besteht aus mehreren Modulen, dem Manager zur Verwaltung, App, Edge und Data Security sowie der Endpoint Protection, die bereits in vSphere 5.1 enthalten ist.
Der vShield Manager
Der vShield Manager ist die zentrale Verwaltungskonsole von vShield. Er wird auf einer virtuellen Appliance eingerichtet. Die weiteren vShield-Module, wie etwa vShield Egde und vShield App, werden vom Manager verwaltet. Der vShield Manager ist in der Lage, eine verteilte vShield-Infrastruktur zu verwalten. Eingeschlossen sind ferner das Management der IP-Adressen und die DHCP-Verwaltung. Die rollenbasierte Administration erlaubt dabei auch den Aufbau von unterschiedlichen Verwaltungsstufen. Die Verwaltung von vShield Egde kann zudem durch den vCloud Director, das VMware-Verwaltungsmodul für Clouds, vorgenommen werden.
Applikationsschutz durch vShield App
Zum Umfang der vShield-Sicherheits-Tools gehört ferner vShield App. Es ist am ehesten mit einer Firewall vergleichbar und umfasst Funktionen, die einer Stateful-Inspection-Firewall entsprechen. vShield App soll eine virtuelle Anwendung vor Angriffen aus dem Netzwerk schützen. Hierzu werden Zugangsregeln (Access Control Rules) erstellt, die den Zugang zu den virtuellen Ressourcen kontrollieren. Die definierten Regelsätze werden auf logische Strukturen wie beispielweise die Container einer vCenter-Verwaltungseinheit oder einer vSphere-Security-Gruppe angewandt. Auch in dieser Hinsicht ist die vShield App mit einer traditionellen Firewall vergleichbar.
Der wichtigste Unterschied besteht darin, dass sich vShield App immer auf die Objekte in virtuellen Strukturen bezieht. Eine traditionelle Firewall hingegen wird meist zum Schutze von Servern oder physischen Systemen herangezogen. Die Endpunkte, die durch vShield App geschützt werden, sind in der Regel einzelne IP-Adressen, also physische Server. vShield App gruppiert mehrere Objekte in einer Einheit; sie wird als logische Gruppe bezeichnet. Eine Sicherheitsregel kann so beispielsweise für eine Netzwerkkarte, ein Data Center oder einen gesamten Cluster gelten.
vShield hat Applikationen und nicht Server im Fokus. Dies drückt sich auch im Namen "vShield App" aus. VMware geht hier von dem Modell aus, dass mehrere virtuelle Maschinen zusammen eine Applikation darstellen. Wenn zum Beispiel auf einem vSphere-Host ein Datenbankserver, ein Applikationsserver sowie ein Webserver eingerichtet sind, die zusammen einen Webdienst erbringen, so ist dies im Sinne von vShield eine verbundene Applikation, die auch als solche durch vShield App geschützt wird. Die vShield-App-Firewall läuft im Kernel eines vSphere-Systems. Der Schutz greift folglich für alle virtuellen Maschinen auf diesem Host. Beim Einsatz von Cluster-Systemen muss vShield App auf jedem Host des Clusters eingerichtet werden. Eine weitere Besonderheit von vShield App: Bei einer Übertragung einer virtuellen Maschine von einem Host zu einem anderen per vMotion bleibt der Schutz der Applikation bestehen.
Der Grenzwall in vShield Egde
vShield App schützt eine Anwendung. Diese kann auf einem Server laufen oder auf mehrere Systeme verteilt sein. vShield Edge geht einen Schritt weiter: Es soll ein gesamtes virtuelles Data Center schützen. Im Sinne von vSphere ist dies eine Gruppierung mehrerer IT-Ressourcen in einem Verbund. Ein virtuelles Data Center kann beispielweise die gesamte IT für ein Unternehmen umfassen.
Foto: VMware
Auch für die vShield Edge findet sich ein Pendant in der traditionellen Welt. vShield Edge ist das Gegenstück zu den Egde-Firewalls in physischen Umgebungen. Infolgedessen wird vShield Edge an der Grenze des virtuellen Data Centers platziert. vShield Edge ist eine Bridge-Level-Firewall, die zwischen die beiden Data Center oder zwischen einem Data Center und der externen Welt geschaltet wird. vShield Edge ist somit in der Lage, den Datentransfer, der über das physische Netzwerk läuft, zu sehen und in seine Sicherheitsregeln einzubeziehen.
In den grundlegenden Einstellungen sind vShield Edge und vShield App ähnlich aufgebaut. Beide Sicherheitssysteme umfassen Regelsätze für den Zugang zu den virtuellen Umgebungen. Diese sind den Regelwerken traditioneller Firewalls für physische Umgebungen sehr ähnlich. Für einen weitergehenden Schutz können die vShield-Produkte auch mit Intrusion-Detection- oder Intrusion-Prevention-Systemen erweitert werden.
Schutz der virtuellen Maschinen durch vShield Endpoint
Das letzte Modul der vShield-Reihe ist vShield Endpoint. Es adressiert die Endgeräte und soll deren Schutz sicherstellen. Als Endgeräte im Sinne von vShield werden die virtuellen Maschinen (VMs) betrachtet. Anders als bei traditionellen Sicherheitslösungen, bei denen der Endpoint das Benutzergerät darstellt, betrachten vShield keine Benutzergeräte, sondern nur virtuelle Systeme.
Foto: VMware
Bei den eigentlichen Schutzeinrichtungen ist vShield Endpoint aber wieder mit den traditionellen Systemen vergleichbar. Als solche kommen beispielsweise Firewalls, Virenscanner oder Intrusion-Detection- oder -Prevention-Systeme infrage. In diesem Segment sind bereits eine Reihe namhafter Unternehmen wie beispielsweise Kaspersky, McAfee und Trend Micro etabliert. Aus diesem Grund liefert VMware selbst auch keine vShield-Endpoint-Systeme, sondern kooperiert hierbei mit den etablieren Herstellern.
vShield Manager in den vCenter-Server integrieren
Der vShield Manager ist die zentrale Verwaltungskonsole für die vShield-Produkte von VMware. In den folgenden Erläuterungen gehen wir auf seine Installation und Inbetriebnahme ein. Als Verwaltungsinstanz für VMware-vSphere-Strukturen hat VMware heute das vCenter im Angebot. Beim Einsatz des vShield Managers wird dieser in das vCenter integriert.
Das Sicherheitsprodukt ergänzt das vCenter um weitere Verwaltungsfunktionen. In den folgenden Erläuterungen zeigen wir, was Sie tun müssen, um den vShield Manager zur Überwachung von vSphere-Strukturen einzurichten. Dies umfasst das Setup, die Konfiguration und die Bedienung des vShield Managers.
Der vShield Manager wird von VMware als OVA-Datei angeboten. Die Dateierweiterung steht für Open Virtualization Appliance. OVAs beinhalten eine fertig konfigurierte virtuelle Maschine, die ohne traditionelles Setup einzusetzen ist. Da es sich dabei aber immer noch um eine virtuelle Maschine handelt, wird diese Appliance als virtuelle Appliance bezeichnet. Der Begriff Appliance soll dabei lediglich ausdrücken, dass diese virtuelle Maschine sofort in Betrieb gehen kann - wie eine physische Appliance eben.
Zu beziehen ist die OVA-Datei mit dem vShield Manager von der VMware-Website. Die OVA-Datei müssen Sie dann auf einem Rechner verfügbar machen, der auch Zugriff auf den vCenter-Server hat. Dies kann über einen USB-Stick, eine Dateifreigabe oder auch ein gemeinsames Laufwerk erfolgen.
Die Grundlage für diesen Workshop bildet der vCenter Server. Um die Appliance in das vCenter zu integrieren, gehen Sie wie folgt vor: Rufen Sie den vSphere-Client auf, und verbinden Sie sich mit Ihrem vCenter Server. Anschließend selektieren Sie im vSphere Client die Zielumgebung mit dem Host, in dem Sie die virtuelle Appliance mit dem vShield Manager einhängen wollen. Unter dem Menüeintrag "Datei" finden Sie die Option "OVF-Vorlage bereitstellen". Über diese Option wird auch die OVA-Datei mit dem vShield Manager eingebunden.
Bei der Frage nach der Quelle der OVF-Datei geben Sie den Pfad auf Ihre OVA-Datei an. Bestätigen Sie die weiteren Angaben im Assistenten und geben bei der Frage nach dem Netzwerk ihre Verbindung an. Anschließend präsentiert Ihnen der Assistent nochmals die gewählten Einstellungen. Diese können Sie bestätigen. Im Anschluss daran finden Sie eine neue virtuelle Maschine in der vorher gewählten Umgebung und dem ESX-Server. Dies ist die virtuelle Appliance mit dem vShield Manager. Diese virtuelle Maschine können Sie wie jede andere VM starten, stoppen oder anhalten.
Die virtuelle Appliance des vShield Managers starten
Um die Ausgabe der Bildschirminhalte der virtuellen Appliance sehen zu können, müssen Sie anschließend den Reiter "Konsole" im vCenter öffnen. Durch diese Konsolenansicht können Sie den Startvorgang der virtuellen Maschine verfolgen. Bei der Appliance handelt es sich um ein Linux-Derivat. Sie werden daher diverse Systemmeldungen, wie etwa das Einhängen ("mounten") des Dateisystems, sehen.
VMware verwendet als Dateisystem EXT3. Wenn alles korrekt ist, können Sie sich an der virtuellen Appliance anmelden. Dies muss als "manage login" erfolgen. Benutzername und Passwort sind den Anweisungen im Handbuch zu entnehmen. Dieser Dialog ist zeichenorientiert. Sie befinden sich nun in einer Linux-Shell-Umgebung. Nach der Anmelung am vShield Manager müssen Sie das Setup durchlaufen.
Bei diesem Setup sind die IP-Adresse, die Subnet Mask, das Gateway und der DNS-Server einzutragen. Zur Kontrolle Ihrer Angaben können sie die gängigen Netzwerkkommandos, wie etwa den Ping oder dergleichen, nutzen. Wenn das Setup korrekt durchlaufen ist und Sie alle Angaben gemacht haben, können Sie sich am vShield Manager anmelden. Für diese weitere Konfiguration des vShield Managers benötigen Sie nur noch einen Browser. Die zeichenorientierte Verwaltungskonsole dient lediglich zum ersten Einrichten oder wenn später Probleme beim Zugang zum vShield Manager auftreten.
Um den vShield Manager aufzurufen, müssen Sie die vorher zugewiesene IP-Adresse in ihrer Browser-Adresszeile eingeben. Sofern kein gültiges Zertifikat zugewiesen wurde, sollten Sie den Warnhinweis auf das Sicherheitszertifikat ignorieren und mit dem Laden der Website fortfahren. Im Anschluss daran erhalten Sie nun die vShield Verwaltungskonsole als Web-Interface.
Konfiguration mittels Verwaltungskonsole
Die vShield-Konsole ermöglicht eine generelle Verwaltung der Appliance mit allen Einstellungen in grafischer Form. In der Konsole des Managers finden Sie fünf Reiter, die mit "Configuration", "Updates", "Users", "System Events" und "Audit Logs" umschrieben sind. Unter "Network" kommen Sie beispielweise wieder an die bereits vorher vorgenommenen Netzwerkeinstellungen. Updates geben Ihnen die Information zu den installierten Softwareversionen. Unter dem Reiter der "Users" verwalten Sie die Benutzer und deren Berechtigungen beim Zugang zum System. Damit wäre die initiale Konfiguration von VMware vShield abgeschlossen. (hal)