Die Zielsetzung der Servervirtualisierung besteht in einer besseren Hardwareausnutzung. Durch die Zusammenfassung mehrerer Server in einen werden Hardware, Platz und Ressourcen gespart. Unterstützt durch Management-Tools, wird auch die Bereitstellung neuer Dienste und Systeme beschleunigt. Das sind die wichtigsten Vorteile. Gleichzeitig wird der Host, der nun zum Träger vieler virtueller Server wird, Single-Point-Of-Failure. Das ist der Preis der Virtualisierung. Fällt der Host aus, so zieht er zwangsläufig alle seine virtuellen Gäste in den Abgrund. Die Abwehr von Übergriffen auf den Host wird damit essentiell. Aber auch die virtuellen Gäste müssen geschützt werden. Die Absicherung muss daher in alle Richtungen greifen. Ein besonderes Augenmerk gilt aber dem Host-System. Da der Hypervisor, also der VMware ESX/EXSi-Server, der Träger der virtuellen Maschinen darstellt, muss er besonders abgesichert werden. Gelingt es einem Angreifer, den Host zu komprimieren, so bleibt das kaum ohne Auswirkungen auf die virtuellen Gäste.
Virtuelle Security Appliances agieren in virtuellen Maschinen
Um Server gegen Angriffe abzusichern, setzt man in der physischen Welt meist auf ein Set an Sicherheitsvorkehrungen. Diese sind beispielsweise Firewalls, Intrusion-Detection- und -Prevention-Systeme, Virenscanner oder Data-Leakage-Prevention-Werkzeuge . All diese Sicherheitseinrichtungen können im Prinzip auch im Kontext einer virtuellen Maschine eingesetzt werden und verrichten hier ihre Dienste. Doch der Einsatz der aus der physischen Welt bekannten Sicherheits-Tools im Kontext virtueller Systeme ist eher als Notlösung zu bezeichnen. Dies hat mehrere Ursachen:
In einer bestehenden Umgebung mit physischen Servern werden oftmals Security-Appliances, wie etwa eine Firewall oder ein Intrusion-Prevention-System, zwischen zwei Serversysteme in deren Kommunikationskanal geschaltet. Diese Kopplung der Systeme bestehend aus zwei Servern und der Firewall dazwischen, ist relativ starr und wird sich in der physischen Welt kaum ändern. Wenn aber die beiden Server als Virtuelle Maschine (VM) auf einem ESX-Host ausgeführt werden, muss der gesamte Traffic zwischen den beiden virtuellen Servern aus den Host heraus hin zur Firewall und dann wieder zurückgeschleust werden. Dazu müssen virtuelle Switche eingerichtet werden.
Der Traffic zum oder vom ESX-Host belastet die physischen Netzwerk-Interfaces, die in virtuellen Umgebungen ohnehin meist ein Engpass sind. Um das zu vereinfachen, liefern manche Hersteller virtuelle Security-Appliances. Diese laufen dann in einer Virtuellen Maschine auf einem Hypervisor. Doch das bleibt nicht ohne Auswirkungen auf den gesamten Sicherheitsstatus. Was passiert beispielsweise, wenn zwischen zwei VMs eine virtuelle Security-Appliance ihren Dienst verrichtet und eine der Virtuellen Maschinen auf einen anderen Host migriert wird? Beim Umzug einer VM ändert sich auch die Verbindung zwischen den beiden. Daher muss bei der VM-Migration auch das Sicherheits-Setup berücksichtigt werden.
Wie diese beiden Beispiele zeigen, sind bestehende Sicherheitskonzepte eben nicht so ohne Weiteres in die virtuelle Welt zu übertragen. Stattdessen müssen neue Sicherheitstechniken entwickelt werden, die speziell auf die Besonderheiten der virtuellen Umgebungen eingehen. Eine grundsätzliche Anforderung dabei ist die Abstrahierung der Sicherheitskonzepte. Wenn Server auf Virtuellen Maschinen beispielsweise mittels vMotion schnell auf andere Hosts oder gar in die Cloud verschoben werden, dürfen die Sicherheitslösungen nicht mehr wie heute an fest installierte physische Firewalls gebunden sein, denn dann müsste nach der Verschiebung der VM auch die Firewall-Konfiguration angepasst und vielleicht sogar neu verkabelt (gepatched) werden. Dementsprechend hat VMware sein ursprünglich als VMsafe bezeichnetes Konzept in der vShield-Produktreihe verfeinert und vorgestellt. Dabei handelt es sich um einen Verbund von Sicherheitsvorkehrungen zum Schutz der Virtuellen Maschinen, die im Kontext des ESX-Servers laufen.
vShield Zones
VMware vShield Zones bietet grundlegenden Schutz bei netzwerkbasierten Bedrohungen in virtuellen Rechenzentren. vShield Zones gehört zum Lieferumfang von VMware vSphere. Es umfasst eine Anwendungs-Firewall mit Richtlinien, basierend auf grundlegenden Informationen zum Datenverkehr.
Foto: VMware
Mit vShield Zones können die Anwender den Einblick in und die Kontrolle über die Netzwerkkommunikation zwischen Virtuellen Maschinen verbessern. Ferner optimiert es die Auslastung von Hardwareressourcen. Und schließlich soll vShield Zones für die Einhaltung von Compliance-Richtlinien durch eine umfassende Protokollierung aller Netzwerkaktivitäten Virtueller Maschinen sorgen.
vShield Zones beruhen somit auf einem Set an Sicherheitseinrichtungen für virtuelle Umgebungen. Bei der VM-Migration behalten diese die vorgenommen Sicherheitseinstellungen. Technisch basiert das Konzept der vShield auf externen Sicherheits-Appliances. Dieser verwalten dann die Sicherheitseinrichtungen für die vShield Zonen.
vShield Edge
vShield Edge soll ein gesamtes virtuelle Data Center schützen. Ein virtuelles Data Center ist eine wahlfreie Zusammenstellung von IT-Ressourcen. Ein virtuelles Data Center kann beispielweise die gesamte IT für einen Mandanten umfassen. vShield Edge wird dementsprechend an der Grenze des virtuellen Data Centers platziert.
Foto: VMware
vShield Edge ist das Pendant zu den Egde-Firewalls in physischen Umgebungen, operiert aber auf der virtuellen Ebene. Dabei erfolgt die Trennung der Mandanten durch vShield Edge. Technisch betrachtet entspricht vShield Edge einer Bridge-Level-Firewall, die zwischen zwei Data Centern oder einem Data Center und der externen Welt geschaltet wird. Infolgedessen ist vShield Edge auch in der Lage, den Datentransfer, der über das physische Netzwerk läuft, zu sehen und zu analysieren. vShield Egde wird ebenfalls von VMware zur Verfügung gestellt.
vShield App
vShield App ist im Prinzip eine Firewall die eine virtuelle Anwendung vor Angriffen aus dem Netzwerk schützen soll. vShield App umfasst Funktionen, die einer Stateful Inspection Firewall entsprechen. Unterstützt werden auch Remediation Zones. In vShield App lassen sich Access-Control-Regeln erstellen, die den Zugang zu den virtuellen Ressourcen überwachen. Diese Regelsätze werden auf logische Strukturen wie beispielweise die Container einer vCenter-Verwaltungseinheit oder eine Security Gruppe angewandt. Dies unterscheidet sie von den traditionellen Firewalls. Deren Endpunkte sind in der Regel einzelne IP-Adressen, also physische Server. vShield App operiert stattdessen mit logischen Gruppen und kann so mehrere Objekte gleichzeitig schützen.
Eine Regel kann so beispielsweise für eine Netzwerkkarte, ein Data Center oder einen gesamten Cluster angewandt werden. Der Begriff "App" bezieht sich dabei auf eine Applikation. VMware geht hier von dem Modell aus, dass mehrere Virtuelle Maschinen zusammen einen Applikation darstellen. Wenn zum Beispiel auf einem ESX-Host ein Datenbankserver, ein Applikationsserver und ein Webserver eingerichtet sind, die zusammen in einer Verarbeitungskette einen Webdienst initiieren, so ist dies im Sinne von vShield eine verbundene Applikation, die auch gemeinsam durch vShield App geschützt wird.
vShield App ist eine Firewall, die im Kernel des Systems platziert wird. Im Gegensatz zu vShield Edge, das ein gesamtes virtuelles Data Center schützt, kommt vShield App einmal pro ESX-Host zum Einsatz. Der Schutz greift folglich für alle Virtuellen Maschinen auf diesem Host. Beim Einsatz von Cluster-Systemen muss vShield App auf jedem Host des Clusters zum Einsatz kommen. Bei einer Übertragung einer VM von einem Host zu einem anderen via vMotion bleibt der Schutz der Applikation bestehen. vShield Edge "sieht" den physischen Datentransfer, dagegen sieht vShield App den externen Datenverkehr nicht. Auch vShield App wird, wie vShield Edge, von VMware bereitgestellt.
Firewall-Regeln
Die prinzipiellen Sicherheitsmöglichkeiten von vShield Edge und vShield App sind ähnlich. Beide kennen Regelsätze zur Abwehr der Angriffe. Diese sind den herkömmlichen Regelsätzen von Firewalls für physische Umgebungen sehr ähnlich. Dabei wird festgelegt, wer mit wem über welchen Kanal kommunizieren darf und was bei einem Regelverstoß passieren soll. Dies gilt analog für Firewalls in physischen Umgebungen.
Foto: VMware
Diese Regeln werden in Sätze gruppiert, die in einer festen Reihenfolge abgearbeitet werden. Unterschiede aber gibt es in der Ausgestaltung dieser Objekte. Als Sender und Empfänger bei Firewalls in physischen Umgebungen kommen üblicherweise Server oder Dienste in Betracht. In jedem Fall aber sind es singuläre Objekte. Bei den vShield-Firewalls aber sind es virtuelle Data Center oder Applikationspakete. Für einen weitergehenden Schutz können die vShield-Produkte auch mit Intrusion-Detection- oder Intrusion-Prevention-Systemen verknüpft werden.
vShield Endpoint
vShield Endpoint dient dem Schutz der Endpunkte. Diese sind die Virtuellen Maschinen. Zum Umfang von vShield Endpoint gehören Funktionen wie etwa eine Endpoint-Firewall, ein Virenscanner oder allgemeine Malware-Scanner. In diesem Segment haben Unternehmen wie Kaspersky, McAfee, Trend Micro oder Symantec viel Erfahrung. Daher kooperiert VMware bei vShield Endpoint auch mit diesen Firmen.
Foto: VMware
Auch hier zeigt sich, dass die bestehenden Sicherheitsprodukte nicht unbedingt auf virtuelle Umgebungen zu übertragen sind. Würden beispielweise alle Virtuellen Maschinen zum gleichen Zeitpunkt den periodischen Malware-Scanner auf dem Endpunkt starten, so führte das schnell zur Überlastung des Host. Aus diesem Grunde hat beispielweise Symantec die Scanlogik verändert, um den Host zu schonen.
vShield Manager
vShield Edge und vShield App kommen von VMware. Die Verwaltung dieser beiden Sicherheitsprodukte erfolgt durch den vShield Manager. Er wird zentral auf einem vCenter-Server eingerichtet und kann eine verteilte vShield-Infrastruktur überwachen. Zum Umfang dieser Verwaltung gehören auch das Management der IP-Adressen und die DHCP-Verwaltung.
Durch die rollenbasierte Administration lassen sich auch unterschiedliche Verwaltungsstufen bilden. Die Verwaltung von vShield Edge kann auch vom vCloud Director vorgenommen werden. Der vShield Manager wird als OVA-Datei angeboten. Die Dateierweiterung steht für Open Virtualization Appliance. OVAs beinhalten eine fertig konfigurierte Virtuelle Maschine, die ohne traditionelles Setup einzusetzen ist. Da es sich dabei aber immer noch um eine VM handelt, wird diese Appliance als virtuelle Appliance bezeichnet. Der Begriff Appliance soll dabei lediglich ausdrücken, dass diese Virtuelle Maschine sofort in Betrieb gehen kann, wie eine physische Appliance eben. Um den vShield Manager einzurichten, müssen Sie zuerst die OVA-Datei auf den vCenter-Verwaltungsrechner übertragen. Dies kann über einen USB-Stick oder auch via Dateifreigabe erfolgen.
Integration des vShield Manager in den vCenter-Server
Um die Appliance in das vCenter zu integrieren gehen Sie wie folgt vor: Rufen Sie den "vSphere Client" auf und verbinden Sie sich mit Ihrem vCenter-Server. Anschließend selektieren Sie im vSphere-Client die Zielumgebung mit dem ESX-Host, in dem Sie die virtuelle Appliance des vShield Managers integrieren wollen. Unter dem Menüeintrag "Datei" finden Sie die Option "OVF-Vorlage bereitstellen". Über diese Option wird auch die OVA-Datei in das vCenter eingebunden. Bei der Frage nach der Quelle der OVF-Datei geben Sie den Pfad auf Ihre OVA-Datei an. Bestätigen Sie die weiteren Angaben, die der Assistenten abfragt. Nach dem Beenden des Assistenten finden sie eine neue Virtuelle Maschine in der vorher gewählten Umgebung und dem ESXi-Server. Diese VM können Sie wie jeder andere Virtuelle Maschine starten, stoppen oder anhalten.
Nach dem Booten der virtuellen Appliance müssen Sie dieser zuerst eine IP-Adresse zuweisen. Nach dem erneuten Reboot der Virtuellen Maschinen können sie über einen Browser die webbasierte Verwaltungskonsole des vShield Managers starten. (hal)