Mit VMware vShield vSphere-Umgebungen absichern

Applikationsschutz durch vShield App

Zum Umfang der vShield-Sicherheits-Tools gehört ferner vShield App. Es ist am ehesten mit einer Firewall vergleichbar und umfasst Funktionen, die einer Stateful-Inspection-Firewall entsprechen. vShield App soll eine virtuelle Anwendung vor Angriffen aus dem Netzwerk schützen. Hierzu werden Zugangsregeln (Access Control Rules) erstellt, die den Zugang zu den virtuellen Ressourcen kontrollieren. Die definierten Regelsätze werden auf logische Strukturen wie beispielweise die Container einer vCenter-Verwaltungseinheit oder einer vSphere-Security-Gruppe angewandt. Auch in dieser Hinsicht ist die vShield App mit einer traditionellen Firewall vergleichbar.

Der wichtigste Unterschied besteht darin, dass sich vShield App immer auf die Objekte in virtuellen Strukturen bezieht. Eine traditionelle Firewall hingegen wird meist zum Schutze von Servern oder physischen Systemen herangezogen. Die Endpunkte, die durch vShield App geschützt werden, sind in der Regel einzelne IP-Adressen, also physische Server. vShield App gruppiert mehrere Objekte in einer Einheit; sie wird als logische Gruppe bezeichnet. Eine Sicherheitsregel kann so beispielsweise für eine Netzwerkkarte, ein Data Center oder einen gesamten Cluster gelten.

vShield hat Applikationen und nicht Server im Fokus. Dies drückt sich auch im Namen "vShield App" aus. VMware geht hier von dem Modell aus, dass mehrere virtuelle Maschinen zusammen eine Applikation darstellen. Wenn zum Beispiel auf einem vSphere-Host ein Datenbankserver, ein Applikationsserver sowie ein Webserver eingerichtet sind, die zusammen einen Webdienst erbringen, so ist dies im Sinne von vShield eine verbundene Applikation, die auch als solche durch vShield App geschützt wird. Die vShield-App-Firewall läuft im Kernel eines vSphere-Systems. Der Schutz greift folglich für alle virtuellen Maschinen auf diesem Host. Beim Einsatz von Cluster-Systemen muss vShield App auf jedem Host des Clusters eingerichtet werden. Eine weitere Besonderheit von vShield App: Bei einer Übertragung einer virtuellen Maschine von einem Host zu einem anderen per vMotion bleibt der Schutz der Applikation bestehen.