Netzwerksicherheit in virtuellen Umgebungen

Vor- und Nachteile virtueller Security-Appliances

Der Einsatz von virtuellen Security-Appliances hat gegenüber den physischen Pendants Vor-, aber auch Nachteile. Zu den Vorteilen zählt die höhere Flexibilität. Je nach Auslastung kann man ihnen dynamisch mehr Rechenleistung gewähren. Virtuelle Security-Appliances laufen zudem auf einer emulierten Standardhardware, die weit verbreitet ist. Installationsprobleme und Ärger mit nicht unterstützter „Hardware“ treten daher selten auf. Dies vereinfacht auch die Verwaltung. Die Anforderungen beschränken sich meist auf gültige Lizenzen für die virtuelle Maschine und die darauf laufende Software.

Den Vorzügen stehen aber auch Nachteile gegenüber. Virtuelle können anders als physischen Appliances nicht auf spezielle Baugruppen zurückgreifen, die die Sicherheit oder den Durchsatz in Hardware erhöhen. Von der Leistung her erreicht eine virtuelle Appliance auch nicht das Niveau einer ASIC-Implementierung in physischen Sicherheitssystemen. Virtuelle Appliances unterliegen darüber hinaus den Bedingungen des Hypervisors und dessen Ressourcenzuweisung. Wenn der Hypervisor eine Mehrfachbelegung des Speichers (Memory Overcommit) unterstützt, kann beispielsweise durch Swapping plötzlich der Durchsatz einbrechen.

Die Hersteller von virtuellen Appliances scheuen daher davor zurück, Angaben zum Durchsatz und zur Leistung der Systeme zu machen. Bei physischen Boxen sind diese Daten bekannt und reproduzierbar messbar. Bei einer dynamischen CPU- und Speicherzuweisung durch den Hypervisor sind garantierte Performance-Werte aber fast unmöglich.

Virtuelle Appliances weisen außerdem eine größere Angriffsfläche auf, da sowohl Host als auch Client bedroht sind. Zudem läuft die Appliance auf einer virtuellen Maschine mit exakt definierten Eigenschaften. Durch deren massenhafte Verbreitung lohnt es sich für Angreifer auch, eine sehr komplexe Attacke zu entwickeln.

Wägt man diese Vor- und Nachteile ab, so ergibt sich kein eindeutiges Bild. Auf keinem Fall wird man bestehende Sicherheits-Appliances nur wegen der Migration der Server sofort außer Betrieb stellen. Mittelfristig geht der Trend aber beim Einsatz einer virtuellen Infrastruktur eindeutig in Richtung virtuelle Appliance. Für echtes dynamisches Cloud-Computing stellen sie die einzige sinnvolle Variante dar, denn eine physische Appliance lässt sich nicht so ohne Weiteres erzeugen oder im Durchsatz hochfahren.