Rundumschutz für die IT

VMware vShield: Cloud- und virtuelle Umgebungen absichern

vShield Zones

VMware vShield Zones bietet grundlegenden Schutz bei netzwerkbasierten Bedrohungen in virtuellen Rechenzentren. vShield Zones gehört zum Lieferumfang von VMware vSphere. Es umfasst eine Anwendungs-Firewall mit Richtlinien, basierend auf grundlegenden Informationen zum Datenverkehr.

Details: Durch vShield Zones werden Zonen gebildet. Diese umfassen die Objekte des vCenter und erlauben eine passgenaue Konfiguration.
Details: Durch vShield Zones werden Zonen gebildet. Diese umfassen die Objekte des vCenter und erlauben eine passgenaue Konfiguration.
Foto: VMware

Mit vShield Zones können die Anwender den Einblick in und die Kontrolle über die Netzwerkkommunikation zwischen Virtuellen Maschinen verbessern. Ferner optimiert es die Auslastung von Hardwareressourcen. Und schließlich soll vShield Zones für die Einhaltung von Compliance-Richtlinien durch eine umfassende Protokollierung aller Netzwerkaktivitäten Virtueller Maschinen sorgen.

vShield Zones beruhen somit auf einem Set an Sicherheitseinrichtungen für virtuelle Umgebungen. Bei der VM-Migration behalten diese die vorgenommen Sicherheitseinstellungen. Technisch basiert das Konzept der vShield auf externen Sicherheits-Appliances. Dieser verwalten dann die Sicherheitseinrichtungen für die vShield Zonen.

vShield Edge

vShield Edge soll ein gesamtes virtuelle Data Center schützen. Ein virtuelles Data Center ist eine wahlfreie Zusammenstellung von IT-Ressourcen. Ein virtuelles Data Center kann beispielweise die gesamte IT für einen Mandanten umfassen. vShield Edge wird dementsprechend an der Grenze des virtuellen Data Centers platziert.

Torwächter: vShield Edge wird an der Grenze nach draußen positioniert. Es ist mit den Perimeter-Firewalls vergleichbar.
Torwächter: vShield Edge wird an der Grenze nach draußen positioniert. Es ist mit den Perimeter-Firewalls vergleichbar.
Foto: VMware

vShield Edge ist das Pendant zu den Egde-Firewalls in physischen Umgebungen, operiert aber auf der virtuellen Ebene. Dabei erfolgt die Trennung der Mandanten durch vShield Edge. Technisch betrachtet entspricht vShield Edge einer Bridge-Level-Firewall, die zwischen zwei Data Centern oder einem Data Center und der externen Welt geschaltet wird. Infolgedessen ist vShield Edge auch in der Lage, den Datentransfer, der über das physische Netzwerk läuft, zu sehen und zu analysieren. vShield Egde wird ebenfalls von VMware zur Verfügung gestellt.

vShield App

vShield App ist im Prinzip eine Firewall die eine virtuelle Anwendung vor Angriffen aus dem Netzwerk schützen soll. vShield App umfasst Funktionen, die einer Stateful Inspection Firewall entsprechen. Unterstützt werden auch Remediation Zones. In vShield App lassen sich Access-Control-Regeln erstellen, die den Zugang zu den virtuellen Ressourcen überwachen. Diese Regelsätze werden auf logische Strukturen wie beispielweise die Container einer vCenter-Verwaltungseinheit oder eine Security Gruppe angewandt. Dies unterscheidet sie von den traditionellen Firewalls. Deren Endpunkte sind in der Regel einzelne IP-Adressen, also physische Server. vShield App operiert stattdessen mit logischen Gruppen und kann so mehrere Objekte gleichzeitig schützen.

Eine Regel kann so beispielsweise für eine Netzwerkkarte, ein Data Center oder einen gesamten Cluster angewandt werden. Der Begriff "App" bezieht sich dabei auf eine Applikation. VMware geht hier von dem Modell aus, dass mehrere Virtuelle Maschinen zusammen einen Applikation darstellen. Wenn zum Beispiel auf einem ESX-Host ein Datenbankserver, ein Applikationsserver und ein Webserver eingerichtet sind, die zusammen in einer Verarbeitungskette einen Webdienst initiieren, so ist dies im Sinne von vShield eine verbundene Applikation, die auch gemeinsam durch vShield App geschützt wird.

vShield App ist eine Firewall, die im Kernel des Systems platziert wird. Im Gegensatz zu vShield Edge, das ein gesamtes virtuelles Data Center schützt, kommt vShield App einmal pro ESX-Host zum Einsatz. Der Schutz greift folglich für alle Virtuellen Maschinen auf diesem Host. Beim Einsatz von Cluster-Systemen muss vShield App auf jedem Host des Clusters zum Einsatz kommen. Bei einer Übertragung einer VM von einem Host zu einem anderen via vMotion bleibt der Schutz der Applikation bestehen. vShield Edge "sieht" den physischen Datentransfer, dagegen sieht vShield App den externen Datenverkehr nicht. Auch vShield App wird, wie vShield Edge, von VMware bereitgestellt.