Virtuelle Firewall
Eine virtuelle Firewall ist ein Firewall-Gerät oder -Dienst, der die Filterung und Überwachung des Netzwerkverkehrs für virtuelle Maschinen (VM) in einer virtualisierten Umgebung ermöglicht. Wie eine herkömmliche Netzwerk-Firewall prüft eine virtuelle Firewall Pakete und verwendet Sicherheitsrichtlinienregeln, um nicht genehmigte Kommunikation zwischen VMs zu blockieren. Eine virtuelle Firewall wird häufig als Software bereitgestellt.
Virtuelle Firewalls werden meist zum Schutz virtualisierter Umgebungen eingesetzt, da sie am preiswertesten und am leichtesten portierbar sind: sie lassen sich problemlos von einer Cloud in eine andere verschieben. Eine virtuelle Firewall ist außerdem einfach zu aktualisieren und zu warten.
Wie eine virtuelle Firewall funktioniert
Eine virtuelle Firewall ist eine Anwendung oder ein Netzwerk-Firewall-Dienst, der Paketfilterung innerhalb einer virtualisierten Umgebung bietet. Eine virtuelle Firewall verwaltet und kontrolliert den ein- und ausgehenden Datenverkehr. Sie arbeitet in Verbindung mit Switches und Servern ähnlich wie eine physische Firewall.
Eine virtuelle Firewall verhindert, dass unbefugte Nutzer auf Daten und Dateien zugreifen und diese übertragen. Sie hindert die Mitarbeiter eines Unternehmens daran, sensible Daten oder Dokumente zu übertragen.
Eine virtuelle Firewall arbeitet in zwei Modi: Bridge-Modus und Hypervisor-Modus. Wie ein herkömmliches Firewall-System arbeitet der Bridge-Modus, indem er den gesamten ein- und ausgehenden Datenverkehr einer VM diagnostiziert und überwacht. Im Hypervisor-Modus arbeitet die virtuelle Firewall isoliert vom physischen Netzwerk. Sie befindet sich im Kernel des Hypervisors und verwaltet den ein- und ausgehenden Datenverkehr der virtuellen Maschine.
Virtuelle Firewalls versus physische Firewalls
Eine physische Firewall, manchmal auch als Hardware-Firewall bezeichnet, ist eine Netzwerk-Firewall, die in einer realen Sicherheitsanwendung oder als Teil eines Routing-Geräts implementiert ist, das sich am Rande des Netzwerks oder zwischen Umgebungen befindet.
Eine physische Firewall ist über dedizierte Netzwerkschnittstellen mit dem geschützten internen Netzwerk und dem öffentlichen Internet – oder einem anderen ungeschützten oder externen Netzwerk – verbunden. Das Netzwerk besteht aus Servern und Switches und arbeitet außerhalb eines Betriebssystems. Die Server sind mit bestimmten Switches verbunden und werden dann an die Firewall weitergeleitet.
Einer der Vorteile einer Hardware- oder physischen Firewall besteht darin, dass sie sich zwischen dem Server und dem Internet befindet und der einzige Weg für den Netzwerkverkehr ist, in das und aus dem geschützten Netzwerk zu gelangen. Wenn der Datenverkehr nicht über die Netzwerkschnittstellen geleitet wird, können die Hosts, Server und alle anderen Geräte im internen geschützten Netzwerk nicht mit den Hosts, Servern oder anderen Geräten im öffentlichen Internet kommunizieren oder Daten austauschen. Da der gesamte Datenaustausch die Firewall durchläuft, bevor er abgeschlossen werden kann, werden Bedrohungen reduziert.
Ein weiterer Vorteil physischer Firewalls besteht darin, dass Hardware-Sicherheitsanwendungen für die Bewältigung eines höheren Datenverkehrsaufkommens ausgelegt sind und schnellere Reaktionszeiten haben. Auch die Netzwerkperimeter können mit einer physischen Firewall verstärkt werden, was die Netzwerksicherheit erhöht.
Außerdem ist eine physische Firewall einfacher zu verwalten, da sie eine isolierte Netzwerkkomponente ist und die Leistung anderer Anwendungen nicht beeinträchtigt, wie es in einer virtualisierten Umgebung der Fall sein könnte. Eine Hardware-Firewall kann auch abgeschaltet, verschoben oder neu konfiguriert werden, ohne dass dies Auswirkungen auf die Netzwerkkonnektivität oder -leistung hat.
Im Gegensatz dazu werden virtuelle Firewalls als Software-Appliances eingesetzt, die in virtualisierten Umgebungen laufen. Eine virtuelle Firewall überwacht und schützt den Netzwerkverkehr, indem sie virtuelle Switches und andere virtuelle Maschinen durchläuft. Virtuelle Switches verbinden Systeme und Anwendungen über logische Partitionen hinweg, und ein Hypervisor verwaltet die virtualisierte Umgebung. Wenn virtuelle Firewalls auf einzelnen Servern installiert sind, lassen sie sich einfacher konfigurieren und einrichten.
Virtuelle Firewalls können auch kostengünstiger sein als physische Firewalls, aber die Kosten für den Kauf und die Bereitstellung einer großen Anzahl virtueller Firewalls können immer noch erheblich sein. Die Verwaltung einer großen Anzahl von Firewalls, ob virtuell oder physisch, kann weitere Herausforderungen mit sich bringen.
Virtuelle Firewalls liefern auch nur einen Bruchteil des Netzwerkdurchsatzes, den dedizierte physische Firewalls bieten können, was zu Engpässen im gesamten Netzwerk führen und die Flexibilität und Leistung des Unternehmens beeinträchtigen kann.
Ein Vorteil virtueller Firewalls gegenüber hardwarebasierten Firewalls besteht darin, dass sie zentral verwaltet werden können, während Hardware-Firewalls häufig von IT- und Netzwerk-Support-Mitarbeitern vor Ort installiert, verwaltet und unterstützt werden müssen.
Einsatzmöglichkeiten von virtuellen Firewalls
Der Einsatz einer virtuellen Firewall in der Cloud kann zum Schutz der Cloud-Infrastruktur und -Dienste eines Unternehmens beitragen, indem sie in einem virtuellen Rechenzentrum auf den Servern eines Unternehmens in einem Infrastructure-as-a-Service- (IaaS) oder Platform-as-a-Service-Modell (PaaS) ausgeführt wird. Diese Art von Firewall läuft auf einem virtuellen Server und schützt den Datenverkehr, der zu, von und zwischen Anwendungen in der Cloud läuft.
Eine Cloud-basierte virtuelle Firewall kann eine Reihe von Anforderungen an die Netzwerksicherheit in der Cloud erfüllen, darunter:
- Sicherung des virtuellen Rechenzentrums durch Filtern und Verwalten des Datenverkehrs, der ins oder aus dem Internet, zwischen virtuellen Netzwerken oder zwischen Mandanten fließt, um das virtuelle Rechenzentrum zu sichern.
- Sicherung des physischen Rechenzentrums durch die Erweiterung eines physischen Rechenzentrums auf die Cloud. Dies gilt insbesondere für Unternehmen, die Anwendungen in die Cloud migrieren und eine sichere Konnektivität zwischen der Cloud und ihren lokalen Infrastrukturen benötigen.
- Sicherung des Fernzugriffs durch erweiterte Zugriffsrichtlinien, Filterung und Verbindungsverwaltung, die erforderlich sind, um Kunden den Zugang zur Cloud zu ermöglichen.
- Sicherstellen, dass alle Daten den gleichen Schutzmaßnahmen unterliegen wie bei hardwarebasierten Firewalls vor Ort.
- Wahrung der Integrität und Vertraulichkeit von Anwendungen und Daten durch die Integration mit Anbietern von Zugangskontrollen und die Bereitstellung einer breiten Palette von granularen, richtlinienbasierten Filtertools.
- Schutz von Anwendungen und Ressourcen in virtualisierten Umgebungen sowie schnelle Reaktion auf veränderte Anforderungen an die Netzwerksicherheit in entfernten Niederlassungen oder Zweigstellen oder bei temporären Mitarbeitereinsätzen.