xiaoliangge - Fotolia
VMware NSX: Mikrosegmentierung ist Trumpf
SDN kann Sicherheitslöcher schließen und den Management-Aufwand für Mikrosegmentierung in Grenzen halten. Es ist ideal für alle, die ihre Netzwerke noch nicht virtualisiert haben.
Software-defined Networking (SDN) löst einige Probleme, die durch das traditionelle Data-Center-Design verursacht werden, und Verbesserungen der Mikrosegmentierung in VMware NSX machen es zur realistischen Option für Organisationen, die über SDN nachdenken.
Unter SDN versteht man verschiedene Technologien, die das Deployment und die Konfiguration von komplexen, umfangreichen Netzwerken vereinfachen und sie über einen längeren Zeitraum verwalten und warten sollen. Software-defined Networking ist entstanden, weil Netzwerke in vielen Organisationen zu groß und komplex sind, als dass IT-Administratoren sie ohne Weiteres manuell konfigurieren können.
Der Trend in Richtung SDN kommt nicht nur durch den wachsenden Umfang von Data Centern zustande. Er ist ebenso Ergebnis einer kollektiven Abkehr vom Modell der Eggshell Security sowie der bereitwilligen Annahme der Mikrosegmentierung als Grundpfeiler der modernen IT-Sicherheit.
Das Versagen der Eggshell Security
Das Eggshell-Prinzip (Eierschalenprinzip) beruht auf der Idee, dass die gravierendsten Sicherheitsbedrohungen, denen ein Unternehmen ausgesetzt ist, von externen Angriffen über eine Internetverbindung ausgehen. Dementsprechend ist bei der Eggshell Security das Netzwerk aufgebaut: Hinter einem starken Perimeterbereich am Data Center Edge – der harten Schale – folgt das weiche Innere in Form von wichtigen Workloads, die im Data Center laufen und weitestgehend offen und ungeschützt sind.
Die Eggshell Security ist extrem bequem. Für Endanwender gibt es nur wenige oder keine Barrieren, um auf Ressourcen zuzugreifen, die sich hinter der Firewall befinden. IT-Administratoren können Workloads konfigurieren, die miteinander kommunizieren, ohne sich um Firewalls oder Router zu kümmern. Leider ist die Prämisse der Eggshell Security falsch.
Bedrohungen durch Insider sind seit Jahren eine der häufigsten Ursachen von Datenlecks. Dabei ist noch nicht berücksichtigt, wie einfach es ist, den Computer eines Benutzers zu kompromittieren, und welches Chaos ein infizierter Rechner verursachen kann, falls es keine Sperren zwischen der Maschine und dem Rest des Netzwerks gibt. Die Liste der Bedrohungen und Angriffsvektoren, die einfach den Netzwerk-Edge umgehen können, ist lang. Organisationen, die dies einräumen, wissen in der Regel auch, dass das Data-Center-Design besser sein muss als das, was das Eggshell-Modell bietet.
VMware-Mikrosegmentierung für sauberes Management
Die meisten modernen Computer sind nur dann praktisch, wenn sie in der Lage sind, mit anderen Computern zu kommunizieren. IT-Admins können nicht einfach alle Geräte vom Netzwerk abklemmen, aber sie können statt eines großen, umfangreichen Netzwerks viele kleine nutzen.
Das steckt hinter der Idee der Mikrosegmentierung. Jede Gruppe von voneinander abhängigen Workloads – allgemein als Service bezeichnet – wird in ihrem eigenen Netzwerk mit eigenem Edge gekapselt. Die Mikrosegmentierung minimiert die Möglichkeit, dass eine Bedrohung oder Schwachstelle in einem Service sich auf einen anderen auswirkt.
IT-Administratoren können die Mikrosegmentierung zwar manuell durchführen, doch dabei stellt sich schnell die Frage, inwieweit das Ganze handhabbar ist. Die Anzahl der Workloads, für die die IT verantwortlich ist, steigt seit geraumer Zeit immer weiter.
Hinzu kommt, dass Organisationen jeder Größe weiterhin IT-Ressourcen und Management-Aufgaben outsourcen. Service-Provider-Clouds und große Public Clouds hosten für viele Unternehmen inzwischen mindestens einige Workloads. Das Hosten von Workloads auf unterschiedlichen Infrastrukturen kann die Mikrosegmentierung einfacher machen, aber damit Workloads von Nutzen sind, müssen sie miteinander verbunden sein.
Mikrosegmentierung und SDN in VMware NSX versuchen, alle oben genannten Sorgen zu zerstreuen. Das Produkt vereinfacht die Netzwerkverwaltung, ermöglicht es Admins, die Erstellung von Netzwerksegmenten entlang von Workloads zu automatisieren, und unterstützt die Konfiguration von Funktionen zur Netzwerksicherheit, zum Beispiel Firewalls, Router und Intrusion-Detection-Produkte, für jedes Segment.
NSX lässt sich auch infrastrukturübergreifend einsetzen. Organisationen können Workloads miteinander verbinden, die On-Premises, in Service-Provider-Clouds und in den Clouds der großen Public-Cloud-Provider laufen. Ein einzelnes Netzwerksegment kann aus Workloads bestehen, die sich auf mehreren Infrastrukturen befinden. Die Workloads, die einen Service bilden, können frei untereinander kommunizieren – selbst wenn sie sich auf unterschiedlichen Infrastrukturen befinden – und die gesamte Kommunikation außerhalb des zum Service gehörenden Netzwerksegments dazu zwingen, die konfigurierten Verteidigungsanlagen des Netzwerks zu durchlaufen.
Die frühen NSX-Versionen waren nicht besonders einfach zu verwenden. Die Technologie war neu und nicht gut in die anderen Management-Tools von VMware integriert. Das hat sich geändert. Und in dem Maße, wie sich die Bedienbarkeit der Mikrosegmentierung von VMware NSX erhöht hat, ist auch die Einführungsrate gestiegen.
Der Erfolg von VMware, zum bedeutenden Player beim Next-Generation Networking zu werden, ist ein Beweis für die Nachfrage nach benutzbarem SDN. Das war auch ein Weckruf für Cisco, Juniper Networks und eine Reihe von anderen großen Networking-Anbietern.
Das Networking muss sich weiterentwickeln, Data Center müssen sich anpassen. SDN ist weder länger Science-Fiction noch einfach nur nice to have. SDN ist eine zwingende Voraussetzung und muss mehr sein als lediglich On-Premises. Netzwerke müssen Workloads miteinander verbinden, unabhängig davon, wer die Infrastruktur besitzt, auf der sie laufen. Außerdem müssen sie diese Workloads absichern. Welches Unternehmen auch immer dies kostengünstig und mit einfacher Bedienbarkeit bieten kann, wird den Markt für Networking beherrschen.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!