VMware NSX: Aktivieren Sie die interne Netzwerkpolizei!

Die Virtualisierung mit VMware NSX bringt definitiv mehr Agilität und Flexibilität. Außerdem bietet sie eine hervorragende Möglichkeit, virtuelle Umgebungen nachhaltig abzusichern. Denn anhand der Mikrosegmentierung können Sie Firewall-Regeln auf einzelne virtuelle Maschinen umsetzen – und die innere Sicherheit erhöhen. Wie Sie Ihre Netzwerkpolizei aktivieren erfahren Sie hier:

Netzwerk Virtualisierung ermöglicht Ihnen, Netzwerkfunktionen wie Firewall, Router oder Load Balancer in Software auf Standard-Hardware zu betreiben. So können Administratoren den Gerätepark im Rechenzentrum vereinfachen, Rackspace und Strom sparen. Außerdem gewinnen Sie mehr Agilität und Flexibilität, denn neue Netzwerkfunktionen lassen sich künftig schneller bereitstellen. Dafür muss man höchstens eine neue VM aufsetzen, nicht aber das physikalische Netzwerk umbauen – vorausgesetzt der Server bietet noch ausreichend CPU und Speicher.

Als Plattform für die Netzwerk Virtualisierung empfiehlt sich VMware NSX. Sie bietet derzeit den besten Funktionsumfang. Die Lösung arbeitet mit einem Hypervisor, der die VMs bereitstellt und vernetzt. So spannt VMware NSX ein Overlay-Netzwerk über bestehende Layer-3-Netzwerke. Dadurch entsteht eine von der Hardware entkoppelte Schicht, in der Administratoren virtuelle Netzwerke aufbauen und logisch umsetzen können. Das physikalische Netz dient nur noch als Transportmedium. Gateways wickeln den Datenverkehr zwischen der virtuellen und physischen Welt ab.

Raus aus der Netzwerk-Steinzeit mit VMware NSX

Mit der Virtualisierung können Sie das Netzwerk aus seinen alten Traditionen herausreißen. Das Betriebsmodell für das Netzwerk hat sich in den vergangenen Jahrzehnten de facto nicht verändert. Es basiert auf einem überwiegend manuellen Konfigurationsmodell und hängt von den Leistungsmerkmalen der physischen Topologie ab.

Ihr Kollege – der Serveradministrator – arbeitet schon längst ganz anders. Wenn die Fachabteilung eine neue Applikation benötigt, dann konfiguriert er sich einfach im Self-Service eine VM zusammen. Er muss dafür keinen Server bestellen und nicht auf verschiedene Komponenten zugreifen, um etwas zu provisionieren.

Jedoch kann er die angeforderte Applikation nicht immer sofort in Betrieb nehmen – etwa, weil diese Applikation in einem eigenen Netz abgebildet werden muss. Hier treten Sie als Netzwerkexperte in Aktion: Sie stellen ein Layer-2-Netz bereit, vergeben IP-Adressen, konfigurieren Switching sowie Routing und integrieren logische Teilnetze (VLAN) in den virtuellen Switch.

Man sieht: Bevor die Fachabteilung eine App produktiv nutzen kann, steht ein längerer Prozess. Sie wissen es ja selbst aus der täglichen Erfahrung: Ein neues Netzwerk für eine Anwendung bereitzustellen, kann einen Tag oder auch deutlich länger dauern. Mit VMware NSX gelingt das bereits in wenigen Sekunden. Ihr Vorteil: ein beträchtlicher Gewinn an Zeit, Agilität und Verfügbarkeit.

Mehr Sicherheit dank Mikrosegmentierung

Damit aber noch nicht genug. Eine weitere Funktion von VMware NSX ist die Mikrosegmentierung. Darunter versteht man die Möglichkeit, das Netzwerk in kleine logische Einheiten, sogenannte Mikrosegmente, aufzuteilen. Der Clou: Firewall-Regeln lassen sich dadurch für jede Einheit umsetzen. Das ist ein entscheidender Sicherheitsgewinn, denn in einem herkömmlichen physikalischen Netzwerk arbeiten Firewalls nur am Netzwerkperimeter. Sie überwachen den Datenverkehr am Übergang von einem Netzwerk zum anderen, zum Beispiel vom Internet in das Unternehmensnetz. Innerhalb eines Netzwerks sind sie jedoch machtlos. Gelingt es einer Malware, den ersten Schutzwall zu durchbrechen und in das Unternehmensnetz einzudringen, kann sie sich dort ungestört verbreiten und viele Systeme infizieren.

Welche verheerenden Auswirkungen das haben kann, hat der Kryptotrojaner WannaCry gezeigt, der 2017 sein Unwesen trieb. In Deutschland war unter anderem die Deutsche Bahn unter den Opfern. Auf vielen Bahnhöfen funktionierten ihre Anzeigesysteme nicht mehr. Wesentlich schlimmer hat es aber die Krankenhäuser des National Health Services (NHS) in Großbritannien getroffen: In vielen Kliniken konnten Patienten nicht behandelt werden, weil wichtige Daten nicht verfügbar waren.

VMware NSX Netzwerksicherheit
Mikrosegmentierung mit VMware NSX

Mit Mikrosegmentierung hätte sich der Schaden deutlich begrenzen lassen. Denn Administratoren können damit VMs innerhalb eines Netzwerks durch Firewalls isolieren und zentral konfigurierte Firewall-Regeln für jede einzelne VM umsetzen. Das funktioniert, indem die Mikrosegmentierung direkt an der virtuellen Netzwerkkarte einer virtuellen Maschine ansetzt. Jedes Datenpaket, das eine VM verlässt oder betritt, wird dann von einem Paketfilter – wie bei einer Polizeikontrolle – geprüft und gegebenenfalls blockiert. Schadsoftware wie WannaCry hat damit keine Möglichkeit mehr, sich weiter auszubreiten.

Wollen Sie in Ihrem System eine verlässliche „Netzwerkpolizei“? Dann kommen Sie auf uns zu. Wir unterstützen und beraten Sie gerne bei der Einführung von VMware NSX.

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.