Virtueller Sicherheitsschalter

Ein virtueller Sicherheitsschalter (oder virtueller Schalter) ist ein Software-Ethernet Switch (Netzwerktechnik) mit eingebetteten Sicherheitssteuerelementen, der in virtuellen Umgebungen wie VMware vSphere, Citrix XenServer, Microsoft Hyper-V und "Virtual Iron" ausgeführt wird. Der Hauptzweck eines virtuellen Sicherheitsschalters besteht darin, Sicherheitsmaßnahmen wie Isolation, Kontrolle und Inhaltsprüfung zwischen virtuellen Maschinen bereitzustellen.

Virtuelle Maschinen in Enterprise-serverumgebungen wurden 2005 immer beliebter und entwickelten sich schnell zu einem Standard für die Bereitstellung von Servern und Anwendungssoftware. Um diese Server in einer virtuellen Umgebung bereitzustellen, musste ein virtuelles Netzwerk gebildet werden. Aus diesem Grund haben Unternehmen wie VMware eine Ressource namens virtueller Switch erstellt. Der Zweck des virtuellen Switches bestand darin, eine Netzwerkkonnektivität innerhalb der virtuellen Umgebung bereitzustellen, damit virtuelle Maschinen und Anwendungen sowohl innerhalb des virtuellen Netzwerks als auch mit dem physischen Netzwerk kommunizieren können..

Dieses Konzept eines virtuellen Netzwerks führte zu einer Reihe von Problemen, da es sich auf die Sicherheit in der virtuellen Umgebung bezog, da sich nur die virtuelle Switching-Technologie in der Umgebung und nicht die Sicherheitstechnologien befanden. Im Gegensatz zu physischen Netzwerken mit Switches mit Zugriffssteuerungslisten Access Control List, (ACLs),Firewall, Antivirus-Gateways oder Intrusion Detection System-Geräten war das virtuelle Netzwerk weit offen. Beim Konzept des virtuellen Sicherheitsschalters haben sich Switching und Sicherheit zusammengeschlossen, sodass Sicherheitskontrollen innerhalb des virtuellen Schalters platziert werden können und eine pro-Port Überprüfung und Isolation innerhalb der virtuellen Umgebung erfolgen können. Durch dieses Konzept konnte die Sicherheit so nah wie möglich an die zu schützenden Endpunkte gelangen, ohne sich auf den Endpunkten (hostbasiert auf virtuellen Maschinen) selbst befinden zu müssen.

Durch die Beseitigung der Notwendigkeit, hostbasierte Sicherheitslösungen auf virtuellen Maschinen bereitzustellen, kann eine erhebliche Leistungsverbesserung erzielt werden, wenn die Sicherheit in der virtuellen Umgebung bereitgestellt wird. Dies liegt daran, dass virtuelle Maschinen Rechenressourcen (z.B.) CPU-Zeit, Arbeitsspeicher oder Festplattenlaufwerk gemeinsam nutzen, während physische Server über dedizierte Ressourcen verfügen. Eine Möglichkeit, dies zu verstehen, besteht darin, sich 20 virtuelle Maschinen vorzustellen, die auf einem Server mit zwei CPUs ausgeführt werden und auf denen jeder virtuelle Server über eine eigene hostbasierte Firewall verfügt. Dies würde 20 Firewalls ergeben, die dieselben Ressourcen verwenden wie die 20 virtuellen Maschinen. Dadurch wird der Zweck der Virtualisierung zunichte gemacht, die darin besteht, diese Ressourcen auf virtuelle Server und nicht auf Sicherheitsanwendungen anzuwenden. Die zentrale Bereitstellung von Sicherheit in der virtuellen Umgebung ist in gewisser Weise eine Firewall im Vergleich zu 20 Firewalls.

Einschränkung[Bearbeiten]

Da virtueller Schalters Data Link Layer-Geräte sind, die eine einzelne Broadcast-Domäne erstellen, können virtuelle Sicherheitsschalters die Netzwerksegmentierung und -isolierung, die normalerweise in einem mehrschichtigen physischen Netzwerk verwendet wird, nicht vollständig replizieren.Um diese Einschränkung zu beseitigen, bieten eine Reihe von Netzwerk-, Sicherheits- und Virtualisierungsanbietern inzwischen virtuelle Firewalls, virtuelle Router und andere Netzwerkgeräte an, damit virtuelle Netzwerke robustere Sicherheits- und Netzwerkorganisationslösungen anbieten können..

Beispiele[Bearbeiten]

Da es sich bei virtuellen Maschinen im Wesentlichen um Betriebssysteme und Anwendungen handelt, die in einer einzigen Datei zusammengefasst sind (so genannte Speicherabbild), sind sie jetzt mobiler geworden. Zum ersten Mal in der Geschichte können Server wie MP3-Dateien in Peer-to-Peer-Netzwerken verschoben, ausgetauscht und gemeinsam genutzt werden. Systemadministratoren können jetzt vorinstallierte virtuelle Server über das Internet herunterladen, um die Bereitstellungszeit neuer Server zu verkürzen. Es ist nicht mehr erforderlich, dass ein Systemadministrator den langwierigen Softwareinstallationsprozess durchläuft, da auf diesen virtuellen Laufwerk-Images Betriebssysteme und Anwendungen vorinstalliert sind. Sie sind Virtual Appliances.

Diese Mobilität von Server-Images hat nun das potenzielle Problem geschaffen, das ganze Server infiziert werden und in freier Wildbahn weitergegeben werden können. Stellen Sie sich vor, Sie laden den neuesten Fedora (Linux-Distribution) Server von einer Website wie ThoughtPolice.co.uk herunter, installieren ihn und erfahren später, dass sich auf diesem Server ein Trojaner gefunden hat, der später Ihr virtuelles Netzwerk heruntergefahren hat. Dies könnte katastrophal sein.

Das Virtueller Sicherheitsschalter-Konzept überwacht Ihre Vertrauensentscheidung durch Isolation und Sicherheitsüberwachung zwischen virtuellen Maschinen. Ein Virtueller Sicherheitsschalter kann VMs voneinander isolieren, die zulässigen Kommunikationstypen einschränken sowie die Verbreitung von schädlichem Inhalt oder Denial of Service-Angriffe überwachen.

Geschichte[Bearbeiten]

Reflex Security stellte den branchenweit ersten 10-Gigabit-Netzwerksicherheits-Switch vor, der über eine Portdichte für die Unterstützung von 80 angeschlossenen physischen Servern verfügt.^[1] Im Jahr 2008 begann Vyatta mit der Auslieferung eines Open-Source-Netzwerkbetriebssystems, das Vermittlungsschicht-Dienste wie Routing, Firewall, Netzwerkadressübersetzung (NAT), Dynamic Host Configuration Protocol und Virtual Private Network (VPN) innerhalb und zwischen Hypervisoren anbietet. Seitdem haben VMware, Cisco, Juniper Networks und andere virtuelle Netzwerksicherheitsprodukte ausgeliefert, die Data Link Layer-und Vermittlungsschicht-Switching und -Routing enthalten.