Firewall-Strategien für Virtualisierung richtig planen

In Unternehmen sind VLAN-Umgebungen häufig das Ziel von Angriffen. Deshalb ist eine richtige Firewall-Strategie für Virtualisierungen extrem wichtig.

In den Netzwerken von ziemlich jedem großen Unternehmen gibt es Dutzende, wenn nicht Hunderte virtueller Umgebungen. Interessanterweise stelle ich immer wieder fest dass die meisten dieser virtuellen Server-Farmen und VLAN-Umgebungen für Angriffe weit offen sind. Dass sich eine virtuelle Umgebung innerhalb Ihrer eigenen vier Wände befindet, heißt jedoch nicht, dass jeder ungehinderten Zugriff darauf erhalten sollte. Hier können Firewall-Strategien für die Virtualisierung helfen.

Bei der Planung einer Firewall-Strategie mit sinnvollen Regeln gibt es eine Reihe Faktoren zu berücksichtigen:

  1. Was sind die betrieblichen Erfordernisse rund um die jeweilige virtuelle Umgebung? Wer braucht Zugriff auf welche Umgebung?
  2. Inwiefern sind Ihre virtuellen Umgebungen derzeit gefährdet? Gibt es Fehlkonfigurationen, fehlende Patches oder offene Ports, die ausgenutzt werden könnten?
  3. Wie können Sie das „Prinzip der minimalen Rechte“ so anwenden oder verbessern, dass diese Systeme nur für diejenigen Mitarbeiter erreichbar sind, bei denen ein entsprechender betrieblicher Bedarf vorliegt?
  4. Welche anderen Barrieren sind für den Fall vorgesehen, dass die Sicherheitskontrollen Ihrer virtuellen Umgebung versagen? Wie verhindern Sie zum Beispiel das Ausnutzen einer Schwachstelle via Metasploit, das Durchforsten von Netzwerk-Freigaben nach personenbezogenen Daten, das Starten einer Denial-of-Service-Attacke oder die Verbreitung von Malware?

Segmentierung von Datenverkehr in einer Firewall-Strategie für Virtualisierung

Nachdem diese Fragen beantwortet sind, sollten Sie einen Schritt zurücktreten: Überlegen Sie, wie Sie Ihren Datenverkehr sinnvoll segmentieren und nur denjenigen Personen Zugriff gewähren können, die ihn wirklich benötigen. Das kann zum Beispiel über traditionelle Netzwerk-Firewalls geschehen oder über persönliche Firewall-Software, die auf jedem Betriebssystem läuft.

Viele Unternehmen haben mit Erfolg native Hypervisor- und Betriebssystem-Kontrollen zusammen mit eigenen Optimierungen eingesetzt, um relativ sichere virtuelle Umgebungen zu realisieren. Tatsächlich sind solche Umgebungen jedoch nach wie vor unsicherer als physische Hosts. Außerdem werden Sie es vermutlich, außer in sehr einfachen virtuellen Umgebungen, mit einer exponentiellen Zunahme an Komplexität zu tun haben, die Ihr Streben nach Sicherheit weiter erschwert.

Und Komplexität ist der Feind der Sicherheit. Daher glaube ich: Viele, wenn nicht die meisten Umgebungen wären besser bedient mit einer Lösung wie vShield von VMware oder  mit virtuellen Firewall-Produkten von Drittanbietern wie Reflex Systems, Altor Networks (jetzt Juniper) oder TBD Networks. Auf diesem Wege bekommen Sie Vorteile wie mehr Transparenz Ihrer virtuellen Umgebung, mehr Granularität bei der Kontrolle sowie eine bessere Performance und Skalierbarkeit.

Sicherheitslücken im LAN

Einen Aspekt sollten Sie immer im Hinterkopf behalten: Unterschätzen Sie nie die Geschicklichkeit und Zielstrebigkeit von Insidern. Die meisten Schwachstellen, die ich in virtuellen Kontexten finde, lassen sich durch kostenlose Tools und Anleitungen aus Büchern oder dem Web leicht ausnutzen. Dasselbe gilt für Malware. Ich habe riesige Unternehmensnetzwerke und ihre virtualisierten Umgebungen gespickt mit Bot-Netzen und ähnlicher Malware gesehen – alles wegen relativ simpler Sicherheitslücken, die sich leicht hätten schließen lassen.

Über den Autor: Kevin Beaver ist IT-Sicherheitsberater, Gutachter und professioneller Redner mit mehr als 22 Jahren Branchenerfahrung und arbeitet bei Prinzip Logic LLC in Atlanta. Er ist spezialisiert auf unabhängige Sicherheitsbewertungen rund um Informations-Risikomanagement und Autor beziehungsweise Ko-Autor von neun Büchern zum Thema IT-Sicherheit, darunter The Practical Guide to HIPAA Privacy and Security Compliance sowie der Bestseller Hacking For Dummies, 3rd edition. Außerdem ist er Erfinder der Audio-Buchreihe Security on Wheels und betreibt ein Blog über Sicherheitsthemen für mobile IT-Profis. Beaver ist zu erreichen über www.principlelogic.com, außerdem können Sie ihm unter @kevinbeaver bei Twitter folgen.

Artikel wurde zuletzt im April 2011 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close