Mikro-Segmentierung bringt mehr Netzwerk-Sicherheit für NSX und ACI
Cisco und VMware nutzen Mikro-Segmentierung, um virtuellen Netzwerken East-West-Firewall-Merkmale zu spendieren. Das verbessert die Sicherheit.
Mikro-Segmentierung von Netzwerken ist keine neue Technologie. Sie wird allerdings wieder wichtiger, da sie VMware und Cisco bei Netzwerk-Virtualisierung und SDN (Software-defined Networking) als Teil der Security-Strategie integrieren.
Mit Mikro-Segmentierung können Sie eine so genannte Zero Trust Securtiy Zone um einen speziellen Satz an Ressourcen etablieren. Sprechen wir über Netzwerk-Virtualisierung, dann ist es mit Mikro-Segmentierung zusätzlich zum herkömmlichen North-South-Security-Modell möglich, sogenannte East-West-Firewall-Leistungsmerkmale zu implementieren.
Durch Mikro-Segmentierung haben Unternehmen die Möglichkeit, sehr präzise Netzwerk-Security für Segmente auf Layer-2-Ebene einzusetzen. Sollte ein Angreifer einen Node kompromittiert haben, erhält er so keinen direkten Zugriff auf andere Nodes im gleichen vLAN. Bisher war das nicht möglich, da es Probleme bei Durchsatz und Verwaltbarkeit gab.
VMware NSX setzt bei der Netzwerk-Sicherheit auf Mikro-Segmentierung
Wie VMware an die Mikro-Segmentierung bei NSX herangeht, ist überzeugend. Bei NSX setzt VMware auf eine enge Integration der NSX-Firewall und dem vSphere Hypervisor. Damit schafft man einen Workflow für Prozesse, der einige der Barrieren von Mikro-Segmentierung überwindet.
Ciscos Controller wird man einsetzen, um Security-Richtlinien an ACI-kompatible Geräte auszugeben.
Bei der NSX-Firewall kann eine Security-Gruppe jedes Objekt in vCenter enthalten. Das beinhaltet nicht nur virtuelle Maschinen (VM), sondern zum Beispiel auch vNICs und vApps.
Somit ist die Kreation einer East-West-Firewall ein leistungsfähiges Konstrukt. Sie könnten zum Beispiel eine Richtlinie erstellen, die Traffic zwischen einer vNIC und einem Webserver, sowie einer vNIC auf einem Applikations-Server gestattet.
Diese Regel lässt sich auf eine vApp oder den eigentlichen virtuellen Maschinen anwenden. Löschen Sie die vApp oder die entsprechende VM, entfernt das die Richtlinie ebenfalls automatisch. Somit sind Konformitäts-Audits etwas einfacher, da es keine undokumentierten Firewall-Regeln geben kann.
Die Herausforderungen beim Firewall-Durchsatz adressieren
Bisher war East-West-Firewalling problematisch. Der Grund sind die unglaublichen Datenmengen, die man zwischen den physischen Links filtern muss. East-West-Firewall-Optionen gibt es von Anbietern wie Palo Alto Networks. So eine Lösung kann aber teuer sein und eine Implementierung ist nicht trivial.
Außerdem ist das Verwalten einer großen Menge an Geräten für eine Data-Center-übergreifende Strategie möglicherweise ein Hindernis. An dieser Stelle sind Netzwerk-Overlays und virtualisierte Data Center klar im Vorteil.
Eine einzelne vSphere NSX Host-basierte Firewall liefert einen Durchsatz von 20 Gbps. Fügen Sie weitere NSX-Nodes hinzu, ist die Skalierung linear. Produkte von Firmen wie Palo Alto bringen wesentlich mehr Funktionen mit als eine NSX-Firewall.
Allerdings können herkömmliche Firewall-Produkte beim reinen Durchsatz nicht mithalten. VMware NSX bietet Integrations-Möglichkeiten, damit existierende Firewalls von Drittanbietern den East-West-Traffic verarbeiten können.
Cisco ACI wird auf Mikro-Segmentierung für das Netzwerk für Security-Belange setzen
Die Mikro-Segmentierung bei VMware ist spannend. Allerdings funktioniert sie nur in einer Umgebung mit NSX und vSphere. Cisco hat ebenfalls einen Plan zu Mikro-Segmentierung für das eigene SDN und auch für gemischte virtualisierte Umgebungen. Cisco geht an die Mikro-Segmentierung mit dem neuen ACI Policy-basierten Controller heran.
Ciscos Controller wird man einsetzen, um Security-Richtlinien an ACI-kompatible Geräte auszugeben. Die Geräte können die Pakete im Anschluss für eine Weiterverarbeitung an Firewalls von Drittanbietern oder direkt an Ciscos Adaptive Security Appliance weiterleiten.
Cisco wird sicherlich noch eine Weile brauchen, um das Regel-Management auf virtuelle Objekte anzuwenden.
Anders als NSX wird ACI Policies für sowohl physische als auch virtuelle Ports kreieren können. Im Moment ist Cisco auf der Suche nach Partnern, die Add-Ons oder Erweiterungen schreiben, die mit den ACI-Richtlinien umgehen können. So möchte man laut offiziellen Cisco-Aussagen physische East-West-Probleme adressieren.
Cisco benutzt Mikro-Segmentierung ebenfalls in der existierenden Netzwerk-Virtualisierungs-Technologie. Sie können begrenzte Mikro-Segmentierung mit Richtlinien einsetzen, indem Sie den virtuellen Switch Cisco 1000v und die virtuelle ASA-Firewall verwenden.
Damit lassen sich Mikro-Segmentierungs-Policy-Optionen auf physische und virtuelle Workloads anwenden. Im Endeffekt steht Unternehmen damit eine ganzheitlichere Option zur Verfügung, um die Mikro-Segmentierungs-Richtlinien zu verwalten.
Ein weiterer Vorteil ist, dass Cisco 1000v sowohl für Hyper-V als auch für vSphere verfügbar ist. Es gibt allerdings eine Einschränkung. Die Integration mit dem Hypervisor ist nicht sehr eng. Das Resultat von Hypervisor-Unabhängigkeit ist eine eingeschränkte Integration.
Cisco wird sicherlich noch eine Weile brauchen, um das Regel-Management auf virtuelle Objekte anzuwenden, wie das mit vApps und virtuellen Data-Center-Objekten in VMware oder Microsoft Systems Center möglich ist.
Über den Autor:
Keith Townsend ist der Gründer von VirtualizedGeek.com und ein IT-Management-Consultant mit mehr als 15 Jahren Erfahrung bei Design, Implementation und Management von Data-Center-Technologien. Zu seinen Spezialgebieten gehören Virtualisierung, Netzwerke und Storage-Lösungen für Fortune-500-Unternehmen. Er hat einen BA in Computing und einen MS in Informations-Technologie von der DePaul-Universität.
Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!
