Wie Sie sich mit einer virtuellen Firewall richtig schützen

Virtuelle Firewalls ähneln in ihrem Funktionsumfang physischen. Besonders in virtualisierten Unternehmen können diese zur IT-Sicherheit beitragen.

Dieser Artikel behandelt

Firewalls

Bei der IT-Sicherheit von virtualisierten Unternehmen kann es erschreckend große Lücken geben. Eine mögliche Lösung...

für dieses Problem bieten virtuelle Firewalls, doch hier gilt es zunächst eine Reihe von Faktoren zu berücksichtigen.

Was sind virtuelle Firewalls?

Virtuelle Firewalls sind virtuelle Appliances, die den Funktionsumfang einer physischen Firewall nachbilden. Sie laufen in derselben virtuellen Umgebung wie die von ihnen geschützten Workloads, so dass ihre Richtlinien-basierten Eingriffe in den Daten-Verkehr für das physische Netzwerk unsichtbar bleiben – die Absicherung erfolgt also ohne Beeinträchtigung der durch Virtualisierung erreichten Agilität. Dabei kommt es nicht unbedingt darauf an, ob die virtuellen Maschinen (VMs) in einem Rechenzentrum laufen oder bei einem Anbieter von Infrastructure as a Service (IaaS).

Wer braucht virtuelle Firewalls?

Derzeit haben 97 Prozent aller Unternehmen einen Teil ihrer Server virtualisiert, und durchschnittlich 53 Prozent der Workloads in Rechenzentren befinden sich auf virtuellen Servern. Bei der Umstellung von physisch auf virtuell gehen die Sicherheitsstrukturen für Server auf dem physischen Netzwerk entweder verloren, oder sie werden als physische Systeme beibehalten.

Wenn jedoch physische Firewalls virtuellen Datenverkehr regeln sollen, muss dieser Verkehr dafür aus der virtuellen Umgebung heraus, durch die physische Infrastruktur hindurch und dann wieder in die virtuelle Umgebung hinein geleitet werden. Derartige Umwege führen zu mehr Komplexität, erhöhter Fragilität und zu weniger Möglichkeiten, Workloads zu verlagern. Zudem wird die Angelegenheit noch komplizierter, je stärker Unternehmen in das Feld von IaaS vordringen. Derzeit nutzen nur 17 Prozent IaaS-Dienste, wobei ein zunehmender Anteil davon auch für Anwendungen mit Kunden-Kontakt zum Einsatz kommt.

Vor diesem Hintergrund ist klar, dass IT-Abteilungen sowohl die interne virtuelle Umgebung als auch das externe Netzwerk schützen müssen. In beiden Fällen lassen sich virtuelle Firewalls verwenden.

Wenn Sie virtuelle Firewall für IaaS oder andere Nutzungsarten von öffentlichen Clouds einsetzen wollen, ist es wichtig, dass Ihre intern genutzte virtuelle Appliance auch auf der Plattform Ihres Cloud-Providers zur Verfügung gestellt werden kann. Wenn Ihre Appliance nur unter VMware läuft, Ihre IaaS-Umgebung aber auf Xen oder KVM, bekommen Sie Probleme.

Gemeinsame Richtlinien für physische und virtuelle Firewalls

Am besten schaffen Sie für virtuelle und physische Firewalls eine einheitliche Richtlinien-Umgebung und setzen auch denselben Werkzeugsatz zur Verwaltung ein. Mit einer einheitlichen Umgebung können Sie sicher sein, dass immer dieselben Zugriffsregeln gelten, egal wo sich Daten befinden. Zudem erspart sie der IT-Abteilung einige Doppel-Arbeit:

  • Wartung und Synchronisierung von Aktivitäten in parallelen Umgebungen
  • Beibehaltung von unterschiedlichen Kompetenzen bei den Mitarbeitern
  • ständige Kontrolle der Richtlinien-Äquivalenz über mehrere Plattformen
  • Umgang mit mehreren Anbieter- und Support-Beziehungen.

In einem Ideal-Szenario für virtuelle Firewalls haben Sie nur einen Firewall-Lieferanten. Dieser bietet eine virtuelle Plattform mit den Hypervisoren, die Sie brauchen, und Sie haben Werkzeuge, mit denen Sie virtuelle und physische Appliances gleichermaßen steuern können. Dafür kommt eine Reihe von Produkten in Frage, etwa Secure Policy Manager von Cisco, Firewall Enterprise Control Center von McAfee oder StoneGate Management Center von StoneSoft.

Diese Produkte eigenen sich für das Management von physischen und virtuellen Appliances desselben Herstellers. Umgebungen mit Appliances von unterschiedlichen Herstellern sind weniger ideal. Doch auch hier gibt es Produkte für eine einheitliche Verwaltung, etwa von FireMon oder Tufin.

Virtuelle Firewalls und IaaS: Mögliche Probleme

Bevor Sie sich mit Firewalls für IaaS beschäftigen, sollten Sie prüfen, ob eine virtuelle Appliance unter IaaS in ihr Compliance- und Sicherheitkonzept passen würde. Die Verwendung einer virtuellen Firewall in einer IaaS-Umgebung – selbst wenn Sie sie selbst ausgewählt haben – erfordert ein hohes Niveau an Vertrauen in den Cloud-Provider. Denn Verkehr von VM zu VM wird stets für denjenigen sichtbar sein, der diese Umgebung kontrolliert.

Wenn Sie nicht das nötige Vertrauen in Cloud-Plattformen haben, müssen Sie stattdessen zu einer Host-basierten Firewall oder VPN-Lösungen greifen, die Datenverkehr von und zu den VMs filtern. Diese verbrauchen mehr Ressourcen als virtuelle Appliances: Wenn zum Beispiel ein Paket bei einer virtuellen Appliances nur einmal fallengelassen werden müsste, muss es ohne Appliance vielleicht von jedem einzelnen Server fallengelassen werden. Trotzdem können Host-basierte Firewalls oder VPN-Lösungen richtig sein, weil sie das Vertrauensproblem mit der Cloud umgehen.

Einreißen von IT-Silos für die Implementierung virtueller Firewalls

Zum Abschluss ein sehr praxisnaher Punkt: System-, Sicherheits- und Netzwerk-Experten sollten den Rollout einer virtuellen Firewall nicht getrennt voneinander betreiben. Bei der Entwicklung von Richtlinien darüber, wann, wie und warum virtuelle Firewalls eingesetzt werden, müssen alle drei Gruppen beteiligt werden. Sie sollten jeweils ein Mitspracherecht bei Planung und Management haben und auch die Infrastruktur für die virtuelle Firewall genau kennen dürfen. Ohne solche Kooperation werden sich die drei Teams nur gegenseitig im Weg stehen.

Über den Autor: John Burke ist leitender Research-Analyst bei Nemertes Research. Dort berät er wichtige Kunden auf Anbieter- und Anwender-Seite, betreibt und analysiert Primär-Marktforschung und schreibt Vordenker-Artikel über eine Reihe von Themen.

Artikel wurde zuletzt im Juni 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close