Agile, dynamische Sicherheitskonzepte

Sicherheit auf Knopfdruck

20.03.2017
Von Sven Gerlach und Damian Kostka *
Anzeige  Die Netzwerkvirtualisierung rückt zunehmend auf die IT-Agenda. Gefragt sind dabei auch neue Sicherheitskonzepte, die eine agile, dynamische Bedrohungsabwehr bieten. Ein Beispiel hierfür ist die Lösung vSec des Sicherheitssoftware-Anbieters Check Point.
„Sicherheit auf Knopfdruck“
„Sicherheit auf Knopfdruck“
Foto: NTT Security

Server- und Storage-Virtualisierung sind in vielen Unternehmen bereits Standard. Der nächste Schritt, der sich zunehmend abzeichnet, ist die Virtualisierung der gesamten Infrastruktur. Die Entwicklung steht hier noch am Anfang, aber die wachsende Bedeutung des Themas Software-Defined Networking (SDN) zeigt die Richtung. Vereinfacht ausgedrückt geht es bei SDNs um die Virtualisierung des Netzwerkes an sich. Davon zu unterscheiden ist die Network Functions Virtualization (NFV), die auf die Bereitstellung von Netzwerkfunktionen in virtueller Form abzielt, also etwa von Netzwerkdiensten wie Routern oder Load-Balancern.

Der Trend zu vollständig virtualisierten Infrastrukturen ist nicht aufzuhalten. Die Gründe sind klar, denn die zahlreichen Vorteile sind nicht wegzudiskutieren. Zu nennen sind etwa hohe Agilität, Flexibilität und Skalierbarkeit sowie Betriebskostenreduzierung. Im Unterschied zu rein physischen Umgebungen sind etwa Kapazitätsanpassungen und Konfigurationsänderungen einfach und schnell umsetzbar, das heißt, Netzwerkinfrastrukturen können mit wenigen Mausklicks eingerichtet und angepasst werden.

Ein Beispiel zeigt die Möglichkeiten deutlich: In einer physischen Umgebung ist die Inbetriebnahme eines neuen Anwendungsservers mit einem erheblichen Aufwand verbunden: von der Bereitstellung eines neuen Netzsegmentes über Verkabelungen und Switch-Konfigurationen bis zum Patchen von Maschinen. Ein virtualisierter Applikationsserver kann hingegen auf "Knopfdruck" zur Verfügung gestellt werden: vom Erzeugen des virtuellen Switches bis zur Switch-Anbindung an Anwendung und Firewall.

Die vollständige Infrastrukturvirtualisierung umfasst auch das Thema Sicherheit, beispielsweise mit virtualisierten Firewalls. Entsprechende Sicherheitslösungen sind inzwischen auf dem Markt verfügbar. Eine Analyse der Check-Point-Lösung vSEC zeigt das Potenzial moderner Sicherheitslösungen.

„Gefragt sind neue Sicherheitskonzepte, die eine agile, dynamische Bedrohungsabwehr bieten. Die Lösung vSec ist ein Beispiel.“
„Gefragt sind neue Sicherheitskonzepte, die eine agile, dynamische Bedrohungsabwehr bieten. Die Lösung vSec ist ein Beispiel.“
Foto: NTT Security

vSec bietet maximale Sicherheit für Systeme und Daten

Die Lösung vSEC von Check Point Software Technologies bietet einen fortschrittlichen Bedrohungsschutz für virtuelle und Cloud-Umgebungen sowie Software-definierte Rechenzentren. Sie zeichnet sich durch ein effizientes Sicherheitsmanagement für physische und virtuelle Umgebungen aus, das von einer zentralen Konsole aus erfolgen kann. Dabei werden unterschiedlichste Netzwerkinfrastrukturen unterstützt, etwa solche, die auf Cisco ACI, VMware NSX oder OpenStack basieren.

Auch hinsichtlich der Sicherung des Datenverkehrs im Rechenzentrum bringt vSec erhebliche Vorteile mit sich. So wird der East-West-Traffic, also der Inter-Datacenter-Traffic, bisher in der Regel weniger kontrolliert, da die notwendige Netzwerksegmentierung im Falle von nicht virtualisierten Umgebungen aufwändig ist - mit zusätzlichen physikalischen Firewalls und erhöhten Betriebsaufwänden - oder in virtuellen Umgebungen vor vSec nur schwer umsetzbar war. Eine Absicherung des East-West-Traffics ist aber erforderlich, da anderenfalls ein kompromittiertes System das gesamte Netzwerksegment gefährdet. Je kleiner also das Netzwerksegment gestaltet werden kann, desto besser ist die Absicherung. Diese Micro-Segmentierung wird durch SDN in Kombination mit vSec nun technisch und betrieblich machbar.

Nicht zuletzt unterstützt vSec im Hinblick auf die zunehmende Nutzung von Public- und Hybrid-Cloud-Infrastrukturen alle gängigen Cloud-Umgebungen: Amazon Web Services, Google Cloud Platform, Microsoft Azure und VMware vCloud Air.

Mehr Sicherheit durch Micro-Segmentierung

Die Check-Point-Lösung zeigt, dass in virtuellen Infrastrukturen eine höhere Sicherheit als in rein physischen Infrastrukturen realisierbar ist. So ist eine Micro-Segmentierung durch Software möglich, also ein Zerlegen des Netzes in kleinere Einheiten; dadurch kann eine höhere Netzwerksicherheit hergestellt werden. Außerdem kann durch die Virtualisierung "Sicherheit auf Knopfdruck" realisiert werden, etwa mit der schnellen und einfachen Einbindung und Konfiguration von virtuellen Switches und verteilten Firewalls. Ein entscheidender Vorteil der Check-Point-Anwendung ist nicht zuletzt, dass sie vollständig in das Lösungsportfolio des marktführenden Sicherheitssoftware-Anbieters eingebunden ist.

Die Integration von Sicherheitslösungen in virtuelle, Cloud- und SDN-Umgebungen weist eine hohe Komplexität auf. Zwar tummeln sich viele vermeintliche Experten im Markt, allerdings kann kaum ein Anbieter das Thema ganzheitlich betreuen. Dimension Data kooperiert deshalb mit NTT Security, um mit einem umfassenden Lösungs-Know-how das heterogene Anforderungsspektrum abzudecken: zum Beispiel von Check Point vSec über VMware- und Cisco-ACI-Lösungen bis zu SDNs und NFV-Implementierungen. Außerdem haben die Sicherheitsexperten gemeinsam schon konkrete Lösungsszenarien entworfen, entsprechende Referenzarchitekturen modelliert und mehrere Kundenprojekte erfolgreich abgeschlossen.

* Sven Gerlach ist Senior Manager Infrastructure and DataCenter bei NTT Security und Damian Kostka ist Security Technical Architect bei Dimension Data