Dünne Basis für langfristige Entscheidungen: Virtuelle Sicherheit: Netzwerk- kontra Server-Ansatz

Bei der Sicherheit in virtuellen Landschaften stellt sich die Frage, ob diese allein Aufgabe der Server oder auch des Netzes wie beim Ansatz von Cisco oder Brocade sein soll. Nach dem Beratungshaus Comconsult gibt es für beides gute Argumente, aber keine klare Entscheidung.

Mit der Virtualisierung nehmen zwar die physikalischen Server im Rechenzentrum ab, die virtuellen nehmen aber dafür umso mehr zu. Dies kann zu großen Domänen mit virtuellen Maschinen (VMs) auf der Ebene zwei führen. Hinzu kommt, dass VMs zwischen verschiedenen Servern verschoben werden. Dabei ist es schwer, den Überblick zu behalten, und etwa dafür zu sorgen, dass VLAN-Zugehörigkeit und Access-Control-Lists (ACLs) passen. Um dies sicherzustellen, seien etwa Cisco oder Brocade darauf gekommen, in Switches entsprechende Lösungen zu implementieren, so das Beratungshaus Comconsult. Dieses sieht aber auch Nachteile, denn schließlich sei so eine Lösung nicht ganz billig. Dem gegenüber stehen Ansätze, bei denen die Sicherheit nur in den Servern abgebildet wird. Dadurch lassen sich 10-Gigabit-Switches mit günstigen Port-Preisen einsetzen. Sowohl für den Server- aus auch den Netzwerk-Ansatz gibt es also aus Sicht von Comconsult gute Argumente. Auch innerhalb des eigenen Hauses werden Für und Wider für beides diskutiert.

Die Sicherheit von virtuellen Maschinen lässt sich sowohl auf der Netzwerk- als auch auf der Applikationsebene lösen. Für beides gibt es gute Gründe.

Der Netzwerkansatz führt einen zusätzliche Kontrollmechanismus ein. Bei Cisco ist das ein virtueller Softswitch »Nexus 1000V«, der alle VMs anbindet und Regeln für die Kommunikation durchsetzt. Dabei behielten, so Comconsult, die VMs ihre ACLs und VLAN-Zuordnung, auch wenn sie zwischen Servern umzögen. Nach dem Beratungshaus löst Brocade »das Problem anders, kommt aber zu einem ähnlichen Ergebnis.« Solche Ansätze seien wichtig, um Lastverteilung, Desaster-Recovery und Wartung gerade auch bei einer großen Anzahl von VMs zu unterstützen.

Dieses Vorgehen setzt aber voraus, dass Applikationen eins zu eins auf VMs umziehen. Dies ist aber eher nicht der Fall. Gerade Ansätze wie SOA/SOAP (Service-Oriented-Architecture/Simple-Object-Access-Protocol), RPC (Remote-Procedure-Call) oder Dot-Net führen dazu, dass verteilte Architekturen aus Daten oder Lastgründen entstehen. Dabei passiert es, dass etwa bei einem SOA-Ansatz Knoten kombiniert und auch wieder getrennt werden.

Übersicht