Schwerpunkte

Dünne Basis für langfristige Entscheidungen

Virtuelle Sicherheit: Netzwerk- kontra Server-Ansatz

08. Juni 2009, 16:57 Uhr   |  Werner Veith | Kommentar(e)

Virtuelle Sicherheit: Netzwerk- kontra Server-Ansatz

Die Sicherheit von virtuellen Maschinen lässt sich sowohl auf der Netzwerk- als auch auf der Applikationsebene lösen. Für beides gibt es gute Gründe.

Bei der Sicherheit in virtuellen Landschaften stellt sich die Frage, ob diese allein Aufgabe der Server oder auch des Netzes wie beim Ansatz von Cisco oder Brocade sein soll. Nach dem Beratungshaus Comconsult gibt es für beides gute Argumente, aber keine klare Entscheidung.

Mit der Virtualisierung nehmen zwar die physikalischen Server im Rechenzentrum ab, die virtuellen nehmen aber dafür umso mehr zu. Dies kann zu großen Domänen mit virtuellen Maschinen (VMs) auf der Ebene zwei führen. Hinzu kommt, dass VMs zwischen verschiedenen Servern verschoben werden. Dabei ist es schwer, den Überblick zu behalten, und etwa dafür zu sorgen, dass VLAN-Zugehörigkeit und Access-Control-Lists (ACLs) passen. Um dies sicherzustellen, seien etwa Cisco oder Brocade darauf gekommen, in Switches entsprechende Lösungen zu implementieren, so das Beratungshaus Comconsult. Dieses sieht aber auch Nachteile, denn schließlich sei so eine Lösung nicht ganz billig. Dem gegenüber stehen Ansätze, bei denen die Sicherheit nur in den Servern abgebildet wird. Dadurch lassen sich 10-Gigabit-Switches mit günstigen Port-Preisen einsetzen. Sowohl für den Server- aus auch den Netzwerk-Ansatz gibt es also aus Sicht von Comconsult gute Argumente. Auch innerhalb des eigenen Hauses werden Für und Wider für beides diskutiert.

Der Netzwerkansatz führt einen zusätzliche Kontrollmechanismus ein. Bei Cisco ist das ein virtueller Softswitch »Nexus 1000V«, der alle VMs anbindet und Regeln für die Kommunikation durchsetzt. Dabei behielten, so Comconsult, die VMs ihre ACLs und VLAN-Zuordnung, auch wenn sie zwischen Servern umzögen. Nach dem Beratungshaus löst Brocade »das Problem anders, kommt aber zu einem ähnlichen Ergebnis.« Solche Ansätze seien wichtig, um Lastverteilung, Desaster-Recovery und Wartung gerade auch bei einer großen Anzahl von VMs zu unterstützen.

Dieses Vorgehen setzt aber voraus, dass Applikationen eins zu eins auf VMs umziehen. Dies ist aber eher nicht der Fall. Gerade Ansätze wie SOA/SOAP (Service-Oriented-Architecture/Simple-Object-Access-Protocol), RPC (Remote-Procedure-Call) oder Dot-Net führen dazu, dass verteilte Architekturen aus Daten oder Lastgründen entstehen. Dabei passiert es, dass etwa bei einem SOA-Ansatz Knoten kombiniert und auch wieder getrennt werden.

Seite 1 von 2

1. Virtuelle Sicherheit: Netzwerk- kontra Server-Ansatz
2. Virtuelle Sicherheit: Netzwerk- kontra Server-Ansatz (Fortsetzung)

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Virtualisierung richtig planen und konzipieren
Server-Virtualisierung ist kein Selbstläufer
Mehr Virtualsierungspower für »Redhat Enterprise Linux 5.3«
Gartner: Umsatz mit Virtualisierungssoftware nimmt um 43 Prozent zu
Virtualisierung von A bis Z auf der »IT Profits 2009«
Virtualisierung: Nutzen mit hoher Komplexität verbunden, Teil 1
Citrix Xenserver kostenfrei per Download verfügbar
Suns »Virtual Box« unterstützt jetzt das Open-Virtualization-Format und Virtual-Appliances
Vmware bringt mit »Vsphere« Cloud-Computing ins Rechenzentrum
Nicht mehr blind: Virtuellen Datenverkehr extern überwachen
Desktop-Virtualisierung für Windows 7
Studie: Europas IT-Manager sind der Datenflut nicht gewachsen
Basiswissen Virtualisierung: Ein Schwarm gleicher Systeme
Kein Königsweg für Backups bei virtuellen Maschinen
Umfrage: Virtualisierung ist tückischer als vermutet

Verwandte Artikel

Comconsult

Desktop-Virtualisierung

IT-Security