Worauf es bei virtuellen Firewalls ankommt

Virtuelle Firewalls werden in Unternehmen immer beliebter. Sie jedoch nicht immer ein vollständiger Ersatz von physischen Firewalls.

Mit dem Wachsen ihrer virtualisierten Infrastruktur sehen viele  Organisationen die Notwendigkeit, vorhandene physische Sicherheits-Tools anzupassen und zu erweitern, um mehr Sichtbarkeit und Funktionalität zu gewährleisten. Virtuelle Firewalls gehören heute zu den führenden virtuellen Security-Produkten, und es gibt eine reiche Auswahl davon: Check Point bietet eine Virtual Edition (VE) seiner Firewall VPN-1. Cisco bereitet ein virtuelles Gateway-Produkt vor, das die hauseigene „ASA“-Linie von Firewalls ziemlich genau emuliert. Juniper bietet ein speziell entwickeltes virtuelles Gateway (die vGW-Linie) an, die aus der Übernahme von Altor Networks hervorgegangen ist. Auch Cabird und Reflex System haben virtuelle Firewall-Produkte und -Funktionen. Worauf kommt es also bei der Evaluierung virtueller Firewall-Technologien an?

Virtuelle Firewalls: Verwaltung und Skalierbarkeit

Vor dem Einstieg in die Besonderheiten virtueller Firewalls ist es wichtig, zu wissen, ob Sie  wirklich eine solche brauchen – bei sehr kleinen virtuellen Installationen vermutlich nicht. Haben Sie dagegen viele virtuelle Maschinen unterschiedlicher Sensibilitätsstufen und hoch komplexe virtuelle Netzwerke, dann können virtuelle Firewalls durchaus eine Rolle in Ihrer mehrstufigen Abwehrstrategie übernehmen. Vergessen Sie aber nicht, dass virtuelle Firewalls in der Regel nicht alle physischen ersetzen; eine gewisse Konsolidierung ist jedoch bei Installationen mit zahlreichen physischen Firewalls durchaus zu erwarten.

Nehmen wir also an Sie brauchen eine – wie geht es dann weiter?

Es gibt mehrere wichtige Aspekte, die Sicherheits- und Netzwerk-Teams bei der Evaluierung virtueller Firewalls berücksichtigen sollten. Die ersten beiden gleichen denen, die Sie auch bei  physischen Firewalls heranziehen würden: Skalierbarkeit und Administration. Bei letzterem geht es zunächst darum, ob die Firewall weitgehend von einer (meist Web-basierten) eigenen Konsole aus verwaltet wird oder sich in die Management-Plattform der Virtualisierungslösung (wie VMware vCenter) einfügt. Im Falle einer eigenen Konsole greifen die üblichen Kriterien, zum Beispiel Benutzerfreundlichkeit, rollenbasierte Zugangskontrollen, Granularität der Konfigurationsoptionen und so weiter. Ein weiterer Aspekt ist die Möglichkeit, das virtuelle Device über ein Kommandozeilen-Interface zu administrieren, und wie dieses erreichbar ist. Zum Beispiel bevorzugen Cisco-Spezialisten den Kommandozeilen-Betrieb via IOS (Internetworking Operating System), und die meisten virtuellen Firewalls sind per SSH erreichbar.

Skalierbarkeit ist ein entscheidendes Kriterium für virtuelle Firewalls, insbesondere bei sehr großen und komplexen Umgebungen. Dabei geht es um zwei Aspekte. Zunächst müssen Sie herausfinden, wie viele virtuelle Maschinen und/oder virtuelle Switches eine einzelne virtuelle Firewall unterstützt. Für Umgebungen mit zahlreichen virtuellen Switches und VMs auf einem einzigen Hypervisor kann dies ein wichtiges Thema sein. Das zweite wichtige Skalierbarkeits-Kriterium ist, wie viele virtuelle Firewalls die Konsole des Herstellers verwalten kann, und wie gut Policies und Konfigurationsdetails sich unter den virtuellen Geräte austauschen lassen.

Virtuelle Firewalls: Integration

Ein entscheidender Bewertungspunkt für virtuelle Firewall-Devices ist auch, wie nahtlos sie sich in die Virtualisierungsplattform oder Umgebung einreihen. Es gibt zwei gängige Methoden. Die  erste ist die einfachste: Die Firewall ist eine virtuelle Appliance oder spezielle virtuelle Maschine (VM). Sie lässt sich auf einem Hypervisor wie jede andere VM laden und wird dann so konfiguriert, dass sie mit neuen oder vorhandenen virtuellen Switches zusammenarbeitet. Der Vorteil dieses Modells ist seine Einfachheit und problemlose Implementierung. Zu seinen Nachteilen gehört eine stärkere Performance-Belastung auf dem Hypervisor, geringere Integration mit der Virtualisierungs-Infrastruktur sowie möglicherweise weniger Konfigurationsoptionen.

Die zweite Implementierungsmethode ist die vollständige Integration in den Hypervisor-Kernel, auch als Virtual Machine Monitor (VMM) bekannt. Dies bietet Zugang zu den nativen APIs von Hypervisor und Management-Plattform sowie optimierte Performance und Erkennung von VM-Datenverkehr auf einer niedrigeren Schicht. Es kann aber auch zusätzliche Zeit und Mühe für die korrekte Installation und Konfiguration der Plattform erfordern. Außerdem können, bei einigen sehr spezialisierten Virtualisierungsumgebungen, Stabilitätsprobleme oder Konflikte auftreten.

Andere wichtige Faktoren zur Beurteilung virtueller Firewalls sind die Integration in das physische Sicherheitskonzept sowie Breite und Tiefe der Policies für die VM-Sicherheit. Virtuelle Firewalls können „sehen", was in einer virtuellen Umgebung geschieht, aber können sie auch Warnungen und Sicherheitsinformationen an ihre physischen Gegenstücke weiterleiten? Halten Sie Ausschau nach nativen oder einfachen Integrationsmöglichkeiten mit physischen Firewalls, IDS/IPS und Event-Management-Plattformen. Ferner können und sollen virtuelle Firewalls VM-Konfigurationen und Security-Maßnahmen überprüfen, und zwar über die Ebene des ein- und ausgehenden Datenverkehrs hinaus. Einige virtuelle Firewalls können Anti-Malware, Network Access Controls (NAC) sowie Konfigurations-Management- und Kontrollfunktionen übernehmen. Das alles steigert ihren Nutzen erheblich.

Über den Autor: Dave Shackleford ist Senior Vice President of Research und Chief Technology Officer bei IANS. Er arbeitet zudem als SANS-Analyst, Trainer und Lehrgangs-Autor sowie als technischer Direktor bei der Zertifizierungsorganisation GIAC. Zuvor war Shackleford  Gründer und Principal Consultant bei Voodoo Security und hat Hunderte von Organisationen in den Bereichen Sicherheit, Compliance und Netzwerk-Architektur und Engineering beraten. Er ist ein ehemaliger QSA mit mehrjähriger Erfahrung bei der Durchführung von PCI Assessments und „VMware vExpert“ und verfügt über umfangreiche Erfahrung in der Entwicklung und Konfiguration sicherer virtualisierter Infrastrukturen. Weitere berufliche Stationen: CSO bei Configuresoft, CTO für das Center for Internet Security und Sicherheits-Architekt, Analyst und Manager für mehrere Fortune 500-Unternehmen.

Artikel wurde zuletzt im November 2011 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close