VMware vShield 5: Sicherheit für virtuelle Maschinen

    vShield App with Data SecurityZeitgleich mit vSphere 5 kündigte VMware die Version 5 von vShield an. Es handelt sich dabei um eine Familie von Security-Produkten, die der Absicherung von virtuellen Infrastrukturen dienen. Diese Software-Suite wurde erst im letzten Jahr eingeführt und erhält nun moderate Verbesserungen. Ihre Funktionen reichen von Malware-Protection über VPN-Verbindungen und Firewall bis zu Klassifizierung von Daten in den VMs.

    Anlässlich der Vorstellung der vShield-Produkte zur VMworld 2010 begründete VMware den Bedarf für diese Software damit, dass traditionelle Security-Produkte an Hardware gebunden seien und häufig Agents auf jedem verwalteten Rechner benötigten. Damit seien sie der dynamischen Natur virtueller Infrastrukturen nicht angemessen, weil sie beispielsweise den Traffic zwischen physikalischen Hosts zwar kontrollieren können, aber nicht zwischen virtuellen Maschinen. Vor allem stießen statische Regelwerke an ihre Grenzen, wenn Workloads automatisch zwischen Hosts oder Netzwerksegmenten verschoben werden.

    Drei Produkte und Basisfunktionen in vSphere

    Angesichts der Bedeutung, die einer auf virtualisierte Systeme zugeschnittene, umfassende Sicherheitslösung zukommt, erhielt das vShield-Portfolio bisher relativ wenig Aufmerksamkeit. Dabei kann man es mit Fug und Recht als Gegenstück von VMware zu Microsofts Forefront-Produkten betrachten, allerdings mit dem Unterschied, dass Letztere noch weitgehend in der physikalischen Welt verhaftet sind.

    Das vShield-Portfolio besteht aus 3 Hauptprodukten zuzüglich des gemeinsamen Verwaltungs-Tools vShield Manager. Einige Basisfunktionen sind unter der Bezeichnung vShield Zones Bestandteil von vSphere. Ihre Aufgabe darin besteht, Sicherheitszonen zu definieren, in denen bestimmte Richtlinien und Vorschriften implementiert werden. Virtuelle Maschinen können solchen logischen Zonen zugeordnet werden, unabhängig davon, auf welchem physikalischen System sie gerade laufen. vShield Zones ist als Virtual Appliance realisiert, das auf der gleichen Infrastruktur läuft wie die eigentlichen Workloads.

    vShield App

    Der wesentliche Zweck von vShield App besteht darin, die Kommunikation zwischen VMs auf einem Host abzusichern. Zu diesem Zweck verfügt es über die Funktionen einer Application-Firewall, die als Kernel-Modul des Hypervisors implementiert ist. Die Software erlaubt die Segmentierung von Anwendungen durch die Einrichtung von Vertrauenszonen. Damit ließe sich beispielsweise festlegen, dass eine VM, in der eine Datenbank mit persönlichen Informationen (etwa Nummern von Kreditkarten) liegt, nur von einer VM mit der zugehörigen Anwendung erreichbar ist - ohne dass dafür ein VLAN eingerichtet werden muss.

    Die Zonen sind rein logischer Natur und beruhen auf Regelwerken statt auf physikalischen Grenzen. Mit Hilfe dieser Policies lässt sich der Netzwerk-Traffic zwischen VMs überwachen und steuern, auch wenn diese auf einen anderen Host umziehen. vShield App bietet auch Schutz gegen Malware, allerdings nur auf Netzwerkebene, für die Inspektion des VM-Inneren ist dieser nicht ausgelegt.

    vShield App with Data SecurityIn der Version 5 ist nun eine erweiterte Variante der Software unter der Bezeichnung vShield App with Data Security erhältlich. Sie integriert die Lösung für Data Loss Prevention von RSA, wie VMware eine Tochter von EMC. Dieses Feature dient dazu, Daten innerhalb der VMs automatisch zu klassifizieren und herauszufinden, welchen Sicherheitsrichtlinien diese aufgrund ihrer Sensibilität unterworfen werden müssen. vShield App with Data Security bringt eine ganze Reihe von Templates mit, die Policies zur Umsetzung diverser internationaler Vorschriften enthalten. Sie lassen sich auf VMs anwenden, um etwa einen besonders hohen Grad der Isolierung zu erreichen, wenn die darin enthaltenen Daten dies erfordern.

    vShield Edge

    Dieses Mitglied des Security-Portfolios ist für Perimeter-Sicherheit zuständig und erfüllt seine Funktionen am Übergang vom virtualisierten Teil des Rechenzentrums zu nicht vertrauenswürdigen (öffentlichen Netzen). Es eignet sich aber auch dazu, in mandantenfähigen Infrastrukturen die virtuellen Server der verschiedenen Kunden gegeneinander abzuschirmen.

    Wie in der physikalischen Welt gehört zur Perimeter-Sicherheit eine Firewall, die vShield Edge wie alle seine Funktionen in Form eines Virtual Appliance installiert. Sie hat den in dieser Produktkategorie üblichen Leistungsumfang und ermöglicht den VMs das Networking via NAT. Neu in der Version 5 ist die Unterstützung für Static Routing, so dass virtuelle Maschinen nicht mehr ausschließlich über NAT mit der Außenwelt kommunizieren müssen.

    Die Software erbringt darüber hinaus eine Reihe weiterer Netzwerkdienste wie DHCP und kann Sites (d.h. virtuelle Rechenzentren) über VPNs miteinander verbinden. In der Version 5 unterstützt die Software nun auch Zertifikat-basierte VPNs. Ein weiteres Feature von vShield Edge besteht im Web-Load-Balancing, das auf einem Round-Robin-Verfahren für HTTP-Traffic basiert. Schließlich bietet es noch umfangreiche Möglichkeiten für Auditing und Logging, Reporting sowie Flow-Monitoring.

    vShield Endpoint

    Bei diesem Produkt handelt es sich um die VMware-Lösung für Schutz gegen Malware. Ihr spezifisches Design für virtuelle Infrastrukturen besteht darin, dass sie das Scannen der Filesysteme und die Überwachung der Betriebssysteme in den virtuellen Maschinen an ein Virtual Appliance, also an eine vorkonfigurierte VM auslagert. Damit entfällt die Notwendigkeit, Antiviren-Software in die Gastsysteme zu installieren.

    Der Vorteil dieses Ansatzes liegt auf der Hand: Die VMs werden von außen über den Hypervisor inspiziert, so dass sich die Last auf die Server verringert. Außerdem müssen Signaturen nur an einer Stelle aktualisiert werden und nicht in jedem Gastsystem.

    vShield Endpoint bietet keinen eigenen Virenscanner, sondern integriert entsprechende Software von Partnern.

    vShield-Produkte im Vergleich

    Die Abgrenzung zwischen den Produkten der vShield-Familie zu verstehen fällt nicht ganz leicht, zumal es funktionale Überschneidungen gibt, beispielsweise durch die Firewalls und Anti-Malware in Edge und App. Folgende Tabelle, die der Website von VMware entnommen ist, vermittelt einen guten Überblick über das Portfolio:

    Feature vShield Edge vShield App vShield App with Data Security vShield Endpoint
    Deployment- Methode Pro Port-Guppe Pro Host Pro Host Pro Host
    Einsatzgebiet Zwischen virtuellen Rechenzentren und nicht ver­trauens­wür­digen NetzenZwischen virtuellen Maschinen Zwischen virtuellen Maschinen Im Gastsystem innerhalb von VMs
    Anti-Virus, Anti-Malware Nein Ja Ja Ja
    Site-to-Site VPN Ja Nein Nein Nein
    NAT, DHCP Ja Nein Nein Nein
    Load- Balancing Ja Nein Nein Nein
    Klassifizierung sensibler Daten Nein Nein Ja Nein
    Stateful Firewall Ja Ja Ja Nein
    Reagiert auf Änderungen Ja* Ja Ja Nein
    Hypervisor-basierte Firewall Nein Ja Ja Nein
    Applikations- Firewall Nein Ja Ja Nein
    Flow- Monitoring Nein Ja Ja Nein
    VM-Gruppierng für Durchsetzung von Regeln Nur 5-Tuple** basierte Policies 1) 5-Tuple 2) Security Groups: Resource-Pools, Ordner, Container und andere vSphere-Gruppierungen 1) 5-Tuple 2) Security Groups: Resource-Pools, Ordner, Container und andere vSphere-Gruppierungen Alle in vCenter möglichen Gruppierungen für VMs

    * Edge-Security und Services werden auf dem Host vorgehalten, auf dem das Virtual Appliance läuft. Wenn dieses auf einen anderen Host wechselt, dann müssen die Regeln aktualisiert werden.

    ** Unter 5-Tuple versteht man die Kombination aus Source-IP-Adresse, Destination-IP-Adresse, Source Port, Destination Port und Protokoll.

    Keine Kommentare