Security: Netzwerkvirtualisierung mit VMware NSX-T

Inhaltsverzeichnis

Für ein komplettes Software-defined Datacenter (SDDC) benötigt man nicht nur Virtualisierungsplattformen für Speichersysteme und Server, sondern auch ein Software-defined Network (SDN). In vielen Fällen kommt einfach der in den Hypervisor integrierte virtuelle Switch zum Einsatz. Dieser bietet jedoch oft nicht die nötigen Dienste und Sicherheitsfeatures und muss einzeln auf jedem Virtualisierungshost konfiguriert werden. Das Verteilen von Netzwerkrichtlinien über unterschiedliche Hypervisoren – etwa vSphere oder KVM – ist nicht möglich.

Das Ziel sollte jedoch sein, alle Server über alle Standorte und Plattformen hinweg nicht nur zu nutzen, sondern auch zentral zu konfigurieren. VMware will mit seiner NSX-T-Plattform nicht nur diese Ansprüche erfüllen, sondern auch Antworten auf Securityherausforderungen bei der Netzvirtualisierung finden.

Mehr zu Netzwerken

• LAN-Diagnose mit dem Network Multimeter
• Software-defined WAN – eine Marktübersicht
• SD-WAN-Standard: Grundlagen und Anwendungsfälle von MEF 70
• Überblick und Hintergrundwissen zum Routingprotokoll BGP4
• Netzwerk-Monitoring mit Nagios und NEMS-Linux aufbauen
• Netzwerkanalyse: NetBrain Version 10.0 im Test
• SD-WAN für kleine Netze: Routersteuerung mit FlexiWAN praktisch erproben
• Netzwerktechnik: Mit Batfish Fehlkonfigurationen im Netz frühzeitig vermeiden
• Compute Express Link: Der Interconnect erklärt
• Content Delivery Networks: Das unbekannte Rückgrat vieler Websites
• Wie die Flut im Westen die Kommunikation lahmgelegt hat
• 10-Gigabit-Ethernet: Windows-Treiber programmieren, Netzwerkkarten wählen
• Performancemanagement für Server: Marktübersicht Application-Delivery-Controller
• VDSL-Störungen: Powerline-Optimierung gegen DSL-Unterbrechungen
• Mobilfunkdaten bei Internetausfall begrenzen bei Windows, macOS, Linux und mobil, Teil 3
• Netzwerk: Erste Hilfe und Überbrückung bei Internetausfällen, Teil 2
• Netzwerk: Wie sich Internetausfälle überbrücken lassen, Teil 1
• Single-Pair-Ethernet: Ethernet über zwei Drähte im Praxis-Check
• Das Netzwerk virtueller Maschinen unter Linux individuell anpassen

Eine davon ist Routing und Firewalling in virtualisierten Rechenzentrumsnetzen. In klassischen Datacenter-Netzen differenziert man zwischen East-West- und North-South-Traffic (E/W und N/S). E/W bezeichnet Datenströme zwischen Clients im gleichen Datacenter und N/S den Traffic von und zu externen Netzen. Firewalling von E/W-Traffic gestaltet sich beispielsweise dann schwierig, wenn sich Gast-VMs auf einem Hypervisor im selben Subnetz befinden. Ein standardmäßig enthaltener Switch würde die Datenpakete einfach anhand seiner MAC-Adresstabelle direkt zur anderen Gast-VM bridgen, ohne dass eine externe Sicherheitskomponente diesen Traffic jemals zu Gesicht bekäme. Dem Lateral Movement eines Angreifers wäre nach einem Befall des Systems Tür und Tor geöffnet. Dedizierte virtuelle oder physische Sicherheitskomponenten für jede VM (Firewall, IDS/IPS et cetera) wären administrativ und meist auch finanziell nicht sinnvoll.

Das war die Leseprobe unseres heise-Plus-Artikels "Security: Netzwerkvirtualisierung mit VMware NSX-T". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.