NSX-T Mikrosegementierung Einführung

Ein großer Vorteil eines Software Defined Network (SDN) ist, dass dieses ad hoc auf neue Anforderungen, bzw. auf Veränderungen reagieren kann.

Ein wichtiger Bestandteil hierbei ist es, Firewall Regeln schnell umzusetzen und diese sowohl flexibel, als auch auf´s notwendigste zu reduzieren.

In einer klassischen Umgebung werden Systeme innerhalb des RZs mittels einer Perimeter Firewall abgesichert und die einzelnen Systeme maximal mit einer OS basierten Firewall feiner geschützt. Diese Art des Schutzes stellt natürlich einige Herausforderungen dar:

  1. Der gesamte Traffic muss zunächst an die Firewall gesendet werden um dort entsprechend der Regeln weitergeleitet, begrenzt oder gar verändert (z.B. Port Weiterleitungen auf andere Ports, wobei dies eigentlich nicht die Aufgabe einer Firewall ist) werden.
    Dies sorgt dafür, dass die Netzwerke stark segmentiert werden müssen. Dies erfolgt üblicherweise mit VLANs, die aber nicht unbegrenzt zur Verfügung stehen und auch eine saubere Dokumentation benötigen.
  2. Die zentrale Firewall muss leistungsfähig genug sein, um den gesamten RZ Verkehr verteilen zu können. Zudem sind hier auch ausreichende Redundanzen zu berücksichtigen, sowie eine entsprechende Reserve um Wachstum und Lastspitzen abzufangen.
  3. Firewallregeln innerhalb eines Betriebssystems können durch Fehler in ebendiesem ggf. ausgehebelt werden und die Maschine dadurch ungeschützt (abgesehen vom Perimeter) Angriffen ausgesetzt werden. Zudem müssen die Regeln sehr granular gepflegt werden und erzeugen zusätzlichen Overhead. Sowohl was die Verwaltung, als auch den Ressourcenbedarf angeht.
  4. Fehlersuchen im Falle von Kommunikationsproblemen sind sehr aufwendig, da keine einheitliche Managementschicht genutzt wird.
  5. Sollten Systeme im Falle eines Befalls von Schadsoftware schnellstmöglich isoliert werden ist dies nicht möglich. Dem Betriebssystem ist nicht mehr zu trauen und die Firewall schützt nur den Verkehr, der das Netzwerk verlässt. Alle Systeme im selben L3 Netzwerk sind ungeschützt erreichbar (s. Punkt 1).
  6. Eine Automatisierung ist nur begrenzt möglich, was dazu führt, dass das Ausrollen neuer Systeme mehr Zeit in Anspruch nimmt, als eigentlich nötig wäre.

Daher führt kein Weg daran vorbei, die einzelnen Workloads individuell zu schützen.

In den aktuellen Umgebungen kommen für nahezu alle Aufgaben virtuelle Maschinen oder Container zum Einsatz. Dies bedeutet, dass ein Layer zur Verfügung steht, der für die Applikation unerreichbar ist und daher für alle Sicherheits relevanten Aufgaben prädestiniert ist.

Wieso also nicht die Firewall möglichst nah an den Daten erzeugenden Workload legen und dadurch zentral verwalten und Monitoren?

Dies ist der grundsätzliche Ansatz der Mikrosegmentierung. Man reichert den Virtualisierungslayer mit Funktionen an, die den ein- und ausgehenden Verkehr des Gastsystems beeinflussen kann.

Zusätzlich platziert man an die Kanten des Netzwerks Firewall Engines, die den ein- und ausgehenden Verkehr filtern.

Im Falle von NSX werden in das KVM- oder ESXi Kernel Treiber eingebracht, um die Security Regeln umsetzen können. Vor jeden virtuellen Netzwerkadapter einer VM kann man nun eine individuelle Firewall platzieren, die lediglich die Kommunikation durchlässt, die für die Funktion der Applikation notwenig ist. Damit steht die Applikation und nicht die Maschine oder das Betriebssystem im Mittelpunkt.

In dieser Architektur spricht man von Ost-West Verkehr.

Alles, was die virtuelle Umgebung verlässt (z.B. auf Bare Metal Systeme, Clients, Internet etc.) wird mittels Edge Gateways geschützt. Dies wird als Nord-Süd Verkehr bezeichnet.

Diese Edge Systeme können entweder auf den selben Systemen laufen, wie die Workloads, oder sie werden separiert. Entweder als virtuelle Maschinen, oder als Bare Metal Systeme, wenn viel Leistung erforderlich wird. Der Vorteil hierbei ist nun, dass auf standardisierte x86 Serverhardware zurück gegriffen werden kann, was die Kosten senkt. Sowohl in der Anschaffung (Capex), als auch im Betrieb (Opex), durch einheitliche Supportverträge, allgemeine Flexibilität durch einfaches (auch automatisiertes) hinzufügen neuer Systeme bei Bedarf (auch durch eine Mischung von virtuellen und physikalischen Einheiten).

Weitere Vorteile sind:

  • Die Firewall Leistung skaliert mit der Anzahl an Hosts. Kein Single Point of Failure. Man erhält eine verteilte Firewall.
  • Jeder Host hält nur die Regeln die für die Systeme, die er betreibt. Dadurch ergibt sich ein minimaler Overhead.
  • Die Regeln „kleben“ am Workload und wandern transparent mit der Maschine auf den jeweiligen Host, auf dem die Maschine läuft.
  • Da der Verkehr bereits an der Quelle eingeschränkt wird, wird das komplette Netzwerk entlastet, da keine Pakete den physischen Switch treffen die nicht weiter geleitet werden dürfen.
    Dadurch ergeben sich in der physischen Welt enorme Einsparpotentiale, da die Perimeter Firewall lediglich Verkehr aus dem Netzwerk steuern muss. Da zwischen 70 und 80% des gesamten Verkehrs innerhalb des Rechenzentrums verbleibt, muss die Firewall lediglich 20 – 30% der ursprünglichen Leistung aufweisen.
  • Die Anzahl der Regeln wird auf das notwendigste reduziert, was zu einer besseren Übersicht und damit einer höheren Sicherheit führt.
  • Kein Inter-VLAN Routing notwendig, daher deutliche Reduzierung der VLANs.
  • Trennung zwischen LAN und DMZ(s) technisch nicht mehr notwendig.

Im nächsten Artikel möchte ich beschreiben, wie die Mikrosegmentation tatsächlich eingerichtet und umgesetzt wird.

Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.