So vermeiden Sie tote Winkel im virtuellen Netzwerk

Der größte Nachteil bei der Virtualisierung sind die „toten Winkel“. In einem Netz­werk tritt auf vir­tu­ellen Hosts häufig ein Verlust der Transparenz von Funktionen und des Da­ten­ver­kehrs­flus­ses zwischen Gast-VMs auf. Diese toten Winkel stellen eine beliebte Schwach­stelle für Ein­dring­lin­ge dar. Zudem haben hier auch Leistungsprobleme oft ihren Ursprung.

Virtualisierung stellt verschiedene Datenverarbeitungsumgebungen auf einem einzelnen Server bereit. Diese werden anschließend von einem Hypervisor verwaltet. Die Software dieses Hypervisors ist in der Lage, verschiedene Betriebssysteme zu managen und ermöglicht die Konsolidierung physischer Server auf einem virtuellen Stack eines einzelnen Servers.

Zu den Vorteilen dieser Methode zählen nahezu unbegrenzte Flexibilität, verteilte Erweiterbarkeit und ein geringerer Ressourcenbedarf. Einer der Nachteile ist die zunehmende Verbreitung virtueller Maschinen (VMs) im Netzwerk. Denn VMs lassen sich mühelos erstellen und klonen. Mit zunehmender Anzahl von VMs steigt jedoch die Gefahr, den Überblick zu verlieren.

Virtuelle Umgebungen erfordern dieselbe Zugriffssteuerung und Identifizierungsmaßnahmen wie physische Server. Bei der zunehmenden Verbreitung virtueller Umgebungen ist es daher entscheidend, dass Systemadministratoren über einen permanenten Zugang zu zuverlässigen Informationen über die Datennutzung verfügen.

Die Suche nach toten Winkeln

Den größten Nachteil bei der Virtualisierung stellen zweifellos die „toten Winkel“ dar. In einem Netzwerk tritt auf virtualisierten Hosts häufig ein Verlust der Transparenz von Funktionen und des Datenverkehrsflusses zwischen Gast-VMs auf. Diese toten Winkel stellen eine beliebte Schwachstelle für Eindringlinge dar. Zudem haben hier auch unerwartete Leistungsprobleme ihren Ursprung.

Das Problem: Ist die Transparenz beeinträchtigt, verlieren Tools wie Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS), Data Loss Prevention Systeme (DLPs) sowie Firewalls und UTM an Effektivität. Außerdem haben Debugging- und Netzwerk-Tools keinen Einblick mehr in die virtuelle Switchebene.

Der Großteil des Datenverkehrs im Rechenzentrum erfolgte bislang zwischen den Servern und dem Internet (Nord-Süd-Datenverkehr). Durch die Zunahme der Virtualisierung fließt ein großer Teil des neuen Datenverkehrs über die lokale Kommunikation innerhalb des Rechenzentrums. Dies wird als „Ost-West-Datenverkehr“ bezeichnet.

Virtuelle Computer agieren zwischen verschiedenen physischen Servern und erhöhen damit das Risiko, dass nicht vertrauenswürdige VMs mit vertraulichen VMs über denselben virtuellen Switch kommunizieren. Bei der Virtualisierung wird der Datenverkehr zwischen VMs durch den Hypervisor über die virtuelle Switch-Technologie verwaltet – das heißt, er verbleibt auf dem Switch und wird nicht an Überwachungstools Dritter weitergeleitet.

Ein weiteres Problem stellen Blade-Server dar. Beim Datenverkehr auf Blade-Servern, wobei jedes Blade mehrere VMs hostet, erfolgt die Kommunikation zwischen den Blades über eine Hardware-Backplane. Dies stellt einen weiteren potenziellen toten Winkel dar. Bei einem Blade-Server mit zehn Blades, die jeweils 20 VMs hosten, ergeben sich theoretisch bis zu 200 unüberwachte VMs.

SPAN-Port-Schwachstellen

Der Betrieb im „Promiscuous-Modus“ stellt das virtuelle Äquivalent von SPAN-Ports in einem physischen Netzwerk dar. Bösartige Eindringlinge können diesen Modus auf einem Netzwerkgerät einstellen, um private Informationen abzufangen, die nicht für sie vorgesehen sind. Der Promiscuous-Modus führt zu einer Leistungsminderung, eröffnet eine Vielzahl möglicher Sicherheitsverletzungen und bietet keinerlei Möglichkeit, spezifischen Datenverkehr zu filtern. Dies ist ein großer Nachteil für Mandantenfähige Umgebungen.

Die erforderliche proaktive Erkennung und Behebung von Leistungsproblemen wird durch die vielen beteiligten Tools, Tests, Schnittstellen, Prozesse, Funktionen und Server erschwert. Diese Komplexität führt in Verbindung mit überlasteten Werkzeugen zu einer Überforderung der Abwehrmechanismen.

Die IT-Transparenz-Wunschliste

Netzwerk- und Sicherheits-Teams benötigen uneingeschränkte Transparenz; dies setzt voraus,dass relevanter Datenverkehr von VMs in Überwachungstools exportiert werden kann. Eine solche Lösung würde eine vollständige Untersuchung und Prüfung von Netzwerkpaketen in unverändertem (raw) Zustand sowie die Einhaltung von SLAs (Service Level Agreements) und gesetzlichen Anforderungen ermöglichen.

Eine Lösung des Problems zur Verbesserung der Transparenz stellt eine zusätzliche virtuelle Maschine auf dem ESX-Server dar, die ausschließlich für die Prüfung eingesetzt wird. Dieser Ansatz ist jedoch kostspielig und schwierig zu verwalten. Alternativ könnte die Installation von Clients (z.B. Sniffer) auf virtuellen Computern Datenverkehr erfassen und diesen umleiten. Intelligente Clients wären darüber hinaus in der Lage, Datenverkehr durch intelligente Filter zu erfassen und die überwachten Datenströme an ein anderes Ziel zu leiten. Jedoch müssen diese Clients auf allen VMs installiert und davon Images erstellt werden.

Andere Ansätze, wie der Einsatz von Gast-VMs mit Sicherheitsfunktionen auf jedem virtuellen Server, sind ebenfalls teuer und wirken sich negativ auf die Leistung des Netzwerks aus. Darüber hinaus verkomplizieren sie bestehende Umgebungen für Sicherheit und Netzwerkverwaltung erheblich.

Mehr Durchblick mit virtuellen TAPs

Ein virtueller TAP erfasst die zwischen VMs ausgetauschten Daten und sendet den relevanten Datenverkehr an physische oder virtuelle Überwachungstools. TAPs unterstützen die meisten Hypervisoren und ermöglichen dadurch den Einsatz von TapFlow-Filtern, um den relevanten Datenverkehr zu spiegeln. Ein weiterer Vorteil: Nur der für die Überwachung relevante Datenverkehr wird an ein angegebenes Überwachungstool gesendet.

Ein virtueller TAP errichtet eine Brücke zwischen physischen und virtuellen Umgebungen. Das macht den Einsatz von Sicherheitstools wie IDS, DLP und Netzwerk-Forensik-Rekordern möglich, ohne dass die virtuelle Umgebung betroffen oder verkompliziert wird. Ein Hauptziel der virtuellen TAPs besteht darin, die Datenpakete in Echtzeit und bei möglichst geringer Auswirkung auf den virtuellen Switch aus der virtuellen Umgebung zu extrahieren. TAPs sind in der Lage, Datenpakete mit minimalem Aufwand und nur geringfügigen Auswirkungen auf die Leistung des virtuellen Hosts zu spiegeln, während diese zwischen den Gast-VMs ausgetauscht werden.

Ein virtueller Host kann gemeinsam mit einer Reihe von leistungsstarken Netzwerk-TAPs, Bypass-Switches, Netzwerkpaket-Brokern (NPBs) und Überwachungstools eingesetzt werden. Ziel der Architektur ist eine schnellere Anwendungsbereitstellung und effizientere Fehlerbehebung sowie die Überwachung hinsichtlich der Netzwerksicherheit, Anwendungsperformance und Erfüllung von SLAs sowie der IT-Compliance-Anforderungen.

Transparenz ohne Leistungseinbußen

In Kombination mit einem Netzwerkpaket-Broker erfüllen virtuelle TAPs dieselben Funktionen wie Hardware-TAP und Port-Mirroring. Der TAP lässt sich direkt in den Hypervisor-Kernel integrieren und nimmt so nur wenige Ressourcen des Hypervisor-Stacks in Anspruch. Dadurch wird ein vollständiger Zugriff auf den gesamten Netzwerk-Stack ermöglicht, ohne dass Leistungseinbußen entstehen, wie es beim Einsatz eines virtuellen Switchs im Promiscuous-Modus der Fall ist. Darüber hinaus wird so der Verlust wichtiger Daten verhindert, die zur Erfassung von Fehlern in der Netzwerkschicht nötig sind. Nur so können Probleme, die möglicherweise vor dem Erfassen im Promiscuous-Modus entstehen, bereinigt werden. Derartige Fehler sind von entscheidender Bedeutung bei der Behebung von Leistungs- oder Interoperabilitätsproblemen.

Demzufolge werden alle Datenpakete vor dem Auftreten von Ausfällen, Fehlern oder anderen Ursachen für Paketverlust angezeigt. Zudem ist ein virtueller TAP durch die Überwachung und Protokollierung individueller VMs in der Lage, zwischen bestimmten VM-Instanzen in replizierten Umgebungen zu unterscheiden – und das sogar dann, wenn diese zwischen Hypervisoren wechseln. Da die VM-basierte Überwachung dem Universally-Unique-Identifier (UUID) der virtuellen Maschine folgt, bietet der virtuelle TAP die gleiche Netzwerktransparenz, die auch durch den Ausgangsspeicherort festgelegt wurde.