Mit VMwares Netzwerkvirtualisierung NSX können Unternehmen ein Software-Defined Network (SDN) über ihre physische Infrastruktur spannen. So lassen sich – als Voraussetzung für eine effiziente Cloud-Nutzung – Lasten und Ressourcen im RZ dynamisch über virtuelle Netze verteilen. Zudem bietet das NSX-Framework die Option, eine Mikrosegmentierung zusätzlich oder als eigenständige logische Anwendung umzusetzen. IT-Administratoren können so einzelne Workloads absichern.

In den Fokus für den IT-Betrieb gerät verstärkt, die Mehrwerte der Server-Virtualisierung auch auf Netzwerke zu übertragen. Mit VMware NSX können Unternehmen Netzwerke automatisiert virtualisieren – innerhalb von Minuten oder sogar Sekunden. So sparen sie Zeit, erhöhen die Agilität und verbessern die Verfügbarkeit. Die automatisierte Zuweisung von Netzwerkressourcen verkürzt beispielsweise die Bereitstellung von Applikationen erheblich. Vor allem erreichen Administratoren eine dynamische Lastverteilung im RZ und machen dieses damit „Cloud-ready“. Denn VMware sorgt auch für sichere Verbindungen zu Public-Cloud-Angeboten wie AWS, Microsoft Azure oder vCloud Air, lokalen Service-Providern oder lokalen Rechenzentren.

Die NSX-Technik zeigt eine langfristige Entwicklungsrichtung an, die letztlich zum Software-Defined Datacenter (SDDC) führen soll. Das Grundprinzip von NSX beruht darauf, Verbindungen über ein bestehendes physisches Netzwerk zu spannen: Das Overlay-Netzwerk befreit von physischen Abhängigkeiten, denn der Netzwerk-Hypervisor deckt alle hardwaretypischen Funktionen wie Switching, Routing, Firewall und Load Balancing ab. Architektonisch besteht NSX aus einem Framework von VMs, Kernel-Modulen und neuen Protokollen wie VXLAN (Virtual Extensible LAN).

SDN für große Umgebungen

Als Bestandteil aller NSX-Editionen automatisiert und beschleunigt das VXLAN-basierte SDN die Bereitstellung virtueller Netze – ein großer Vorteil insbesondere für Rechenzentren mit mehr als 500 VMs. SDN begünstigt auch eine intensivere Self-Service-IT sowie die logische Trennung von Entwicklungs-, Test- und Produktionsumgebungen innerhalb derselben virtualisierten Infrastruktur. Damit ist SDN für mandantenfähige Netzwerke und Private-Cloud-Architekturen prädestiniert – hier lässt sich der übliche Aufwand erheblich reduzieren.

Ab der Advanced Edition von NSX können Unternehmen zudem eine Mikrosegmentierung aufbauen. SDN und Mikrosegmentierung lassen sich getrennt einsetzen, aber in Kombination können Anwender das Maximum aus dem NSX-Portfolio herausholen. Da eine SDN-Installation erst für größere Umgebungen wirklich interessant ist, entscheiden sich viele mittelständische Unternehmen vor allem wegen der Mikrosegmentierung für die NSX-Plattform. Diese Technik sorgt unabhängig von der Anzahl der VMs für einen Sicherheitsgewinn, den rund drei Viertel der NSX-Anwender erreichen wollen.

Netzwerksegmente isolieren

Nach der Installation, die ohne NSX-Controller auskommt, lässt sich die Mikrosegmentierung als eigenständiger Teil des NSX-Frameworks und ohne Abhängigkeiten zum VXLAN-basierten SDN betreiben. Mit der Mikrosegmentierung können Administratoren zum ersten Mal eine richtlinienbasierte Segmentierung virtueller Workloads durchsetzen. Durch das Entkoppeln der Netzwerk- und Sicherheitsfunktionen von physischen Abhängigkeiten lassen sich effizientere Sicherheitskontrollen etablieren.

Konkret lassen sich mit der Mikrosegmentierung im NSX-Framework drei Hauptszenarien verwirklichen: So besteht zunächst die Möglichkeit, auf Isolierung zu setzen. Im Ergebnis kann ein Segment nicht mehr segmentübergreifend kommunizieren. Denn diesen sogenannten Ost-West-Datenverkehr benötigt man nicht immer. Ein Web-Server soll stattdessen direkt mit dem Internet, mit Anwendern oder mit Applikations- und Datenbank-Servern sprechen (Nord-Süd-Datenverkehr).

Im zweiten Ansatz können Administratoren die Segmentierung so einrichten, dass eine kontrollierte Kommunikation innerhalb eines Segments oder zu einem Segment stattfindet. Außerdem gibt es die dritte Option, das Sicherheitsniveau über die Integration von Drittanbieter-Sicherheitslösungen wie Antivirus, IPS, IDS oder Next-Generation Firewall zu erhöhen. Mit der Mikrosegmentierung zieht bei allen drei Ansätzen mehr Sicherheit ins Rechenzentrum ein. Der Mehrwert beruht im Wesentlichen auf den Komponenten NSX Edge Service Gateway und Distributed Firewall (DFW).

Firewalls an der vNIC und am Perimeter

Die Mikrosegmentierung basiert darauf, dass die DFW direkt an der vNIC (also der virtuellen Netzwerkkarte einer VM) ansetzt. Die Umsetzung des zentral konfigurierten und bereitgestellten Regelwerks übernehmen die VMs in ihrem virtuellen Netzwerk. Dies macht den Netzwerkbetrieb flexibler, denn Netzgrenzen verlieren ihre Bedeutung. Ein VMware-Administrator kann mehrere VMs in einem Netz betreiben und diese voneinander nochmals durch eine Distributed Firewall schützen und isolieren. Klassische Firewalls, die sich zumeist am Perimeter oder zwischen Netzwerksegmenten befinden, haben folgende Einschränkung: Ist auch nur eine VM kompromittiert, kann sich eine Schadsoftware innerhalb des Netzwerksegments ungehindert auf Nachbarsysteme ausbreiten.

Bei NSX kommen Sicherheitsregeln hingegen auf jedem Hypervisor bis zur einzelnen virtuellen Netzwerkkarte zu Anwendung. Außerdem wirkt sich die Scale-out-Architektur der Firewall positiv auf deren Performance und das Sicherheitsniveau aus. Da sich die Firewall-Kapazität linear mit der Anzahl der ESX-Hosts erhöht, ist ein Durchsatz nahe der Leitungsgeschwindigkeit möglich.

Klassische Perimeter-Firewall vs. Mikrosegmentierung: Mikrosegmentierung schützt VMs zusätzlich mit einer eigenen Perimeterverteidigung. Bild: Axians Networks & Solutions

Das NSX Edge Service Gateway (ESG) sitzt ähnlich einer klassischen Firewall am Netzwerkperimeter. Es ist an dieser Stelle für die Nord-Süd-Verbindungen zwischen dem virtuellen Rechenzentrum und der Außenwelt verantwortlich. Das ESG steht als VM bereit und kann nur bei bestimmten NSX-Topologien Sicherheitsregeln durchsetzen.

Fazit: Cloud-Readiness und Sicherheitsgewinn

Mit NSX steht eine Plattform bereit, die den IT-Betrieb in verschiedener Ausprägung vereinfacht. So stellt die VLAN-basierte SDN-Lösung, die in allen Editionen enthalten ist, virtuelle Netze automatisiert und in kürzester Zeit bereit. Dies löst Hardwareabhängigkeiten für VPN, Routing, Load Balancing und Firewall auf. Die resultierende dynamische Last- und Ressourcenverteilung schafft für große Umgebungen die Voraussetzung, um die Cloud-Vorteile für die eigene IT-Infrastruktur zu nutzen.

In höheren Editionen lässt sich mit dem NSX-Framework zudem eine Mikrosegmentierung einrichten. Diese implementiert einen verteilten Firewall-Ansatz, der das Zusammenspiel von DFW und NSX ESG umsetzt. So lässt sich jede Workload isolieren und schützen, sodass beispielsweise Server innerhalb eines Segments gar nicht oder nur kontrolliert miteinander kommunizieren. Das Sicherheitsniveau steigt beträchtlich, weil kompromittierte VMs Nachbarsysteme nicht mehr infizieren können. Praxisrelevant ist zudem, dass ein NSX-Anwender nur wenige Sekunden benötigt, um eine globale Sicherheitsregel durchzusetzen. Das komplette Potenzial der NSX-Plattform schöpfen Unternehmen aus, wenn sie für das eigene Rechenzentrum das SDN wie auch die Mikrosegmentierung nutzen.

Onur Öztürk ist Consultant Data Center Solutions bei Axians Networks & Solutions, www.axians.de.