VMwares Lösung für die Netzwerkvirtualisierung NSX ist in den USA bereits als Cloud-Service namens „NSXaaS“ für AWS-Umgebungen erhältlich. Damit lassen sich virtuelle private Clouds zu einer Umgebung mit einheitlichen Sicherheitsrichtlinien verbinden. Wie die Security-Funktionalität AppDefense, so soll auch NSXaaS nächstes Jahr in Europe auf den Markt kommen.

Auf der diesjährigen VMworld hatte VMware angekündigt, mehrere Cloud-Services auf der Cloud-Plattform des vormaligen Public-Cloud-Konkurrenten Amazon Web Services (AWS) verfügbar zu machen, so etwa „VMware Cloud on AWS“. Hierbei läuft VMwares Software-Stack auf Amazon-Hardware, wird aber von VMware als Managed Cloud Service betrieben, so Martin Rausche, Systems Engineering Manager CEMEA Regional bei VMware, im Gespräch mit LANline. Dieser Cloud-Service ist Stand heute allerdings nur in den USA erhältlich.

Zu den neu vorgestellten Cloud-Services zählt auch NSXaaS, die „As a Service“-Variante von VMwares Software für die Netzwerkvirtualisierung. Anders als VMware Cloud on AWS läuft NSXaaS nativ auf Amazons EC2.

Über ein Web-Portal legt der Administrator beim NSXaaS-Einsatz Regeln an, die dann übergreifend auf die AWS-Workloads angewendet werden. Haupteinsatzfälle für NSX sind laut Rausche der vollautomatisierte Cloud-Betrieb, Snapshots der gesamten Netzwerkumgebung für Disaster-Recovery-Szenarien sowie die Mikrosegmentierung des Netzwerks aus Sicherheitsgründen. VMwares Monitoring-Tool vRealize Network Insight kann man dabei ebenso dazubuchen wie ein Tool für die Kostenkalkulation. Laut Martin Rausche könnte der Betrieb künftig aber auch auf anderen Public-Cloud-Plattformen erfolgen, vorrangig also auf Microsoft Azure und Google Cloud.

Der Mehrwert von NSXaaS liegt laut dem VMware-Experten vor allem darin, dass man damit auf Netzwerkebene die AWS-Infrastruktur vereinheitlichen kann. So könne man durch NSXaaS mehrere VPCs (Virtual Private Clouds) zu einer Umgebung mit einheitlichen Sicherheitsrichtlinien verbinden; eine vergleichbare Funktionalität habe AWS selbst „out of the Box“ nicht zu bieten.

Für zusätzliche Sicherheit in virtualisierten Umgebungen kann man NSX mit der Lösung AppDefense verbinden, die ebenfalls im Sommer auf der VMworld vorgestellt wurde (LANline berichtete). AppDefense überwacht mittels Auswertung der Management-Daten, Abgleich mit dem VM-Verhalten und Auswertung mittels Machine Learning, ob die in der VM laufenden Anwendungen dem gewünschten Zustand entsprechen. Dies soll es erleichtern, Manipulationen an Anwendungen zu erkennen und automatische Reaktionen anzustoßen.

Mit AppDefense erfolge die Absicherung von Applikatinen direkt im Hypervisor, betonte Martin Rausche gegenüber LANline. Diese „intrinsische Firewall“ auf Hypervisor-Ebene habe keine IP-Adresse und sei damit von außen nicht ansprechbar, was das Sicherheitsniveau erhöhe. Auch vereinfache es die Verwaltung, da kein zusätzliches Gerät inline zu installieren sei.

VMware-Mann Rausche beschrieb AppDefense als Ansatz, Whitelisting auf eine komplette Applikationsumgebung anzuwenden (statt nur auf E-Mails oder einzelne Web-Applikationen, wie man das in Security-Kreisen gewohnt ist). Der AppDefense-Einsatz erfordert dementsprechend eine Discovery-Phase, in der die Lösung den Sollzustand („Intended State“) der Applikationsumgebung lernt. Dieser Intended State wird dann anhand technischer Parameter festgeschrieben, zum Beispiel: Auf dem Hypervisor laufen diese X Prozesse, sie beanspruchen Y CPU-Leistung und kommunizieren mit diesen Z IP-Adressen.

Die Informationen zum Sollzustand bezieht AppDefense laut Rausche nicht nur aus VMware-eigenen Tools wie vRealize, sondern auch aus externen Provisionierungssystemen wie Puppet. Dies werde dann um Machine-Learning-Funktionalität ergänzt, die aus den Vorgaben und dem VM-Verhalten den Normalzustand ermittelt und diesen als sogenanntes „Manifest“ definiert.

Nach dem Scharfschalten der Abwehrfunktionalität erzeugt AppDefense laut Rausche nicht nur Alerts: Die IT-Organisation könne zudem Incident-Response-Aktivitäten per Policy definieren. Hierzu können das Herunterfahren der VM oder ein Snapshot ebenso zählen wie – im Zusammenspiel mit NSX – die Quarantäne der VM, Blockieren des Netzwerkverkehrs oder auch das Einfügen eines Security-Services (also zum Beispiel Umleitung des Datenverkehrs über ein IPS- oder Threat-Detection-System, siehe Bild oben).

Das Dashboard für die Information des IT-Betriebs oder des SOC-Teams ist ein Cloud-Service, der ebenfalls auf AWS läuft. Die Kosten liegen bei 500 Dollar pro CPU und Jahr.

Wie VMware Cloud on AWS, so sollen auch NSXaaS und AppDefense erst 2018 in Europa verfügbar werden. Genauere Angaben zum Zeitpunkt der Markteinführung konnte Rausche gegenüber LANline noch nicht machen.

Weitere Informationen finden sich unter www.vmware.com.

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.