Victoria - Fotolia

So legen Sie Regeln und Security Policies für die NSX Distributed Firewall fest

Administratoren können aus der Netzwerk-Virtualisierungs-Lösung VMware NSX mit richtigen Sicherheitsrichtlinien und Mikrosegmentierung mehr herausholen.

Mikrosegmentierung mit der NSX Distributed Firewall stellt für viele Security-Administratoren eine neue Art und Weise dar, wie Sicherheit im Rechenzentrum realisiert werden kann.

VMware NSX for vSphere ist derzeit in der Version 6.3.1 verfügbar. Die VMware NSX Distributed Firewall wurde bereits 2015 eingeführt. Sie hat keine eigene Versionsnummer, sondern ist der jeweiligen NSX Version zugeordnet.

Die Distributed Firewall ist eine von zwei Komponenten der logischen Firewall, die zweite ist die Edge Firewall. Die Distributed Firewall konzentriert sich auf die horizontalen Zugriffssteuerungen und die Edge Firewall konzentriert sich auf die Erzwingung des vertikalen Datenverkehrs auf der Mandanten- oder Datencenter-Ebene. Im Folgenden soll aber nur die Distributed Firewall betrachtet werden.

Mit der zunehmenden Popularität der Netzwerk-Virtualisierung NSX rückt die Distributed Firewall erst jetzt verstärkt ins Blickfeld. Allein Fujitsu hat mittlerweile hunderte von NSX-Implementierungen durchgeführt, wobei die Nachfrage vor allem in den letzten Monaten stark zugenommen hat.

Die VMware NSX Distributed Firewall bietet Kontrolle auf der Ebene virtueller Netzwerkkarten (vNIC). Im Gegensatz zu einer traditionellen Firewall ist keine Netzwerkarchitektur nötig. Die im Hypervisor eingebettete Firewall ermöglicht einen Durchsatz fast mit Leitungsgeschwindigkeit.

Das heißt aber nicht, dass man auf traditionelle Firewalls ganz verzichten kann. VMware selbst empfiehlt den Einsatz von Next Generation Firewalls von Herstellern wie Palo Alto und Checkpoint

Ein weiterer Unterschied des NSX Distributed Firewall zu traditionellen Firewalls ist es, dass per Vorgabe zwei Regelsätze festgelegt sind, einer für Layer 2 und einer für Layer 3. Die Regeln für Layer 3 beziehen sich auf IP-Adressen, die für Layer 2 auf MAC-Adressen. Die Firewall-Regeln werden auf der vNIC-Ebene der einzelnen virtuellen Maschinen erzwungen.

Die Distributed Firewall kann außerdem beim Erstellen identitätsbasierter Regeln helfen. Administratoren können die Zugriffssteuerung anhand der Gruppenmitgliedschaft des Benutzers gemäß der Definition im Active Directory des Unternehmens erzwingen.

Philipp von Wallenberg, EMEA SDDC Network Virtualization & Security Architect bei VMware, erklärt drei Arten, wie die Security Policy bei der NSX Distributed Firewall eingerichtet kann.

Es gibt Rule Types für Server Perspectives, Client Perspectives und Mutual Perspectives. Das heißt also die Sicht auf den Server, den Client oder beide.

Die Server beziehungsweise Client Perspectives werden explizit definiert, bei Mutual gibt es erweiterte Auswahlmöglichkeiten. Die Security Group D kann eine Security Policy mehrfach aufrufen und verwenden.

Die Security Groups und Policies werden definiert per Security Tags. So kann der Administrator Regeln definieren.

Auf der Client Seite ist die Situation ähnlich, es gibt aber geringe Rechte für Gäste. Die Administratoren werden nur als Teil eines dedizierten Teams mit Tool-Sets gesehen.

Für die User-base Firewall nutzen Administratoren ein Remote Command Line Interface (CLI), um File Transfers nach Regelwerk zu erlauben.

Beim Quarantine Walkthrough werden Policies gemäß Group festgelegt. Gäste dürfen nicht miteinander reden, dies kann man mehrfach anwenden. Automatisiert werden Daten in Quarantäne gesetzt. Die Abfolge ist wichtig, je nach Priorität des Service Composer.

Der Administrator sollte individuelle Regeln finden, die der Service Composer anbietet. Man sollte im Service Composer ausgeblendete Regeln nicht verwenden.

Regeln kann man finden mit dem Flow Monitor, anschließend ein Protokoll auswählen, dann filtern für Gäste.

Live Flows eignen sich zum Debuggen. Sie sehen Flows und können in der neuen Version auch filtern. Netzwerk-Administratoren müssen oft beweisen, dass das Problem nicht bei ihnen liegt, wenn das System hakt. Dafür sind die Live Flows sehr hilfreich.

Es gibt weiterführende Produkte, vor allem Vmware vRealize Insight, um umfassende Informationen über Probleme zu erhalten.

Das Management erfolgt hierarchisch und modular. Man sollte die Firewall-Regelwerke nicht anfassen. 

Die NSX Distributed Firewall muss nicht allein verwendet werden. Der Administrator kann diese Security-Gruppen in die Firewall-Regeln von Checkpoint, Palo Alto oder Fortinet bringen.

Vor einer vollständigen Layer-7-Inspektion warnt Wallenberg. Diese sei zwar technisch machbar, aber zu teuer. Layer 7 sei nur für schützenswerte Daten sinnvoll. Vor allem einen großen Vorzug von NSX Distributed Firewall stellt Wallenberg ausdrücklich heraus: „Der Administrator kann Security Tags in NSX setzen und sieht den Kontext. Security ohne Kontext funktioniert nicht.“

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Holistische Ansicht des Netzwerks mit vRealize Network Insight von VMware

CrashkursSo funktioniert VMware NSX

VMware NSX als Schutzschirm fürs Data Center

Die Vorteile der Netzwerk-Virtualisierung mit VMware NSX

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close