Was Mikrosegmentierung in Rechenzentren bringt

In diesem Whitepaper werden die wesentlichen Merkmale der Mikrosegmentierung generell und die Einsatzmöglichkeiten auf Basis der VMware NSX-Plattform generell beschrieben.

IT-Security-Experten und die fortschrittlichen Kräfte in der IT-Security-Branche sind sich darüber einig, dass Perimeter-Firewalls beziehungsweise physische Firewalls heutzutage den komplexen Anforderungen in Rechenzentren nicht mehr genügen können. Gründe dafür gibt es gleich mehrere:

Erstens wurden sie einst für den Schutz der Netzwerkgrenze und vor allem dem Schutz des Datenverkehrs zwischen Client und Server konzipiert, nicht für den Schutz des Datenverkehrs zwischen Servern. Zweitens erfordert die stark gestiegene Anzahl an Workloads heute fein abgestufte Richtlinien und zentrale Zugriffskontrolle was mit dem althergebrachten Konzept in der Praxis nicht oder nur mit enormen Aufwand machbar ist. Und drittens machen dynamische Workloads, die praktisch ständiger Veränderung unterliegen, auch die ständige schnelle Anpassung, was mit physischen Firewalls viel zu viel administrativen Aufwand erzeugt.

Die bisher übliche physische Netzwerksicherheit in Rechenzentren basiert auf der Einrichtung von Sicherheitssegmenten, der Erstellung von Subnetzen und virtuellen LANs und der Entwicklung von Richtlinien für diese. Dieses Modell erfordert aber die strikte Festlegung von Richtlinien für den physischen Standort von Workloads. Das ist aktuell in der Praxis nur mit manueller, zeitaufwendiger Verwaltung, häufigen Konfigurationsfehlern, Performance-Einbußen und Verzögerungen hinsichtlich der Bereitstellung von Anwendungen möglich.

Mikrosegmentierung ist dagegen ein nativer Bestandteil der Netzwerkarchitektur und funktioniert ähnlich wie die Server-Virtualisierung: Bei Mikrosegmentierung reproduziert ein “Netzwerk-Hypervisor” die Netzwerkservices von Layer 2 bis Layer 7 auf Software-Ebene. Diese Services können dann binnen Sekunden in beliebiger Kombination zusammengefügt werden, um eine neue Netzwerkkonfiguration zu erhalten. Das physische Netzwerk wird so zu einem Pool mit Datenübertragungskapazitäten. In diesem Whitepaper werden die wesentlichen Merkmale der Mikrosegmentierung generell und die Einsatzmöglichkeiten Basis der VMware NSX-Plattform beschrieben.