Im März 2022 habe ich in einem Beitrag auf den zunehmenden Bedarf an Mikrosegmentierung in Rechenzentren hingewiesen. Die diesbezügliche Nachfrage hält wie erwartet an. Schließlich ist die Bestrebung, bei Angriffen die Auswirkungen möglichst zu begrenzen, allen RZ-Betreibern gemeinsam. Mikrosegmentierung ist das Mittel dazu. Kurz gefasst lässt man mit Mikrosegmentierung nur Kommunikation zu, die erforderlich ist.
Ich möchte hier darauf eingehen, dass es dazu verschiedene Varianten gibt:
- Agentenbasierende Lösungen
- Hardware-basierende Mikrosegmentierung (mit Switches von Cisco und HPE möglich)
- NSX (VMware)
- Klassische Firewalls
Agentenbasierende Lösungen
Agentenbasierende Lösungen erfordern ein Stück Software (den Agenten) auf einem Computer mit einem bestimmten Betriebssystem. Mittels zentraler Richtlinien kann bestimmt werden, welche Kommunikationsbeziehungen zulässig sind. Eine solche Lösung, zum Beispiel Cisco Secure Workload (früher: Tetration), ist mit folgenden Vorteilen verbunden:
- Sie ist beliebig granular, d.h. bis zum absoluten Zero-Trust-Ansatz möglich.
- Sie rückt die Verteidigungslinie näher zum geschützten Objekt, Zero Trust pur.
Das Verfahren hat jedoch auch Nachteile:
Bei jedem Update des Betriebssystems oder des Agenten gibt es die bange Frage, ob Agent oder gar das ganze Betriebssystem versagen wird.
Man muss so viele verschiedene Agenten pflegen, wie man Betriebssysteme hat.
Hardware-basierende Lösungen
Die Hardware-basierende Mikrosegmentierung, zum Beispiel mit Cisco ACI oder HPE Aruba CX 10000 (mit einer Lösung von Pensando), hat folgende Vorteile:
- Sie ist für physische Server nutzbar.
- Sie ist unabhängig vom Hypervisor für virtuelle Maschinen nutzbar.
Das Verfahren hat folgende Nachteile:
Es entsteht eine Abhängigkeit von einem proprietären Netzdesign eines Hardware-Herstellers.
VMware schränkt zumindest bei der Cisco-ACI-Lösung den Support ein.
Die Hardware-basierende Mikrosegmentierung schränkt die Auswahl bei RZ-Switches ein und ist in der Regel mit höheren Kosten im Vergleich zum konventionellen RZ-Netzdesign verbunden.
NSX von VMware
VMware NSX ermöglicht die Bildung von VM-Gruppen, für die sich Kommunikationsregeln vorgeben lassen. Die Lösung hat folgende Vorteile:
- Sie ist mit der weitverbreiteten Servervirtualisierung vSphere effizient zu kombinieren.
- Sie erfordert keinen Einsatz von Switches bestimmter Hersteller.
Mit VMware NSX sind folgende Nachteile verbunden:
- Das Verfahren ist für physische Server nicht anwendbar.
- Das Verfahren ist für andere Hypervisor als vSphere nicht anwendbar.
- VMware NSX ist mit einer Abhängigkeit von VMware verbunden.
Klassische Firewalls
Die Nutzung klassischer Firewalls für RZ-Segmentierung hat folgende Vorteile:
- Sie ist für physische und virtuelle Server anwendbar.
- Sie erfordert keinen Einsatz von Switches bestimmter Hersteller.
- Sie erfordert keinen Einsatz eines bestimmten Hypervisors.
- Klassische Firewalls haben im Vergleich zu Switch- und Hypervisor-Lösungen für Segmentierung einen größeren Funktionsumfang.
Die Nutzung klassischer Firewalls für RZ-Segmentierung ist mit folgenden Nachteilen verbunden:
- Das Verfahren ist nur bei Zuordnung der zu trennenden Segmente zu unterschiedlichen IP-Adressbereichen möglich.
- Die Administration von Segmentierungs- und Firewall-Regeln muss separat von der Administration der virtuellen Maschinen erfolgen.
Fazit
Wer die Wahl hat, hat auch die Qual. Unabhängig von der getroffenen Wahl ist die Einführung der Mikrosegmentierung kein Selbstläufer. Sie ist mit Arbeit verbunden, und das nicht nur einmalig. Viele Prozesse in Zusammenhang mit der Inbetriebnahme und dem Betrieb von RZ-Ressourcen werden von der Mikrosegmentierung betroffen sein.
