NetApp Tech OnTap
     

Sichere Mandantenfähigkeit ist jetzt noch sicherer

NetApp, Cisco und VMware erweitern die Sicherheit in mandantenfähigen Umgebungen

Egal, ob Sie eine umfangreiche Virtualisierung, eine private Cloud oder eine öffentliche Cloud implementieren – die Sicherheit stellt oft eine echte Herausforderung dar. Cisco, NetApp und VMware haben die Bedeutung der Sicherheit in Shared IT-Infrastrukturen erkannt und arbeiten seit Jahren gemeinsam an Lösungen für diese Problematik.

Vielleicht haben Sie auch vorherige Tech OnTap Artikel zu unserer gemeinsamen Lösung für sichere Mandantenfähigkeit (Secure Multi-Tenancy, SMT) gelesen. Im Januar 2010 schrieb Chris Naddeo von Cisco ausführlich über die Servicequalität (Quality of Service, QoS) dieser Lösung. Einige Monate später widmete sich ein Artikel der Implementierung unserer SMT-Lösung der 1. Generation in
Cloud-Umgebungen gemäß dem detaillierten Cisco Validated Design (CVD)
. Keiner dieser Artikel ging jedoch im Detail auf die Sicherheitsaspekte bei SMT ein.

Nun haben wir knapp ein Jahr nach der ersten Veröffentlichung eine erweiterte SMT-Version entwickelt, die noch mehr Flexibilität, Funktionalität und Sicherheit bietet. In diesem Artikel erläutern wir unsere erweiterte und optimierte Sicherheitsarchitektur für mandantenfähige Umgebungen. Das erweiterte SMT-Design umfasst verschiedene Basiskomponenten sowie optionale Bestandteile, die Sie zur flexiblen Anpassung Ihrer Umgebung an spezifische Sicherheitsanforderungen einsetzen können. Auf die Details dieser Komponenten gehen wir später im Artikel genauer ein.

Das Grundkonzept der SMT-Sicherheit


Das ursprüngliche SMT-Design stützte sich auf vier Säulen:

  • Verfügbarkeit
  • sichere Trennung
  • Service Assurance
  • Service Management

Unsere erweiterte SMT-Architektur behält diese Schwerpunkte bei. Während wir in all diesen Bereichen bedeutende Fortschritte seit der ersten Version erzielt haben, wollen wir uns hier vor allem der sicheren Trennung in mandantenfähigen Umgebungen widmen. Darunter verstehen wir hier Umgebungen, in der die Infrastruktur von mehreren Mandanten gemeinsam genutzt wird, wobei es sich bei diesen Mandanten um separate Kunden, unterschiedliche Geschäftseinheiten, Abteilungen, Applikationen oder sonstige Einheiten mit Bedarf an sicherer Isolation handeln kann.

Die durch die Komponente für sichere Trennung bereitgestellten Services

Abbildung 1) Die durch die Komponente für sichere Trennung bereitgestellten Services

Durch die sichere Trennung wird gewährleistet, dass kein Mandant auf die Ressourcen eines anderen Mandanten zugreifen kann, beispielsweise auf Virtual Machines (VMs), Netzwerke und Storage. Jeder Mandant muss sicher von allen anderen Mandanten getrennt sein.

Die erweiterte SMT-Architektur verhindert, dass ein Mandant auf die Daten eines anderen zugreifen kann. Außerdem stellt sie sicher, dass Mandanten keinen Zugriff auf die administrativen Funktionen der Shared IT-Infrastruktur besitzen. Die zentrale Innovation unseres SMT-Konzeptes und der SMT-Implementierung der 2. Generation ist die Fähigkeit, auf jeder Ebene für sichere Trennung zu sorgen: im Rechensystem, im Netzwerk und im Storage. Andere Lösungen bieten lediglich vereinzelte Isolationsbereiche innerhalb der Infrastruktur, nicht jedoch die vollständige Mandantentrennung.

Zu den wichtigsten Sicherheitsprinzipien dieser Architektur gehören:

  • Isolation: Die Isolation bildet die Grundlage für ein sicheres mandantenfähiges Datacenter. Je nach den genauen Entwurfszielen kann sie durch Firewalls, Zugriffslisten, VLANs, Virtualisierung, Storage und physische Trennung erzielt werden. Eine Kombination dieser Optionen sorgt bei Bedarf für ein angemessenes Maß an Sicherheit für die Applikationen und Services verschiedener Mandanten.
     
  • Richtlinienumsetzung und Zugriffskontrolle: Innerhalb einer mandantenfähigen Umgebung müssen Zugriffskontrolle und Richtlinienumsetzung sorgfältig durchdacht sein. Geräte und Appliances innerhalb jeder Ebene der Architektur können voll ausgeschöpft werden, um komplexe Richtlinien und Zugriffskontrollstufen zur Gewährleistung der sicheren Trennung aller Mandanten zu erstellen.
     
  • Transparenz: Shared IT-Infrastrukturen sind zunehmend flexibel skalierbar, um neue Virtual Machines und Services aufzunehmen. Die Servervirtualisierung und Technologien wie VMotion ermöglichen die Implementierung neuer Server und den Umzug von einem physischen Standort an einen anderen ohne aufwendige manuelle Eingriffe. Wenn diese Systeme verschoben werden und sich die Traffic-Muster ändern, kann dies eine Herausforderung für Sicherheitsadministratoren bei der aktiven Risikoüberwachung darstellen. Diese Architektur schöpft die jeweiligen Funktionen zur Bedrohungserkennung und Risikominimierung einer jeden Ebene des Netzwerks aus, um Alarm-, Daten- und Ereignisinformationen zu sammeln und diese dynamisch zu analysieren und zu korrelieren. So ist es möglich, die Quellen eventueller Angriffe zu identifizieren, die Angriffsmuster zu visualisieren und Reaktionen vorzuschlagen und gegebenenfalls umzusetzen.
     
  • Zuverlässigkeit: Endpunkte, Infrastrukturen und Applikationen innerhalb der mandantenfähigen Umgebung sind geschützt und können Angriffe abwehren, die sonst zu Serviceunterbrechungen, Datenlecks und unberechtigten Zugriffen führen würden. Die Verstärkung der Infrastruktur, Applikationsredundanz und die Implementierung von Firewalls gehören zu den Schritten, die zur Erzielung des gewünschten Grads an Zuverlässigkeit nötig sind.

Die Netzwerk-, Rechen-, Storage- und Managementkomponenten innerhalb dieser Architektur bieten Funktionen und Fähigkeiten, die zusammen das Framework für die sichere Trennung bilden. Abbildung 2 zeigt die in diesem Design genutzte Sicherheitsarchitektur und hebt die funktionalen Aspekte der Lösung, ihre Komponenten und die zugehörigen Sicherheitsfunktionen hervor.

Erweitertes Framework der SMT-Architektur

Abbildung 2) Erweitertes Framework der SMT-Architektur

Der erweiterte SMT-Ansatz bietet Lösungen für die verschiedenen Traffic-Muster innerhalb der Shared IT-Infrastruktur. Die Traffic-Ströme werden logisch in zwei Kategorien aufgeteilt: Ost-West und Nord-Süd. In einem typischen Szenario bietet VMware vShield Sicherheit für den Ost-West-Traffic, während eine Kombination aus Cisco Sicherheitsservices die notwendige Sicherheit für den Nord-Süd-Traffic gewährleistet. Diese Komponenten beschreiben wir später im Detail.

Sicherheit für den Ost-West- bzw. den Nord-Süd-Traffic

Abbildung 3) Sicherheit für den Ost-West- bzw. den Nord-Süd-Traffic

Nord-Süd-Traffic-Ströme sind entweder Ingress- oder Egress-Ströme. In der Regel fließen sie vom Client zum Server. Dieser Traffic durchquert das Datacenter und passiert dabei eine beliebige Anzahl an Services entlang des Pfads, einschließlich Firewalls, Load Balancing, Erkennung von unberechtigten Zugriffen und Netzwerkanalyse. In einer mandantenfähigen Umgebung kann der Traffic zwischen Mandanten auch die Netzwerkdienste der Shared IT-Infrastruktur passieren. Diese Funktionalität ist optimal, da jede Mandantenrichtlinie einheitlich zwischen Mandanten angewendet wird. Die Sicherheitsdienste, denen die Ingress-Egress-Traffic-Ströme im Datacenter ausgesetzt werden, hängen von applikationsspezifischen Anforderungen und den generellen Sicherheitsrichtlinien des Unternehmens ab.

Hier ist besonders zu beachten, wie flexibel diese Architektur ist: ein Sicherheitsarchitekt kann eine beliebige Kombination aus Sicherheitsfunktionen (wie später im Abschnitt zu den erweiterten SMT-Sicherheitsoptionen beschrieben) zur Erstellung von Sicherheitsangeboten nutzen kann. Diese Flexibilität sorgt für umfassende Verteidigung.

Ost-West-Traffic umfasst die Kommunikation zwischen Servern innerhalb des Datacenters. Die Absicherung der Kommunikation zwischen Servern kann eine applikationsbasierte oder eine unternehmensweite Anforderung sein. Typischerweise erfordern Applikationen der Enterprise-Klasse höhere Verfügbarkeit, Skalierbarkeit und/oder mehr Rechenleistung, als eine einzelne Serverinstanz liefern kann. Zur Überwindung dieser Herausforderungen nutzen Applikationsentwickler dedizierte Serverrollen. Jede Rolle ist spezialisiert und hängt von anderen Servern ab. Virtual Machines bieten vollständige Unterstützung dieses Applikationsmodells. Bei SMT können Ströme von Server zu Server zwischen Virtual Machines entweder innerhalb eines einzelnen Mandantencontainers oder zwischen Mandanten auftreten.

Zur Optimierung der Ost-West-Traffic-Muster innerhalb eines virtualisierten Datacenters empfehlen wir die Nutzung einer virtuellen Firewall-Anwendung wie vShield, um die sichere Konnektivität zwischen Virtual Machines zu gewährleisten. Dieser Service unterstützt bei Bedarf die sichere Kommunikation innerhalb eines Mandanten oder zwischen Mandanten. Wenn beispielsweise Mandanten Zugang zu Infrastrukturdiensten wie Active Directory benötigen, die in einem gemeinsam genutzten Infrastrukturmandanten vorgehalten werden, kann eine virtuelle Firewall für sichere Konnektivität der Virtual Machines der Mandanten sorgen.

Basiskomponenten der erweiterten sicheren Mandantenfähigkeit


Die Basisinfrastruktur für SMT umfasst:

  • Cisco Nexus Datacenter Switches
  • Cisco Unified Computing System (Cisco UCS)
  • Cisco Nexus 1000V Distributed Virtual Switch
  • NetApp Storage
  • VMware vSphere
  • VMware vCenter Server

Die für SMT nötige Infrastruktur ist im Prinzip identisch mit der vor kurzem vorgestellten FlexPod Architektur, die in einem weiteren Artikel in dieser Ausgabe von Tech OnTap beschrieben wird. FlexPod bildet eine ausgezeichnete Grundlage für erweiterte sichere Mandantenfähigkeit, bietet SMT jedoch nicht standardmäßig an.

Die erweiterte sichere Mandantenfähigkeit erfordert einige zusätzliche Komponenten, die auf den Basis-Infrastrukturkomponenten aufbauen.

Die VMware vShield Serie an Sicherheitslösungen bietet virtualisierungskompatiblen Schutz für virtuelle Datacenter und Cloud-Umgebungen zur Stärkung der Applikations- und Datensicherheit, zur Verbesserung der Transparenz und Kontrolle sowie zur Beschleunigung der Bemühungen im Rahmen der IT Compliance. Zur vShield Serie gehören:

  • vShield Edge bietet Netzwerk-Edge-Sicherheit und Services zur Trennung der Virtual Machines einer Port-Gruppe vom externen Netzwerk. vShield Edge verbindet isolierte Mandanten-Netzwerke mit gemeinsam genutzten (Uplink-)Netzwerken und bietet gemeinsame Peripherie-Sicherheitsdienste wie DHCP, VPN und NAT.
     
  • vShield App bietet Firewall-Funktionen zwischen Virtual Machines, indem ein Firewall-Filter auf jeden virtuellen Netzwerkadapter aufgesetzt wird. Der Firewall-Filter arbeitet transparent und erfordert keinerlei Netzwerkanpassungen oder Änderungen der IP-Adressen zum Einrichten von Sicherheitszonen. Regeln können mit Hilfe von vCenter Gruppierungen wie Rechenzentren, Cluster, Ressourcenpools und vApps oder Netzwerkobjekten wie Port-Gruppen und VLAN aufgestellt werden, um die Anzahl an Firewall-Regeln zu reduzieren und deren Nachverfolgung zu erleichtern.
     
  • VMware vShield Zones ist eine zentral verwaltete, statusorientierte, verteilte, virtuelle Firewall, die zusammen mit vSphere 4.1 die ESXi Host-Nähe und virtuelle Netzwerktransparenz nutzt, um Sicherheitszonen zu erstellen. Durch Einsatz verschiedener logischer VMware Container ist es möglich, die Zahl an erforderlichen Regeln zur Sicherung einer mandantenfähigen Umgebung deutlich zu senken und so die Isolation und Segmentierung von Mandanten und Applikationen deutlich zu vereinfachen. Diese neue Methode zur Erstellung von Sicherheitsrichtlinien ergänzt sich nahtlos mit den VMware Virtual Machine-Objekten und folgt somit den VMs während VMotion.

    vShield Zones dient nicht nur als Endpunkt und Asset-kompatible Firewall, sondern umfasst auch virtuelle Netzwerk-Berichtsfunktionen für Mikroströme, die entscheidend für das Verständnis und die Überwachung der virtuellen Traffic-Ströme sind, und implementiert Zoning-Richtlinien basierend auf den umfassenden Informationen, die den Sicherheits- und Netzwerkadministratoren zur Verfügung stehen.
     
  • Die Stromüberwachungsfunktion stellt zugelassene und verhinderte Netzwerkströme in der Granularität von Applikationsprotokollen dar. Dies kann zur Überprüfung des Netzwerk-Traffic und als operatives Werkzeug zur Fehlersuche eingesetzt werden.

Cisco Nexus 1000V: Obwohl der Cisco Nexus 1000V Switch eine standardmäßige FlexPod Komponente ist, erwähnen wir ihn an dieser Stelle aufgrund seiner Sicherheitsmerkmale ausdrücklich mit. Cisco Nexus 1000V ist ein Software Switch auf einem Server, der Cisco VN-Link Services für auf diesem Server gehostete Virtual Machines liefert. Er nutzt die Vorteile des VMware vSphere Framework und bietet eine enge Integration zwischen Server- und Netzwerkumgebungen. Außerdem sorgt er für konsistente, richtlinienbasierte Netzwerkfunktionen für alle Server im Datacenter. Er ermöglicht es, eine Richtlinie zusammen mit einer Virtual Machine während der Live-Migration zu verschieben, gewährleistet dabei die dauerhafte Netzwerk-, Sicherheits- und Storage-Compliance und sorgt somit für bessere Business Continuance, optimales Performance Management und durchgängige Sicherheits-Compliance.

Mit steigender Datacenter-Flexibilität wird es für Sicherheitsadministratoren immer schwieriger, Gefahren innerhalb der Infrastruktur zu überwachen. Aufgrund dieser Problematik unterstützt der Cisco Nexus 1000V Virtual Distributed Switch die Überwachung mittels NetFlow, Switch Port Analyzer (SPAN) und Encapsulated Remote SPAN (ERSPAN). Dank dieser Funktionen kann Cisco Nexus 1000V die Daten der VM Traffic-Ströme von der virtuellen Umgebung in herkömmliche externe Analyseanwendungen oder fortschrittliche virtuelle Service Blades exportieren. In jedem Fall bietet Cisco Nexus 1000V mehr Transparenz für Sicherheitsteams bei der Erkennung von Gefahrenquellen, bei der Visualisierung von Angriffspfaden und letztendlich bei der Reaktion auf Angriffe.

Die Cisco Nexus 1010 Virtual Services Appliance hostet das Cisco Nexus 1000V Virtual Supervisor Module (VSM) und unterstützt das Cisco Nexus 1000V Network Analysis Module (NAM) Virtual Service Blade, um damit eine umfassende Lösung für virtuelle Zugriffs-Switches zu liefern. Cisco Nexus 1010 bietet dedizierte Hardware für das VSM, wodurch die Implementierung der virtuellen Zugriffs-Switches vereinfacht und gleichzeitig die Performance und betriebliche Effizienz gesteigert wird.

NetApp MultiStore ermöglicht die Erstellung separater und vollständig privater logischer Partitionen auf einem einzigen NetApp Storage-System in getrennten administrativen Domänen, genannt vFiler Einheiten. Diese vFiler Einheiten haben den Effekt, dass ein einzelner physischer Storage Controller wie zahlreiche logische Controller wirkt. Jede vFiler Einheit kann individuell mit verschiedenen Sets an Performance- und Richtlinieneinstellungen verwaltet werden. Mit MultiStore können sich auch mehrere Kunden dieselben Storage-Ressourcen teilen – praktisch ohne Kompromisse in Sachen Privatsphäre und Sicherheit. Die administrative Steuerung der virtuellen Storage-Container kann sogar direkt an den Kunden delegiert werden. MultiStore war Thema eines kürzlich veröffentlichten Tech OnTap Artikels.

Sicherheitsoptionen bei erweiterter SMT


Neben den im vorherigen Abschnitt beschriebenen Standardkomponenten stehen eine Reihe von sicherheitsbezogenen optionalen Komponenten zur Wahl, damit Sie gezielt bestimmte Sicherheitsanforderungen erfüllen können.

VMware vCloud Director (VCD) baut auf VMware vSphere auf und gibt virtualisierte Shared IT-Infrastrukturen als mandantenfähige virtuelle Datacenter frei, die vollständig von der zugrunde liegenden Hardware entkoppelt sind. Das heißt, Sie können mit dieser Technologie standardisierte IT-Services auf einer Shared IT-Infrastruktur über einen webbasierten Katalog anbieten. vCloud Director war Thema eines weiteren kürzlich erschienenen Tech OnTap Artikels.

Die Plattform Cisco Catalyst 6500 Series Virtual Switching System (VSS) 1440 unterstützt vollständig die Nutzung der integrierten Cisco Servicemodule wie zum Beispiel der Cisco Application Control Engine (ACE), des Firewall Services Module und des Network Analysis Module. Cisco Catalyst VSS wird als netzwerkbasierte Service-Plattform in der erweiterten Architektur für sichere Mandantenfähigkeit genutzt.

Cisco Firewall Services bieten statusorientierte Firewall-Funktionen innerhalb der SMT-Architektur. Als integriertes Modul oder dedizierte Appliance kann der virtuelle Cisco Firewall-Sicherheitskontext transparent auf der Netzwerkebene der 2. oder 3. Schicht eingeführt werden. Bei beiden Implementierungen werden die mit jedem virtuellen Firewall-Kontext verbundenen Sicherheitsrichtlinien konsistent zum Schutz der zugehörigen Netzwerke angewendet.

Das Cisco Application Control Engine (ACE) Modul und Applikationsplattformen sorgen für den Serverlastausgleich, die Netzwerk-Traffic-Kontrolle, Service-Redundanz, das Ressourcen-Management, Verschlüsselung und Sicherheit sowie die Beschleunigung und Optimierung von Applikationen – all das innerhalb einer einzigen Netzwerkanwendung. Die Cisco ACE Technologien liefern dem Datacenter Verfügbarkeit auf Serviceebene für Anwendungen und Netzwerke, Skalierbarkeit und Sicherheitsfunktionen.

Cisco ACE bietet die folgenden Services auf Anwendungsebene:

  • physische Redundanz mit Failover-Funktionen
  • Skalierbarkeit durch Virtualisierung, sodass ACE Ressourcen logisch partitioniert und zugewiesen werden können, um spezifische Mandanten-Serviceanforderungen zu erfüllen
  • Sicherheitsdienste einschließlich ACL und Transportverschlüsselung (SSL/TLS) zwischen dem virtuellen ACE Kontext, den Clients und der zugehörigen Server Farm

Anwendungen des Cisco Intrusion Prevention System (IPS) sind Netzwerksensoren, die in Ihrer gesamten Infrastruktur als einfach austauschbare Netzwerk-Analyseanwendungen oder Inline-Abwehrsysteme verteilt werden können. Die Cisco IPS Sensoren schützen Ihr System, indem netzwerkbasierte Bedrohungen erkannt, klassifiziert und blockiert werden, und zwar unter Verwendung der Angriffssignaturen von Würmern, Viren und anderen schädlichen Szenarien. Dieser Prozess erfolgt pro Verbindung und gestattet somit den ungehinderten Fluss des zugelassenen Traffic.

Das Cisco Network Analysis Module (NAM) ist in verschiedenen Varianten erhältlich:

  • integriertes Service-Modul für die Cisco Catalyst 6500 Switch-Plattform
  • physische Appliance mit Unterstützung für mehrere Gigabit oder 10 Gigabit Ethernet
  • virtuelles Service Blade für Cisco Nexus 1000V Implementierungen

Unabhängig vom Modell bietet NAM strombasierte Traffic-Analysen für Applikationen, Hosts und Konversationen, außerdem performancebasierte Messungen der Applikations-, Server- und Netzwerklatenz sowie Leistungskennzahlen für netzwerkbasierte Services und Problemanalysen mittels tiefgehender, aufschlussreicher Paketerfassungen. Cisco NAM umfasst eine eingebettete, webbasierte GUI zur Traffic-Analyse, über die sich im Handumdrehen die Konfigurationsmenüs und übersichtliche Performance-Berichte im Web für verschiedene Service- und Traffic-Arten aufrufen lassen. Die Cisco NAM Produktreihe verbessert Transparenz und Performance-Überwachung für die zahlreichen physischen und virtuellen Schichten innerhalb Ihrer Infrastruktur.

Cisco Security Manager ist eine Management-Applikation der Enterprise-Klasse und wurde zur Konfiguration der Sicherheitsdienste für die Firewall, das VPN und das Abwehrsystem (IPS) auf Cisco Netzwerken und Sicherheitsanwendungen entwickelt.

Schlussfolgerung

Zwar konnten wir hier die umfangreichen Funktionen unserer erweiterten SMT-Architektur nur grob umreißen, doch wir hoffen, dass Ihnen diese Einführung einen nützlichen Überblick gegeben hat. Weitere Informationen zur sicheren Mandantentrennung sowie zu neuen und verbesserten Funktionen für die anderen Pfeiler – Verfügbarkeit, Service Assurance und Service Management – finden Sie in unserem ausführlichen Design-Leitfaden. (Beachten Sie, dass dieser Leitfaden die erweiterte SMT als ESMT bezeichnet – dies ist dasselbe.) Dieser 140-seitige Leitfaden behandelt jeden einzelnen Aspekt der SMT-Architektur und -Implementierung.

NetApp Community
 Ihre Meinung zur erweiterten SMT?

Stellen Sie Fragen, tauschen Sie Ideen aus und teilen Sie Ihre Meinung mit der NetApp Community!

Chris O'Brien

Chris O'Brien
Solutions Architect
Cisco

Chris entwirft die neuesten Datacenter-Technologien in der Systems Architecture & Strategy Group bei Cisco. Momentan widmet er sich der Designvalidierung für Datacenter und der Applikationsoptimierung. Zuvor arbeitete Chris als Applikationsentwickler. Er ist bereits seit über 15 Jahren in der IT-Branche tätig.

David Klem

David Klem
Referenzarchitekt
NetApp

David Klem kam 2005 zu NetApp und wurde Mitglied des Teams, das den NetApp Kilo Client entwickelte, eine interne Cloud mit 1.700 Knoten, die von NetApp Engineering verwendet wird. Heute ist er Teil des NetApp Infrastructure and Cloud Enablement Teams, das Best Practices und Lösungen für Cloud-basierte Architekturen entwickelt. Vor seiner Tätigkeit bei NetApp war David sechs Jahre lang bei Cisco tätig, wo er an der Cisco Catalyst Switch-Plattform arbeitete.

 
Weitere Infos