VMware deckt mit Software-defined Networking via NSX sehr viele Anwendungsfälle ab. VMware hat NSX seit 2012 nach der Übernahme des Startups Nicira im Portfolio. NSX verlagert Netzwerk und Sicherheit näher an die Anwendungen, unabhängig davon, ob die Workloads im eigenen Rechenzentrum, in der Cloud oder bei einem Service Provider laufen. Die Anwendungsfälle sind Sicherheit, Netzwerkvirtualisierung mit Overlay-Technologie von GENEVE, Automatisierung, Container und Multicloud. Im Gegensatz zu anderen Herstellern agiert VMware dabei unabhängig von IP-Adressen, der Netzwerkinfrastruktur oder Agents. Die Kommunikationen von zwei virtuellen Maschinen im gleichen IP-Netzbereich (etwa 10.20.20.0/24) lässt sich daher direkt voneinander am Hypervisor schützen. Für eine virtuelle Maschine wird die Firewallfunktion an jeder einzelnen virtuellen Netzwerkschnittstelle abgebildet.

Schritt in Richtung Zero Trust

Mikrosegmentierung ist ein wichtiger Bestandteil auf dem Weg zum Zero-Trust-Sicherheitsmodell. Vereinfacht ausgedrückt bedeutet Zero Trust: Vertraue keinem Gerät und vertraue keinem Benutzer, unabhängig davon, ob es sich um eine externe oder interne Kommunikation handelt. Der Zugang wird für jeden Benutzer und jedes System ständig neu bewertet und alle Geräte und Benutzeridentitäten durchlaufen eine Multifaktor-Überprüfung. Zero Trust geht aber noch weiter, denn es überwacht, wie sich ein Gerät und ein Benutzer in einem Netzwerk verhalten.

Folgende Fragen müssen Sie stellen: Von welchem Standort aus greift ein Benutzer oder Gerät beispielsweise auf Daten zu? Gilt der Zugriff auf diese Daten als normales Verhalten für diesen Benutzer oder dieses Gerät? Nur wenn die Antworten auf diese Fragen akzeptabel sind, ist der erforderliche Mindestzugang für diese spezifische Aktivität zu gewähren.

Einige grundlegende Prinzipien der Cyberhygiene für Zero Trust sind:

• Härtung und Patching: Halten Sie Ihre Systeme auf dem neuesten Stand und warten Sie diese konsequent. Jedes kritische System, das nicht mehr auf dem neuesten Stand ist, stellt ein erhebliches Sicherheitsrisiko dar.
• Multifaktor-Authentifizierung: Überprüfen Sie Benutzer- und Systemkomponenten mit mehreren Faktoren (nicht nur mit einfachen Passwörtern) unter Einbeziehung des Risikos, das mit dem gewünschten Zugriff oder der Funktion verbunden ist.
• Least Privilege: Erlauben Sie den Benutzern nur den minimal notwendigen Zugriff, um ihre Arbeit auszuführen, und nicht mehr. Systemkomponenten sollten nur die minimal erforderliche Funktion beinhalten.
• Verschlüsselung: Verschlüsseln Sie alle Daten, egal ob sie gespeichert oder übertragen werden. Im Fall einer Datenpanne sollten kritische Dateien nur zu unlesbaren Daten führen.
• Mikrosegmentierung: Unterteilen Sie die gesamte IT-Umgebung in kleinere Teile. Falls ein Teil kompromittiert wird, können Sie den Schaden zudem besser begrenzen.

Grundsätzlich ist die Mikrosegmentierung bei NSX bereits von Anfang an verfügbar. Die initiale Version von NSX vor vSphere (NSX-v) unterstützte ausschließlich vSphere als Hypervisor und beinhaltete keinen Support für die Absicherung von Workloads, die in Containern abgebildet waren. Seit 2017 ist die aktuelle Version NSX-T auf dem Markt und läuft neben ESXi auch auf Bare-Metal-Servern (CentOS Linux, Red Hat Enterprise Linux, Oracle Linux, SUSE Linux Enterprise Server, Ubuntu und Windows Server). Bevor Sie NSX allerdings installieren, sollten Sie zunächst die jeweiligen Versions- und Hardwareanforderungen im Installation Guide von VMware verifizieren.

Die NSX-Mikrosegmentierungsfunktion wird von VMware "Distributed Firewall" genannt. Das "Distributed" ist eine Herleitung von der Hypervisor-basierenden Firewallanwendung, das heißt, es existiert eine Firewall-Engine direkt im ESXi-Host (Bild 1). Die DPI-(Deep Packet Inspection)-Engine bildet das L7-Stateful-Firewall-Feature ab. So kann etwa in einer Policy die TLS-Version 1.3 erlaubt und alle darunter liegenden TLS-Versionen geblockt werden.

Da viele Firmen nicht das komplette Routing inklusive der Overlay-Funktionen von NSX nutzen möchten und die Implementierung in eine bestehende Umgebung nicht ohne weiteres umzusetzen ist, hat VMware seit der NSX-T-Version 3.2, die seit Dezember 2021 verfügbar ist, die Möglichkeit bereitgestellt, die "NSX Distributed Firewall" (DFW) Switch-agnostisch zu konfigurieren. Dies bedeutet einerseits, dass sich die bestehenden Portgruppen eines vSphere-Distributed-Switch (VDS) nutzen lassen, und andererseits, dass über ein NSX-Plug-in im vCenter die Installation und spätere Konfigurationen von NSX möglich sind.

NSX-T 3.1 und frühere NSX-T-Versionen hatten bereits VLAN-basierte ebenso wie Netzwerk-Overlay-basierte Netzwerksegmente für Mikrosegmentierung unterstützt. Workloads, die mit VDS-spezifischen VLAN-Netzwerken (also mit verteilten virtuellen Port-Gruppen) verbunden sind, wurden jedoch nicht direkt für Mikrosegmentierungszwecke unterstützt. NSX-T-Administratoren mussten diese Workloads zunächst in der NSX-Management-GUI auf NSX-VLAN-Segmente migrieren. Sicherheitsteams, die eine verteilte Firewall für VDS-basierte VLAN-Netzwerke bereitstellen, haben die Migration von VDS-Portgruppen zu NSX-VLAN-Segmenten als schwierig empfunden, da der Prozess die Zusammenarbeit mit dem Netzwerkteam als obligatorischen ersten Schritt erforderte, bevor die Sicherheits-Workflows in Angriff genommen werden konnten.

Im zweiten Teil der Workshopserie führen wir Sie durch die Installation des NSX-Managers, erläutern die notwendigen Voraussetzungen in vSphere und zeigen, wie Sie die Distributed Firewall betriebsbereit machen. Im dritten Teil konfigurieren wir die NSX-Firewallregeln im Detail, integrieren erweiterte Sicherheitsfunktionen wie IDPS und erklären, wie sich auch Container-Workloads mit NSX absichern lassen.

Über den Autor: Jörg Rösch arbeitet als Lead Solution Engineer Network & Security bei VMware. Er ist seit mehr als 20 Jahren im Netzwerk- und Sicherheitsbereich aktiv und verfügt über detaillierte Kenntnisse in den Bereichen Konzeptionierung, Architektur, Betrieb, Planung und Implementierung.