Virtualisierung macht auch vor dem Netzwerk nicht Halt und immer mehr Komponenten aus dem Bereich der klassischen Hardware gibt es als virtuelle Systeme. Insbesondere durch vmwares NSX wandern mehr und mehr Netzwerkfunktionen in die virtuelle Welt. Dies haben auch die Hersteller von Netzwerkkomponenten erkannt und bieten ihrerseits immer mehr ihrer Produkte alternativ als VM an. Zudem ist die Verwendung von NFV ein sehr guter Ansatz um den Empfehlungen des BSI zur Segmentierung des Netzwerks und zum allgemeinen Schutz vor Cyber Attacken nachzukommen.
Die Komplexität von IT Infrastrukturen nimmt immer weiter zu und macht es für die Administratoren dadurch immer schwieriger den Überblick zu behalten. Dies hat sehr oft zur Folge, dass die potentielle Angriffsfläche für einen erfolgreiche Cyber Attacke viel größer ist, als diese sein müsste. Hier ist es notwendig die eigenen Konzepte neu zu überdenken, Systeme zu konsolidieren und gleichzeitig auch noch Kosten zu senken. Dieser Artikel richtet sich an den kleineren Mittelstand, die ebenso wie die größeren Unternehmen von den aktuelle und vor allem von den noch kommenden Cyber Attacken bedroht sind. Der Unterschied zwischen kleineren Mittelstand und den größeren Unternehmen besteht meist darin, dass ein deutlich geringeres IT Budget im Mittelstand zur Verfügung steht, als es eigentlich sein müsste um das auch dort benötigte Schutzniveau zu erreichen. Trotzdem steht die Forderung des BSI im Raum, das Netzwerk zu segmentieren und weitere Schutzmaßnahmen vor Cyber Angriffen zu ergreifen. Eine Orientierung am IT Grundschutz ist hier jedem zu empfehlen. Aber genau hier kann die Virtualisierung von Netzwerkfunktionen helfen um einen deutlich besseren Schutz zur Verfügung zu stellen. Natürlich haben virtuelle Netzwerkkomponenten einzeln betrachtet nicht die Leistung die durch spezielle Prozessoren in diesem Bereich erreicht werden und können sich mit den Leistungen diese Hardwaresysteme und ihren ASIC’s bzw. FPGA’s nicht messen. Die Frage ist aber, müssen sie dies auch in kleinen Umgebungen oder reicht die zur Verfügung stehende Leistung virtueller Netzwerkkomponenten nicht einfach aus? In sehr großen Umgebungen spielt Hardware mit ASIC Beschleunigung wiederum keine Rolle, denn hier liegt es an der schieren Masse der in Software abgebildeten Netzwerkfunktionen die zur Verfügung steht und damit ausreichend Leistung bereitstehen, die mit Hardware in der Gesamtbetrachtung von Flexibilität, Effektivität und Kosten nicht abzubilden ist. Ein Beispiel für NFV und den technischen Möglichkeiten ist Google’s Projekt Espresso.
Bei einer klassischen Client-Server Architektur bietet es sich an, dass Routing zwischen den Segmenten auf die virtuelle Infrastruktur auszulagern, insbesondere dann, wenn die Netzwerkkomponenten diese Funktion nicht erfüllen. Besonders in kleineren Umgebungen stehen Layer-3 Funktionalitäten häufig gar nicht erst zur Verfügung oder sie benötigen eine weitere kostenpflichtige Lizenz. Zudem bietet ein Core Switch mit einfacher Routing Funktion auch nicht den Schutz und die Kontrolle über die Daten zwischen den Segmenten und scheidet somit auch aus. Aber gerade diese Kontrolle ist nötig im sich gegen Schadcode wie WannaCry, NotPetya und vor allem ihren Nachfolgern zu schützen. Da die jüngsten Cyber Attacken so erfolgreich waren und beide eine Kombination aus Wurm und Ransomware eingesetzt haben, lernen natürlich die Kriminellen die hinter den Angriffen stehen, was sie in Zukunft noch besser ausnützen können. Es war eigentlich auch nur eine Frage der Zeit, diese beiden Angriffsvektoren zu kombinieren. Eine Komponente sorgt für die Verbreitung innerhalb einer Infrastruktur, so wie der Schadcode auf einem System aktiv wird und die andere Komponente richtet den Schaden an sich an. Jetzt ist es nur noch eine Frage der Zeit, bis die nächste Welle dieser hybriden Cyber Angriffen auf uns alle zukommt.
Gegen eine ungehinderte Verbreitung im eigenen Netzwerk hilft vor allem eine geeignete Segmentierung und was sehr wünschenswert ist, eine Inspektion der Daten zwischen den Segmenten um schon an dieser Stelle aktiv eingreifen zu können, wenn es zu Auffälligkeiten kommt. In kleineren Umgebungen braucht es in den aller meisten Fällen nur eine Kommunikation der Clients mit den Serversystemen. Daher bietet sich hier der Ansatz von NFV an, um mit den vorhandenen Systemen und nur durch die Erweiterung der virtuellen Umgebung einen deutlichen Mehrwert der Sicherheit erreichen zu können. Der erste Schritt für mehr IT Sicherheit ist das Segmentieren und dann auch die Segmente gegeneinander abzuschotten. Hier sind oft einfache Regeln schon ausreichend, die nur Netzwerkverkehr zwischen den Clients und den Servern zulassen und den Netzwerkverkehr zwischen den verschiedenen Client Segmenten unterbinden. Eine weitere Schutzschicht bildet die Hostfirewall auf den Clients, die dann dafür sorgt, dass Verbindungen zwischen den Clients innerhalb eines Segments unterbunden werden. Zum Schutz der virtuellen Server stellt vmware mit NSX ein sehr mächtiges Werkzeug zur Verfügung. Mit NSX stehen dann Schnittstellen bereit um weitere Sicherheitsebenen einzuführen. Diese reichen dann von normalen Firewall Regeln bis hin zur Integration von virtuellen Fortigate Systemen und Schutzsoftware, wie zum Beispiel einer Deep Security von Trendmicro.
So lassen sich durch das Einbringen von virtuellen Systemen für Netzwerk- und Sicherheitsfunktionen zusätzliche Sicherheitsebenen dem Cyber Security Konzept hinzufügen die gegenüber Hardware unter diesen Rahmenbedingungen ein besseres Kosten/Nutzen Verhältnis aufweisen. Der allerwichtigste Schritt ist aber die Segmentierung an sich. Wer aktuell dafür kein ausreichendes Budget zur Verfügung hat, um zum Beispiel neue Hardware oder auch kommerzielle virtuellen Systeme anzuschaffen, sollte einen Blick in die NFV Komponenten auf OpenSource Basis werfen. Diese bieten zwar keine Funktionen wie IPS, AppCtrl oder Flow-Based AV, wie sie durch eine virtuelle oder physikalische Fortigate zur Verfügung stehen, aber es lässt sich zumindest eine grundlegende Trennung der Segmente mit zumindest einer Stateful Firewall erreichen.
Das Ziel muss sein, dass Netzwerk zu segmentieren, wie es auch durch das BSI dringend empfohlen wird. Die Segmentierung bzw. Mikrosegmentierung ist derzeit alternativlos um vorbeugend gegen die aktuellen und kommenden Cyber Angriffe eine der Basismaßnahmen zu ergreifen. Dabei darf man es aber nicht belassen, denn zu einem umfassenden Security Konzept gehören auch mehrere Ebene die nur zusammen einen effektiven Schutz bieten. Vor allem müssen diese Security Layer auch immer wieder an die neuen Rahmenbedingungen angepasst werden. Security ist kein statischer Zustand, sondern ein stetiger Prozess.
Wenn Sie Fragen zum Thema haben, dann kontaktieren Sie unser Security Team per Mail.