PresseBox
Pressemitteilung BoxID: 735272 (Palo Alto Networks GmbH)
  • Palo Alto Networks GmbH
  • Mies-van-der-Rohe-Straße 8
  • 80807 München
  • http://www.paloaltonetworks.com
  • Ansprechpartner
  • Philipp Haberland
  • +49 (163) 2722363

Sicherheit der nächsten Generation: Palo Alto Networks gibt Fitnesstipps für Rechenzentren

Enterprise-Security-Spezialist zeigt in Whitepaper beispielhaft auf, wie sich eine gemischte physische und virtuelle RZ-Umgebung effektiv schützen lässt

(PresseBox) (München , ) Rechenzentren entwickeln sich immer mehr zu einem Mix aus physischen und virtuellen Rechen-, Netzwerk- und Speicherkomponenten. Aktuelle Sicherheitsvorfälle haben gezeigt, dass unabhängig von der Topologie des Rechenzentrums immer wieder Angriffe ausgeführt und Daten extrahiert werden. Die jüngsten Angriffsszenarien bestätigen, dass Rechenzentren nur mithilfe von Firewalls der nächsten Generation und einer effektiven Abwehr fortschrittlicher Bedrohungen geschützt werden können. Palo Alto Networks zeigt, wie Rechenzentren den aktuellen und künftigen Sicherheitsanforderungen gerecht werden können. Die Details sind im Whitepaper "Next-Generation Datacenter Security Implementation Guidelines" nachzulesen.

Um das Bedrohungsrisiko zu mindern, empfiehlt Palo Alto Networks zunächst einige grundlegende Maßnahmen:

1. Bestandsaufnahme im Rechenzentrum: Welche Anwendungen sind vorhanden und kommunizieren miteinander?
2. Prävention gegen bekannte und unbekannte Bedrohungen in spezifischen Anwendungsprozessen im Rechenzentrum einrichten und seitliche Bewegung von Malware verhindern.
3. Zugriff auf Rechenzentrumsanwendungen immer auf Basis von Nutzeranforderungen und Anmeldeinformationen gewähren.
4. Sicherheitsrichtlinien müssen skalierbar sein und mit den dynamischen Veränderungen im Rechenzentrum Schritt halten können.

"Die Umsetzung von Sicherheitsregeln auf Anwendungsebene innerhalb des physischen, virtualisierten oder Hybrid-Rechenzentrums kann die Sicherheitslage im Rechenzentrum verbessern", erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. "Die Komplexität und Variabilität vieler Rechenzentrumsarchitekturen stellt aber auch bestimmte Herausforderungen an die Netzwerkintegration."

Um die Herausforderung der Integration von Next-Generation-Sicherheit ins physische Netzwerk bewältigen zu können, müssen moderne Firewall-Plattformen eine Reihe von Netzwerk-Modi, darunter L2, L3, Virtual Wire und gemischte Modi unterstützen. Aktuelle Lösungen für die Netzwerkvirtualisierungsplattform VMware® NSX™ ermöglichen den Schutz der virtualisierten Umgebung mit anwendungsspezifischen Sicherheitsrichtlinien und erweiterten Threat-Prevention-Funktionen, die identisch mit denen in physischen Geräten sind. Eine zentrale Verwaltung erweitert im Idealfall die Regelkonsistenz auf alle physischen und virtuellen Firewalls in einer RZ-Umgebung.

Die Implementierungstipps von Palo Alto Networks zeigen, wie sich eine Kombination aus Next-Generation-Firewall und fortschrittlicher Bedrohungsabwehr sowohl im physischen Rechenzentrum als auch in einer mit VMware NSX virtualisierten Umgebung einsetzen lässt.

- Skalierbarkeit: Durch den modularen Aufbau einer modernen Firewall-Plattform können Prozessorleistung und Kapazität nach Bedarf hinzugefügt werden, ohne Beeinträchtigung der Verkehrsverarbeitung und mit einer einheitlichen Verwaltung der gesamten Firewall-Plattform. Virtuelle Firewalls, die im Tandem mit Datacenter-Hosts eingesetzt werden, erhöhen linear die Inspektionskapazität, wenn das Cluster wächst.
- Netzwerkintegration: Mit virtuellen Wire-Schnittstellen sind keine Netzwerkprotokolle oder Konfigurationen erforderlich. Virtual Wire stellt einen transparenten Modus bereit durch logisches Bündeln zweier Ports, während uneingeschränkte Inspektion und Überwachung für den gesamten Verkehr möglich ist.
- Zuverlässigkeit: Aktiv/Aktiv-Hochverfügbarkeit sorgt dafür, dass beide Firewalls ständig ihre Konfigurations- und Sitzungsinformationen synchronisieren, so dass im Falle eines Hardwareausfalls kein Datenverkehr verloren geht und die Performance der Lösung sich nicht verschlechtert.
- Vereinfachte Orchestrierung und Verwaltung: Die direkte Integration mit VMware NSX durch vordefinierte APIs hilft bei der Automatisierung der Firewall-Bereitstellung, während Tie-Ins dank einer zentralen Verwaltung sicherstellen, dass die Richtlinien mit der Änderungsrate virtualisierter Workloads Schritt halten können.
- Regelkonsistenz: Ein zentrale Managementkonsole für alle Firewalls, sowohl physische als auch virtuelle sorgt dafür, dass Regeln zentral definiert und konsequent auf allen Geräten angewandt werden können.

Die Aufgaben der einzelnen Komponenten verteilen sich idealerweise wie folgt: Die Firewall-Plattform an den Rechenzentrumsgrenzen sichern den Nord-Süd-Verkehr, der das Rechenzentrum durchquert; die VM-Lösung für NSX-virtualisierte Firewalls sichert den Ost-West-Verkehr; und die Managementkonsole dient als zentralisierte Management- und Reporting-Plattform.

Konkret kann das bedeuten: Zwei für Aktiv/Aktiv-Hochverfügbarkeit konfigurierte Firewalls sind zwischen dem Unternehmensnetzwerk und dem Kern-Rechenzentrum positioniert. Diese Systeme verarbeiten alle Daten, die in das Rechenzentrum kommen oder das Rechenzentrum verlassen, aber nicht den internen Datenverkehr. Ein Virtual-Wire-Interface-Modus ermöglicht eine einfache Implementierung in bestehende Umgebungen.

Eine eigene Instanz der virtuellen Firewall (für NSX) ist auf jedem physischen Host, auf dem VMware läuft, installiert. Die VMware-NSX-Virtualisierungsplattform ist ein integraler Bestandteil für den Schutz virtueller Workloads, da sie komplette L2- und L3-Switching-Funktionalität reproduziert, die von der zugrunde liegenden physischen Hardware entkoppelt ist. NSX hält dann die Firewalls vor und steuert den Datenverkehr zu den lokalen Firewalls für eine detailliertere Analyse basierend auf zentralen Regeln.

Die zentrale Managementkonsole stellt eine einzige Oberfläche für Durchsetzung einer kohärenten, ganzheitlichen Sicherheitspolitik in physischen und virtuellen Firewalls zur Verfügung. Die Konsole kann als virtuelle Appliance oder als dedizierte Appliance eingesetzt werden. Die Managementlösung ist skalierbar entsprechend den Unternehmensanforderungen hinsichtlich Firewall-Stellfläche, -Standort und -Compliance. Sie bietet zudem eine Schnittstelle zur NSX Manager-API, was eine orchestrierte Bereitstellung und dynamische Aktualisierung von Veränderungen in der Umgebung ermöglicht. Konsistente Regeln und eine zentrale Protokollierung sind wesentliche Bestandteile beim Schutz vor bekannten und unbekannten Bedrohungen.

"In der Praxis stoßen wir immer häufiger auf gemischte virtuelle und physische Umgebungen", fasst Thorsten Henning zusammen. "Da dieser Trend anhalten wird, gilt es Konzepte zu entwickeln, die es ermöglichen solche Umgebungen effizient zu schützen."

Palo Alto Networks GmbH

Palo Alto Networks ist das führende Unternehmen in einem neuen Zeitalter von Cybersecurity. Die Lösungen von Palo Alto Networks sichern die Netzwerke Tausender großer Unternehmen, Behörden und Service Provider gegen Risiken ab. Im Gegensatz zu fragmentierten Legacy-Lösungen ist die Security-Plattform von Palo Alto Networks in der Lage, den Geschäftsbetrieb sicher zu ermöglichen. Die Lösungen schützen Systeme basierend auf dem, was in aktuellen dynamischen IT-Umgebungen am wichtigsten ist: Anwendungen, Nutzer und Inhalte.