VMware vShield Zones
VMware vShield Zones
VMware vShield Zones
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
AUF EINEN BLICK<br />
Mit <strong>VMware</strong>® <strong>vShield</strong> <strong>Zones</strong> wird auch in effizienten und<br />
flexiblen Cloud Computing-Umgebungen gewährleistet,<br />
dass die Sicherheitsrichtlinien und gesetzlichen<br />
Auflagen für Netzwerke eingehalten werden. <strong>VMware</strong><br />
<strong>vShield</strong> <strong>Zones</strong> erstellt logische Zonen im virtuellen<br />
Rechenzentrum, die gemeinsame physische Ressourcen<br />
umfassen. Dabei stellt jede Zone eine individuelle<br />
Vertraulichkeitsstufe dar.<br />
VORTEILE<br />
• Sie erhalten detaillierte Einblicke in die<br />
Netzwerkkommunikation zwischen virtuellen<br />
Maschinen, ohne Datenverkehr an physische<br />
Appliances leiten zu müssen<br />
• Sie vereinfachen die Verwaltung und reduzieren<br />
Richtlinienfehler durch einfache zonenbasierte<br />
Zugriffsregeln<br />
• Sie stellen während des gesamten Lebenszyklus<br />
konsistente Richtlinien für <strong>VMware</strong> VMotion- und<br />
VM-Ereignisse sicher<br />
• Sie können die Sicherheit innerhalb der virtuellen<br />
Infrastruktur unabhängig vom physischen Netzwerk<br />
prüfen<br />
Internet<br />
APP<br />
OS<br />
Virtueller Server<br />
APP<br />
OS<br />
Virtueller Server<br />
<strong>VMware</strong> ESX<br />
Cluster<br />
APP<br />
OS<br />
Virtueller Server<br />
APP<br />
OS<br />
Virtueller Server<br />
<strong>VMware</strong> ESX<br />
VERTRAULICH<br />
KEITSZONE<br />
A<br />
VERTRAULICH<br />
KEITSZONE<br />
B<br />
Erstellen von logischen Vertraulichkeits- und Organisationszonen für<br />
Verbindungen zwischen <strong>VMware</strong> ESX-Hosts und Verbindungen mit dem Internet.<br />
PRODUKTDATENBLATT<br />
<strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong><br />
Richtlinienbasierte Netzwerküberwachung und Durchsetzung von Netzwerkregeln für virtuelle Maschinen<br />
Was ist <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong>?<br />
<strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong> ist eine virtuelle Sicherheits-Appliance zur<br />
Überwachung der Netzwerkaktivität in einer <strong>VMware</strong> vSphere-<br />
Bereitstellung, mit der Sie die Erzwingung bzw. Einhaltung<br />
unternehmensspezifischer Sicherheitsrichtlinien sowie gesetzlicher<br />
Auflagen wie PCI oder Sarbanes-Oxley sicherstellen können.<br />
Für dieses Niveau an Transparenz und Richtlinienerzwingung<br />
musste der Datenverkehr in der Vergangenheit von den <strong>VMware</strong><br />
ESX-Hosts an externe physische Appliances geleitet werden.<br />
Da die Ressourcenpools dabei in kleinere, getrennte Cluster<br />
aufgeteilt werden mussten, wurde die Flexibilität und Effizenz<br />
der gemeinsam genutzten Computing-Pools oder -Clouds durch<br />
diesen Vorgang reduziert. Mit <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong> können<br />
Kunden logische Zonen erstellen, die alle physischen Ressourcen<br />
des virtuellen Rechenzentrums umfassen, sodass unterschiedliche<br />
Stufen an Vertraulichkeit und Datenschutz implementiert werden<br />
können.<br />
Mit <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong> können Kunden folgende Aufgaben<br />
ausführen:<br />
• Einsetzen von Bridges oder Firewalls für VM-Zonen bzw. Isolieren<br />
dieser Zonen basierend auf logischen Vertraulichkeits- oder<br />
Organisationsgrenzen<br />
• Erstellen intuitiver Regeln für den Netzwerkzugriff unter<br />
Verwendung vorhandener <strong>VMware</strong> vCenter-Container<br />
• Erzeugen von Protokollen und Berichten zu zulässigen und<br />
unzulässigen Aktivitäten mithilfe von anwendungsbasierten<br />
Protokollen<br />
• Problemlose Erstellung von präzisen Zugriffsregeln basierend auf<br />
dem überwachten Datenfluss im Netzwerk<br />
Wie wird <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong> im Unternehmen<br />
eingesetzt?<br />
Mit <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong> können Organisationen folgende Ziele<br />
erreichen:<br />
Integrieren der virtualisierten DMZ. Mit <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong><br />
können demilitarisierte Zonen (DMZs) nicht nur virtualisiert<br />
werden, sondern sie können zudem Computing-Ressourcen<br />
gemeinsam mit dem internen Netzwerk verwenden, während<br />
der Internetdatenverkehr weiter strikt von den internen<br />
Servern getrennt bleibt. Wenn die DMZ-Firewall innerhalb der<br />
virtualisierten Umgebung platziert wird, sind keine dedizierten<br />
<strong>VMware</strong> ESX-Hosts für die DMZ erforderlich. Stattdessen können<br />
diese zum Erzielen höherer Verfügbarkeit und Auslastung<br />
innerhalb der gesamten Cloud eingesetzt werden.<br />
Einhalten von PCI-Standards zur Netzwerktrennung<br />
vertraulicher Daten. Gemäß den Standards der PCI (Payment<br />
Card Industry) ist es zum Schutz der Kunden erforderlich, Server,<br />
die für die Verarbeitung von Kreditkartendaten eingesetzt werden,<br />
durch Netzwerksegmentierung strikt von anderen Systemen<br />
zu trennen. <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong> aktiviert Firewall-Richtlinien<br />
zwischen virtuellen Maschinen, die Kreditkartendaten verarbeiten,<br />
und anderen, nicht vertrauenswürdigen Netzwerken und<br />
Maschinen gemäß dem PCI-Standard für die Datensicherheit.
HAUPTMERKMALE<br />
Für den Schutz anderer vertraulicher Daten gelten<br />
vergleichbare gesetzliche Bestimmungen wie HIPAA<br />
und SOX (für personenbezogene Gesundheitsdaten<br />
bzw. Unternehmensbilanzen). Dabei sind Firewalls und<br />
Netzwerksegmentierung wichtige Kontrollelemente, die<br />
über <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong> für die virtuelle Umgebung<br />
bereitgestellt werden können.<br />
Erzwingen der Mehrinstanzisolierung für externe oder<br />
private Clouds. Mit <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong> können isolierte,<br />
eigenständige Rechenzentrumszonen erstellt werden, um<br />
Datenlecks innerhalb des Netzwerks oder Benutzeraktivität<br />
auf mehreren Instanzen zu verhindern, die eine einzige<br />
Cloud-Infrastruktur gemeinsam verwenden. Weiten Sie<br />
die Isolierung auf Hunderte von Instanzen aus, ohne dass<br />
dies zu größerer Netzwerkkomplexität oder höherem<br />
Verwaltungsaufwand durch einzelne virtuelle Switches und<br />
virtuelle LANs (VLANs) führt.<br />
Überwachen des virtuellen Rechenzentrums auf nicht<br />
autorisierten Zugriff. Offene, nicht geschützte interne<br />
Netzwerke ermöglichen die Verbreitung von Malware und<br />
fördern unzulässige Aktivitäten. Mit <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong><br />
kann der Datenverkehr zwischen virtuellen Maschinen<br />
sowie mit dem Internet auf Anwendungsprotokollebene<br />
überwacht und protokolliert werden. Ungewöhnliche<br />
Aktivitätsmuster, die auf Würmer oder nicht autorisierten<br />
Zugriff hinweisen könnten, lassen sich anhand von<br />
grafischen und tabellarischen Berichten ermitteln. Darüber<br />
hinaus können basierend auf spezifischen Datenflüssen im<br />
Netzwerk rasch präzise Sperr-Regeln erstellt werden, die für<br />
einzelne Maschinen oder global angewendet werden.<br />
Wie funktioniert <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong>?<br />
<strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong> vereinfacht die Partitionierung<br />
von <strong>VMware</strong> vSphere-Bereitstellungen in mehrere<br />
sichere und eigenständige Aktivitätszonen, sodass auch in<br />
Rechenzentrumsbereichen mit streng vertraulichen Daten<br />
mittels Virtualisierung eine hohe Effizienz, Auslastung und<br />
Verfügbarkeit erzielt werden kann, ohne Benutzer oder<br />
Daten einem höheren Sicherheitsrisiko auszusetzen bzw.<br />
die Einhaltung von Sicherheitsrichtlinien oder gesetzlichen<br />
Bestimmungen zu gefährden. Mit <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong><br />
werden Netzwerküberwachung und Zugriffsverwaltung in<br />
einem virtualisierungs- und anwendungsorientierten Kontext<br />
dargestellt, sodass Administratoren Zugriffsrichtlinien<br />
definieren können, die sich intuitiv den Grenzen logischer<br />
Vertraulichkeits- oder Organisationszonen innerhalb der<br />
vorhandenen <strong>VMware</strong> vCenter Server-Verwaltungshierarchie<br />
und -Netzwerktopologie zuordnen lassen.<br />
<strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong> umfasst für eine zentrale Verwaltung<br />
von Überwachungs- und Zugriffsrichtlinien innerhalb einer<br />
gesamten Bereitstellung den <strong>VMware</strong> <strong>vShield</strong> Manager sowie<br />
<strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong>-Appliances zur Erzwingung dieser<br />
Richtlinien zur Laufzeit. Der <strong>VMware</strong> <strong>vShield</strong> Manager wird als<br />
virtuelle Appliance bereitgestellt und automatisch in <strong>VMware</strong><br />
vCenter Server integriert, um Richtlinien und Ereignisse im<br />
Kontext der vorhandenen virtuellen Maschinen, Netzwerke,<br />
Hosts und Cluster anzuzeigen.<br />
Virtuelle <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong>-Appliances werden inline<br />
auf den virtuellen Switches der <strong>VMware</strong> ESX-Hosts verteilt<br />
und bereitgestellt, um den Datenverkehr zur Laufzeit<br />
<strong>VMware</strong>, Inc. 3401 Hillview Ave Palo Alto CA 94304 USA Tel 877-486-9273 Fax 650-427-5001 www.vmware.com<br />
<strong>VMware</strong> Global Inc. Zweigniederlassung Deutschland Freisinger Str. 3 85716 Unterschleißheim/Lohhof<br />
Telefon: +49 89 370 617 000 Fax: +49 89 370 617 333 www.vmware.com/de<br />
Copyright © 2009 <strong>VMware</strong>, Inc. Alle Rechte vorbehalten. Dieses Produkt ist durch US-amerikanisches und internationales Copyright und Gesetze zum Schutz des geistigen Eigentums<br />
geschützt. <strong>VMware</strong>-Produkte sind durch eines oder mehrere Patente geschützt, die auf der folgenden Webseite aufgeführt sind: http://www.vmware.com/go/patents.<br />
<strong>VMware</strong> ist eine eingetragene Marke oder Marke der <strong>VMware</strong>, Inc. in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument erwähnten Bezeichnungen und Namen sind<br />
unter Umständen markenrechtlich geschützt. Artikelnr.: VMW_09Q1_DS_vSZ_DE_A4_P2_R2<br />
VMWARE VSHIELD ZONES PRODUKTDATENBLATT<br />
überwachen und die entsprechenden Regeln erzwingen zu können.<br />
Netzwerkaktivität zwischen den Zonen sowie mit externen Bereichen wird<br />
protokolliert und gemäß eines Anwendungsnetzwerkprotokolls klassifiziert.<br />
Zudem werden Pakete inline gefiltert, um nicht zulässige Protokolle<br />
oder einen nicht zulässigen Zugriff zu sperren. Ereignisse werden im<br />
<strong>VMware</strong> <strong>vShield</strong> Manager konsolidiert, in dem die Aktivität des gesamten<br />
Rechenzentrums protokolliert, angezeigt und in Verwaltungslösungen<br />
anderer Anbieter exportiert werden kann.<br />
Hauptmerkmale von <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong><br />
Zentrales Management logischer Zonengrenzen und Segmentierung<br />
• Verwendung vorhandener Container der virtuellen Infrastruktur –<br />
Hosts, virtuelle Switches, VLANs – als logische Vertraulichkeits- oder<br />
Organisationszonen<br />
• Definition von Richtlinien für Bridges, Firewalls oder zur Isolierung des<br />
Netzwerkdatenverkehrs zwischen den Zonengrenzen<br />
• Verwaltung und Bereitstellung von Richtlinien für die gesamte <strong>VMware</strong><br />
vCenter Server-Bereitstellung<br />
• Integration in <strong>VMware</strong> vCenter Server und automatische Bereitstellung in<br />
vorhandenen virtuellen Netzwerken<br />
• Prüfen und Erkennen vorhandener, in virtuellen Maschinen laufender<br />
Anwendungen zur Identifizierung von Anwendungsprotokollen<br />
Erzwingung von Netzwerkrichtlinien und Überwachung des<br />
Datenflusses<br />
• Klassifizierung des Datenverkehrs nach Netzwerk- oder<br />
Anwendungsprotokoll (z.B. HTTP, RDP, SNMP)<br />
• Effiziente Filterung von Datenverkehr mit Stateful Packet Inspection (SPI)<br />
• Nachverfolgung dynamischer Portverbindungen für Protokolle wie FTP<br />
• Nachverfolgung von Netzwerkverbindungen für <strong>VMware</strong> VMotion-<br />
Migrationsereignisse<br />
• Problemlose Erstellung von präzisen Regeln zur Erzwingung von<br />
Netzwerkrichtlinien basierend auf dem überwachten Datenfluss im<br />
Netzwerk<br />
• Überwachung zulässiger und nicht zulässiger Aktivität<br />
Management und Berichte<br />
• Remote-Zugriff auf die webbasierte <strong>vShield</strong> Manager-Schnittstelle über<br />
einen Webbrowser<br />
• Konfiguration von Administratoren in Übereinstimmung mit den<br />
<strong>VMware</strong> vCenter Server-Einstellungen oder Konfiguration individueller<br />
Administratorrechte zur Trennung von Pflichten und Rollen<br />
• Hierarchische Anzeige von Aktivität für einzelne VMs oder VM-Gruppen<br />
und Erzeugung grafischer oder tabellarischer Berichte<br />
• Aufbewahrung von Protokolldaten zu Archivierungs- und Compliance-<br />
Zwecken<br />
• Exportieren von Ereignissen und Daten im syslog-Format<br />
Weitere Informationen<br />
Wenn Sie ein <strong>VMware</strong>-Produkt kaufen möchten oder weitere Informationen<br />
benötigen, setzen Sie sich unter der folgenden Telefonnummer direkt mit<br />
<strong>VMware</strong> in Verbindung: +49 (0)89 370 617 000. Sie können auch unsere<br />
Website unter www.vmware.com/products/vshield-zones/ besuchen<br />
oder online nach einem autorisierten Händler suchen. Ausführliche<br />
Produktspezifikationen und Systemanforderungen finden Sie im<br />
Installations- und Konfigurationshandbuch zu <strong>VMware</strong> <strong>vShield</strong> <strong>Zones</strong>.