VMware vShield Zones

AUF EINEN BLICK 

Mit VMware® vShield Zones wird auch in effizienten und 

flexiblen Cloud Computing-Umgebungen gewährleistet, 

dass die Sicherheitsrichtlinien und gesetzlichen 

Auflagen für Netzwerke eingehalten werden. VMware 

vShield Zones erstellt logische Zonen im virtuellen 

Rechenzentrum, die gemeinsame physische Ressourcen 

umfassen. Dabei stellt jede Zone eine individuelle 

Vertraulichkeitsstufe dar. 

VORTEILE 

• Sie erhalten detaillierte Einblicke in die 

Netzwerkkommunikation zwischen virtuellen 

Maschinen, ohne Datenverkehr an physische 

Appliances leiten zu müssen 

• Sie vereinfachen die Verwaltung und reduzieren 

Richtlinienfehler durch einfache zonenbasierte 

Zugriffsregeln 

• Sie stellen während des gesamten Lebenszyklus 

konsistente Richtlinien für VMware VMotion- und 

VM-Ereignisse sicher 

• Sie können die Sicherheit innerhalb der virtuellen 

Infrastruktur unabhängig vom physischen Netzwerk 

prüfen 

Internet 

APP 

OS 

Virtueller Server 

APP 

OS 


VMware ESX 

Cluster 

APP 

OS 


APP 

OS 


VMware ESX 

VERTRAULICH 

KEITSZONE 

A 

VERTRAULICH 

KEITSZONE 

B 

Erstellen von logischen Vertraulichkeits- und Organisationszonen für 

Verbindungen zwischen VMware ESX-Hosts und Verbindungen mit dem Internet. 

PRODUKTDATENBLATT 

VMware vShield Zones 

Richtlinienbasierte Netzwerküberwachung und Durchsetzung von Netzwerkregeln für virtuelle Maschinen 

Was ist VMware vShield Zones? 

VMware vShield Zones ist eine virtuelle Sicherheits-Appliance zur 

Überwachung der Netzwerkaktivität in einer VMware vSphere- 

Bereitstellung, mit der Sie die Erzwingung bzw. Einhaltung 

unternehmensspezifischer Sicherheitsrichtlinien sowie gesetzlicher 

Auflagen wie PCI oder Sarbanes-Oxley sicherstellen können. 

Für dieses Niveau an Transparenz und Richtlinienerzwingung 

musste der Datenverkehr in der Vergangenheit von den VMware 

ESX-Hosts an externe physische Appliances geleitet werden. 

Da die Ressourcenpools dabei in kleinere, getrennte Cluster 

aufgeteilt werden mussten, wurde die Flexibilität und Effizenz 

der gemeinsam genutzten Computing-Pools oder -Clouds durch 

diesen Vorgang reduziert. Mit VMware vShield Zones können 

Kunden logische Zonen erstellen, die alle physischen Ressourcen 

des virtuellen Rechenzentrums umfassen, sodass unterschiedliche 

Stufen an Vertraulichkeit und Datenschutz implementiert werden 

können. 

Mit VMware vShield Zones können Kunden folgende Aufgaben 

ausführen: 

• Einsetzen von Bridges oder Firewalls für VM-Zonen bzw. Isolieren 

dieser Zonen basierend auf logischen Vertraulichkeits- oder 

Organisationsgrenzen 

• Erstellen intuitiver Regeln für den Netzwerkzugriff unter 

Verwendung vorhandener VMware vCenter-Container 

• Erzeugen von Protokollen und Berichten zu zulässigen und 

unzulässigen Aktivitäten mithilfe von anwendungsbasierten 

Protokollen 

• Problemlose Erstellung von präzisen Zugriffsregeln basierend auf 

dem überwachten Datenfluss im Netzwerk 

Wie wird VMware vShield Zones im Unternehmen 

eingesetzt? 

Mit VMware vShield Zones können Organisationen folgende Ziele 

erreichen: 

Integrieren der virtualisierten DMZ. Mit VMware vShield Zones 

können demilitarisierte Zonen (DMZs) nicht nur virtualisiert 

werden, sondern sie können zudem Computing-Ressourcen 

gemeinsam mit dem internen Netzwerk verwenden, während 

der Internetdatenverkehr weiter strikt von den internen 

Servern getrennt bleibt. Wenn die DMZ-Firewall innerhalb der 

virtualisierten Umgebung platziert wird, sind keine dedizierten 

VMware ESX-Hosts für die DMZ erforderlich. Stattdessen können 

diese zum Erzielen höherer Verfügbarkeit und Auslastung 

innerhalb der gesamten Cloud eingesetzt werden. 

Einhalten von PCI-Standards zur Netzwerktrennung 

vertraulicher Daten. Gemäß den Standards der PCI (Payment 

Card Industry) ist es zum Schutz der Kunden erforderlich, Server, 

die für die Verarbeitung von Kreditkartendaten eingesetzt werden, 

durch Netzwerksegmentierung strikt von anderen Systemen 

zu trennen. VMware vShield Zones aktiviert Firewall-Richtlinien 

zwischen virtuellen Maschinen, die Kreditkartendaten verarbeiten, 

und anderen, nicht vertrauenswürdigen Netzwerken und 

Maschinen gemäß dem PCI-Standard für die Datensicherheit.

HAUPTMERKMALE 

Für den Schutz anderer vertraulicher Daten gelten 

vergleichbare gesetzliche Bestimmungen wie HIPAA 

und SOX (für personenbezogene Gesundheitsdaten 

bzw. Unternehmensbilanzen). Dabei sind Firewalls und 

Netzwerksegmentierung wichtige Kontrollelemente, die 

über VMware vShield Zones für die virtuelle Umgebung 

bereitgestellt werden können. 

Erzwingen der Mehrinstanzisolierung für externe oder 

private Clouds. Mit VMware vShield Zones können isolierte, 

eigenständige Rechenzentrumszonen erstellt werden, um 

Datenlecks innerhalb des Netzwerks oder Benutzeraktivität 

auf mehreren Instanzen zu verhindern, die eine einzige 

Cloud-Infrastruktur gemeinsam verwenden. Weiten Sie 

die Isolierung auf Hunderte von Instanzen aus, ohne dass 

dies zu größerer Netzwerkkomplexität oder höherem 

Verwaltungsaufwand durch einzelne virtuelle Switches und 

virtuelle LANs (VLANs) führt. 

Überwachen des virtuellen Rechenzentrums auf nicht 

autorisierten Zugriff. Offene, nicht geschützte interne 

Netzwerke ermöglichen die Verbreitung von Malware und 

fördern unzulässige Aktivitäten. Mit VMware vShield Zones 

kann der Datenverkehr zwischen virtuellen Maschinen 

sowie mit dem Internet auf Anwendungsprotokollebene 

überwacht und protokolliert werden. Ungewöhnliche 

Aktivitätsmuster, die auf Würmer oder nicht autorisierten 

Zugriff hinweisen könnten, lassen sich anhand von 

grafischen und tabellarischen Berichten ermitteln. Darüber 

hinaus können basierend auf spezifischen Datenflüssen im 

Netzwerk rasch präzise Sperr-Regeln erstellt werden, die für 

einzelne Maschinen oder global angewendet werden. 

Wie funktioniert VMware vShield Zones? 

VMware vShield Zones vereinfacht die Partitionierung 

von VMware vSphere-Bereitstellungen in mehrere 

sichere und eigenständige Aktivitätszonen, sodass auch in 

Rechenzentrumsbereichen mit streng vertraulichen Daten 

mittels Virtualisierung eine hohe Effizienz, Auslastung und 

Verfügbarkeit erzielt werden kann, ohne Benutzer oder 

Daten einem höheren Sicherheitsrisiko auszusetzen bzw. 

die Einhaltung von Sicherheitsrichtlinien oder gesetzlichen 

Bestimmungen zu gefährden. Mit VMware vShield Zones 

werden Netzwerküberwachung und Zugriffsverwaltung in 

einem virtualisierungs- und anwendungsorientierten Kontext 

dargestellt, sodass Administratoren Zugriffsrichtlinien 

definieren können, die sich intuitiv den Grenzen logischer 

Vertraulichkeits- oder Organisationszonen innerhalb der 

vorhandenen VMware vCenter Server-Verwaltungshierarchie 

und -Netzwerktopologie zuordnen lassen. 

VMware vShield Zones umfasst für eine zentrale Verwaltung 

von Überwachungs- und Zugriffsrichtlinien innerhalb einer 

gesamten Bereitstellung den VMware vShield Manager sowie 

VMware vShield Zones-Appliances zur Erzwingung dieser 

Richtlinien zur Laufzeit. Der VMware vShield Manager wird als 

virtuelle Appliance bereitgestellt und automatisch in VMware 

vCenter Server integriert, um Richtlinien und Ereignisse im 

Kontext der vorhandenen virtuellen Maschinen, Netzwerke, 

Hosts und Cluster anzuzeigen. 

Virtuelle VMware vShield Zones-Appliances werden inline 

auf den virtuellen Switches der VMware ESX-Hosts verteilt 

und bereitgestellt, um den Datenverkehr zur Laufzeit 

VMware, Inc. 3401 Hillview Ave Palo Alto CA 94304 USA Tel 877-486-9273 Fax 650-427-5001 www.vmware.com 

VMware Global Inc. Zweigniederlassung Deutschland Freisinger Str. 3 85716 Unterschleißheim/Lohhof 

Telefon: +49 89 370 617 000 Fax: +49 89 370 617 333 www.vmware.com/de 

Copyright © 2009 VMware, Inc. Alle Rechte vorbehalten. Dieses Produkt ist durch US-amerikanisches und internationales Copyright und Gesetze zum Schutz des geistigen Eigentums 

geschützt. VMware-Produkte sind durch eines oder mehrere Patente geschützt, die auf der folgenden Webseite aufgeführt sind: http://www.vmware.com/go/patents. 

VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument erwähnten Bezeichnungen und Namen sind 

unter Umständen markenrechtlich geschützt. Artikelnr.: VMW_09Q1_DS_vSZ_DE_A4_P2_R2 

VMWARE VSHIELD ZONES PRODUKTDATENBLATT 

überwachen und die entsprechenden Regeln erzwingen zu können. 

Netzwerkaktivität zwischen den Zonen sowie mit externen Bereichen wird 

protokolliert und gemäß eines Anwendungsnetzwerkprotokolls klassifiziert. 

Zudem werden Pakete inline gefiltert, um nicht zulässige Protokolle 

oder einen nicht zulässigen Zugriff zu sperren. Ereignisse werden im 

VMware vShield Manager konsolidiert, in dem die Aktivität des gesamten 

Rechenzentrums protokolliert, angezeigt und in Verwaltungslösungen 

anderer Anbieter exportiert werden kann. 

Hauptmerkmale von VMware vShield Zones 

Zentrales Management logischer Zonengrenzen und Segmentierung 

• Verwendung vorhandener Container der virtuellen Infrastruktur – 

Hosts, virtuelle Switches, VLANs – als logische Vertraulichkeits- oder 

Organisationszonen 

• Definition von Richtlinien für Bridges, Firewalls oder zur Isolierung des 

Netzwerkdatenverkehrs zwischen den Zonengrenzen 

• Verwaltung und Bereitstellung von Richtlinien für die gesamte VMware 

vCenter Server-Bereitstellung 

• Integration in VMware vCenter Server und automatische Bereitstellung in 

vorhandenen virtuellen Netzwerken 

• Prüfen und Erkennen vorhandener, in virtuellen Maschinen laufender 

Anwendungen zur Identifizierung von Anwendungsprotokollen 

Erzwingung von Netzwerkrichtlinien und Überwachung des 

Datenflusses 

• Klassifizierung des Datenverkehrs nach Netzwerk- oder 

Anwendungsprotokoll (z.B. HTTP, RDP, SNMP) 

• Effiziente Filterung von Datenverkehr mit Stateful Packet Inspection (SPI) 

• Nachverfolgung dynamischer Portverbindungen für Protokolle wie FTP 

• Nachverfolgung von Netzwerkverbindungen für VMware VMotion- 

Migrationsereignisse 

• Problemlose Erstellung von präzisen Regeln zur Erzwingung von 

Netzwerkrichtlinien basierend auf dem überwachten Datenfluss im 

Netzwerk 

• Überwachung zulässiger und nicht zulässiger Aktivität 

Management und Berichte 

• Remote-Zugriff auf die webbasierte vShield Manager-Schnittstelle über 

einen Webbrowser 

• Konfiguration von Administratoren in Übereinstimmung mit den 

VMware vCenter Server-Einstellungen oder Konfiguration individueller 

Administratorrechte zur Trennung von Pflichten und Rollen 

• Hierarchische Anzeige von Aktivität für einzelne VMs oder VM-Gruppen 

und Erzeugung grafischer oder tabellarischer Berichte 

• Aufbewahrung von Protokolldaten zu Archivierungs- und Compliance- 

Zwecken 

• Exportieren von Ereignissen und Daten im syslog-Format 

Weitere Informationen 

Wenn Sie ein VMware-Produkt kaufen möchten oder weitere Informationen 

benötigen, setzen Sie sich unter der folgenden Telefonnummer direkt mit 

VMware in Verbindung: +49 (0)89 370 617 000. Sie können auch unsere 

Website unter www.vmware.com/products/vshield-zones/ besuchen 

oder online nach einem autorisierten Händler suchen. Ausführliche 

Produktspezifikationen und Systemanforderungen finden Sie im 

Installations- und Konfigurationshandbuch zu VMware vShield Zones.

VMware vShield Zones

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?