Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

29.09.2006

Sicherheit in VMware-Umgebungen

Der Trend zur Virtualisierung hält an. Doch wie sieht es in derartigen Landschaften in puncto Sicherheit aus? Hier offeriert PSP eine interessante Lösung.

Von Dr. Ronald Wiltscheck

Seit 2002 ist Reflex Security bereits im Markt tätig, doch in Deutschland ist das Unternehmen noch weitgehend unbekannt. Aus diesem Grund hat sich der US-amerikanische Sicherheitsanbieter an PSP gewandt, und seit drei Wochen vertreibt der Distributor dessen Sicherheitslösungen in der D-A-CH-Region (Deutschland, Österreich und Schweiz).

Das Intrusion-Detection- und -Prevention-System (IDS, IPS) von Reflex Security schützt VMware-Umgebungen vor Angriffen und agiert dort als eigenständige VMware-Instanz auf einem ESX-Server. Die auf einer gehärteten Linux-Version basierte "Reflex VSA"-Appliance arbeitet sowohl mit Signaturen für bekannte Sicherheitslücken als auch mit einem heuristischen Verfahren. So verspricht der Hersteller, Anomalien in VMware-Umgebungen zu detektieren und entsprechende Gegenmaßnahmen zu ergreifen; "verdächtige" Pakete könnten etwa sofort geblockt.

Die Reflex-Lösung kann sich an so genannte "virtuelle Switches" anhängen und diese dezidiert vor Angriffen schützen. Einzelne VLANs können auf diese Weise kontrolliert werden. Den Datenverkehr zwischen unterschiedlichen virtuellen Instanzen vermag Reflex VSA ebenfalls zu überwachen. Mit Hilfe von frei definierten Filterregeln bietet das System auch einen "Firewall-ähnlichen" Schutz im Inline-Modus.

Darüber hinaus sind externe physikalische Einheiten über Netzwerkkarten des ESX-Servers kontrollierbar. Damit erhält der Systemadministrator ein Werkzeug, mit dem er über eine einzige Managementkonsole sein gesamtes Netzwerk überwachen kann.

Die Preise für Reflex VSA beginnen bei 2.500 Euro. Hierfür erhält man eine Softwareversion für den VMware-ESX-Server mit zwei Prozessoren. Dabei bleibt die Anzahl der zu überwachenden Sensoren theoretisch unbegrenzt. Die auf IBM-Hardware aufsetzenden Appliances sind ab 5.000 Euro erhältlich. Damit können auch Acht-Prozessor-Maschinen geschützt werden.

Erste Kontakte von PSP zu seinen Partnern verliefen recht viel versprechend. "Gleich 60 VMware-Händer haben Interesse an der Reflex-Lösung gezeigt", berichtet Jörg Karpinkski, stellvertretender Geschäftsführer bei PSP. Aus diesen Leads sind bereits acht konkrete Kundenanfragen hervorgegangen, fünf Projekte werden wohl realisiert.