Virtualisierung trifft auf Firewalls

Es ist der IT-Mega-Trend schlechthin. Die Rede ist von der Virtualisierung. Vmware, Xen und Konsorten konsolidieren die System- und Server-Landschaften, VLANs virtualisieren schon länger Netzwerke, SANs sind im Storage-Bereich kaum mehr wegzudenken und IBM berieselt uns täglich mit ihrer heilenden Virtualisierungs-Welt.



Doch wie sieht es eigentlich bei den Firewalls aus? Um es vorweg zu nehmen: Hier geht es um einiges ruhiger zu. Kaum ein Hersteller greift dieses Thema gross raus, obwohl schon seit Jahren auch Firewalls virtualisiert werden. In der Firewall-Welt ist dieses Thema nicht neu. Schon vor Jahren haben Internet Service Provider, Managed Security Service Provider und Hosting Provider damit begonnen, ihre Firewall-Dienste zu virtualisieren. Der Grund: Es zahlte sich viel mehr aus, ein grösseres, hoch verfügbares Firewall-System aufzubauen, um dieses dann für die einzelnen Kunden zu virtualisieren. Es musste nicht für jeden neuen Kunden ein dediziertes System beschafft werden. Praktisch auf Knopfdruck konnte der Anbieter dem Kunden auf diese Weise einen Managed-Firewall-Service anbieten.

Das ist auch heute noch so. Doch heute sind die Grundvoraussetzungen nicht mehr die selben. Im Zuge des sich durchsetzenden Unified-Threat-Management-Ansatzes (UTM), bei dem mehrere Sicherheitsfunktionen in die Firewall integriert wurden, müssen diese ebenfalls virtualisiert werden können. Das sind beispielsweise Intrusion Prevention und Detection, Antivirus- und Webfilter-Funktionen. Doch damit nicht genug: Virtuelle Router und Netzwerk-Interfaces über VLANs müssen ebenfalls unterstützt werden. Das ist etwas, was längst nicht alle Hersteller durchgängig können.

Früher reichte die Virtualisierung von Stateful Inspection Firewalling und VPN-Funktionen. Der Grund für die Firewall-Virtualisierung, aber auch für die Integration von mehreren Sicherheitsfunktionen liegt auf der Hand. Konsolidieren, konsolidieren und nochmals konsolidieren. Das spart Kosten und schafft freie Ressourcen. Unvorstellbar noch vor ein paar Jahren, als alles schön getrennt auf dedizierten physischen Systemen laufen musste. Ich kann mich gut erinnern als in endlosen Gesprächen debattiert wurde, ob nun VPN-Funktionen auf einer Firewall laufen dürfen oder nicht. Heute diskutiert niemand mehr darüber. Damals ging es nicht mal um die Virtualisierung, sondern nur schon darum, ob der Firewall nun auch noch VPN-Funkionen zugemutet werden können.


Der Virtualisierungs-Trend im Bereich Firewalling wird neben den Service-Providern auch bei Firmen vermehrt ein Thema werden. Beschleunigt wird dies durch den immer stärkeren Einsatz von internen Firewalls im LAN einer Firma. Immer häufiger werden Gigabit-Firewall-Systeme auch im Herzen eines LANs oder an wichtigen Übergängen positioniert. Hier ist denn auch die Firewall-Virtualisierung von UTM-Funktionen, Netzwerk-Interfaces und Routern gefragt. Die Virtualisierung dieser Funktionen ermöglicht erst die dazu benötigte Flexibilität. So lässt sich beispielsweise eine hoch verfügbare virtualisierte Firewall im Transparent Mode (Layer2) und parallel eine virtuelle Firewall im NAT/Route Mode (Layer3) betreiben, wobei jede eine unterschiedliche Aufgabe wahrnimmt. Physisch ist es aber ein System. Kombiniert mit VLAN-Switches lassen sich so ganze Sicherheitszonen virtuell abbilden. Das zahlt sich finanziell schnell aus und lässt sich einfach belegen. Bei Bedarf können virtuelle Firewalls von unterschiedlichen Administratoren betreut werden.


Natürlich bringt die Virtualisierung von Firewalls auch Sicherheitsrisiken mit sich. Virtualisierte Umgebungen verfügen unter Umständen über eine höhere Komplexität, die zum Sicherheitsrisiko werden kann. Das darf und soll nicht ausser Acht gelassen werden. Doch die Probleme sind meist organisatorisch und keinesfalls unlösbar.