Effizienz im Datacenter
Virtualisierung ist Kerntechnologie
Fortsetzung des Artikels von Teil 3
HV und IT-Sicherheit nicht vergessen
Oft vergessen oder vernachlässigt werden im Datacenter die Maßnahmen und Kosten, die zur Absicherung (Hochverfügbarkeit und IT-Sicherheit) der zusätzlich zu etablierenden logischen Verbindungs- und Ausführungsschicht anfallen. Über sie wird die flexible, dynamische Zuordnung von Server- und Speicherkapazitäten getroffen und abgewickelt. So reichen innerhalb virtualisierter IT-Installationen HV-Auslegungen mit Hot-Stand-by und Festplattenspiegelung nicht mehr aus. Sie stellen nur die Basisverfügbarkeit der physischen Instanzen sicher. Funktionen wie HV-Auslegung, Hot-Stand-by, Festplattenspiegelung und Load-Balancing sollte dennoch, wie bei Red Hats Enterprise-Linux, integrierter und kostenfreier Bestandteil des Server-Betriebssystems sein. Dadurch umgeht das Datacenter bereits für die Basis-Hochverfügbarkeit unnötige Mehrkosten und -aufwendungen.
Das gilt auch für die Basis-Sicherheit des physischen Betriebssystems. Bei Red Hats Enterprise-Linux ist »SELinux« (Security-Enhanced-Linux) fester und kostenfreier Bestandteil des Open-Source-Betriebssystems. Ein integrierter Zugriffskontrollschirm legt sich um dedizierte Sicherheitsräume der Betriebssoftware. Je nach Ablaufsensibilität können den einzelnen Prozess-/Sicherheitsräumen für die Zugriffskontrolle unterschiedliche Schutzstufen zugeordnet werden. Dieser kombinierte Schutzmantel rund um Linux erschwert es internen wie externen Angreifern, bis zum physischen Betriebssystem vorzudringen und hier zu attackieren. Anders bei proprietären Betriebssystemen. Hier lassen sich die Hersteller nicht nur die Betriebssoftware, sondern auch den Sicherheitsmantel um die Betriebssoftware meist in Form von Lizenzgebühren zusätzlich honorieren. Das alles zehrt weiter an den durch IT-Virtualisierung erreichbaren Kosteneinsparungen.
Über die Basis-Hochverfügbarkeit und -Sicherheit der physischen Server-Instanzen kommt das Datacenter generell nicht an einer doppelten Absicherung der logischen Verbindungs- und Ausführungsschicht als virtuelle Vermittlungsinstanz zwischen den Server- und Speicherkapazitäten vorbei. Fehlt diese doppelte Absicherung, HV und IT-Sicherheit, kann sich dies nicht nur negativ auf diese logische Schicht in Form von Performance-Verlusten, sogar Zuordnungsausfällen auswirken. Ohne die notwendigen IT-Sicherheitsvorkehrungen können Angreifer von Innen und Außen zudem über virtuelle Server-Instanzen eindringen, von dort sogar das Host-System, also den kompletten physischen Server mit allen darauf laufenden virtuellen Instanzen, schädigen oder zu Fall bringen. Zu den wichtigsten möglichen Angriffsformen auf virtualisierte Umgebungen zählen das Einschleusen von Malware, unberechtigte Zugriffe und DoS (Denial-of-Service)-Attacken. Insbesondere bei einer Server-Teilvirtualisierung, so mittels Vmware-Tools oder XEN’s Para-Virtualisierung, ist schnell Gefahr im Verzug. Die Übergangsschnittstellen zwischen den virtuellen Instanzen und dem physischen Host sind in diesem Fall nicht hinreichend geschützt. Für eine besonders hohe Angriffssicherheit empfiehlt es sich generell, zwischen den virtualisierten Instanzen Hardware dazwischenzuschalten. Sie kapselt diese Instanzen hermetisch vom physischen Host ab. Diese zusätzliche Härtung empfiehlt sich vor allem bei besonders gefährdenden virtualisierten Sicherheits-Servern wie Firewalls, IPS (Intrusion-Prevention-Systeme), Administrations-Server, Verschlüsselungs-Server und Login-Gateways.
Um die Hochverfügbarkeit der logischen Verbindungen zu den Server- und Speicherkapazitäten zu garantieren, muss vorab dieses Beziehungsgeflecht durchdrungen werden. Nur unter dieser Voraussetzung kann auf dieser Ebene eine angemessene Redundanz herausgebildet werden. Angemessen heißt in diesem Zusammenhang, soviel Redundanz wie notwendig, um die Funktion der logischen Verbindungs- und Ausführungsschicht in jeder Betriebsphase sicherzustellen, aber nicht zuviel. Denn zuviel logische, reservierte Redundanz geht auf Kosten einer effizienten Ressourcenausschöpfung. Die wiederum schmälert die Kosteneinsparungen durch Virtualisierung von IT-Kapazitäten und verlängert Amortisierungszeiträume.
Jan Wildeboer ist EMEA Evangelist bei Red Hat in Deutschland.
- Virtualisierung ist Kerntechnologie
- Spanne zwischen Ist und Soll
- Nicht mehr als notwendig
- HV und IT-Sicherheit nicht vergessen
Lesen Sie mehr zum Thema
