Security-Virtualisierung trifft auf UTM-Firewalls

Patrick Michel arbeitet bei Fortinet Schweiz als Senior Security Systems Engineer.

Unified Threat Management (UTM) hat den Firewall-Markt stark verändert. Nun gehen die Anbieter von Sicherheitslösungen einen Schritt weiter. Sie fassen nicht nur mehrere Sicherheitsfunktionen wie Statefull Inspection Firewalling, Antivirus, Intrusion Prevention & Detection (IPS/IDS), Antispam, Web Content Filtering, Traffic Shaping und Dynamisches Routing in einer einzigen Appliance zusammen, sondern virtualisieren diese integrierten UTM-Sicherheitsfunktionen auch noch. Nötig wurde dieser Ansatz durch die immer ausgedehnteren, zunehmend komplexeren Netzwerke, welche einen erhöhten Bedarf nach Schutz und Segmentierung generieren. Die Virtualisierung der UTM-Funktionen lässt alle Formen der Segmentierung zu und konsolidiert gleichzeitig mehrere Netzwerk-Geräte. So sinkt die Zahl der nötigen Hardwarekomponenten und Switch-Ports, was die Betriebskosten eines Datenzentrums senken hilft.

Als Pionierin der UTM-Virtualisierung gilt Spezialistin Fortinet. Sie kann ihre FortiGate-UTM-Firewall in mehrere separat verwaltete und provisionierte Instanzen, sogenannte Virtual Domains (VDOMs) aufteilen. Auf den grössten FortiGate Appliances lassen sich so bis zu 4000 virtuelle UTM-Firewalls betreiben - doch auch die kleinsten Modelle bieten Virtualisierungsfunktionen.

Doch nicht nur alle UTM-Firewall-Funktionen können virtualisiert werden, sondern auch statisches und dynamisches Routing. Für die Kommunikation zwischen den verschiedenen virtuellen Firewalls besteht zudem die Möglichkeit, so genanntes «Inter-VDOM-Routing» zu aktivieren. Dabei werden Pakete zwischen den virtuellen Firewalls intern geroutet, ohne dass diese über physische Netzwerk Interfaces kommunizieren. Das spart Hardwarekosten und erhöht die Performance. Physische Netzwerk-Interfaces können zusätzlich über VLANs (Virtual Local Area Network) virtualisiert werden. VLAN-fähige Switches vorausgesetzt, können abhängig vom eingesetzten FortiGate-Modell bis zu 4000 virtuelle VLAN-Interfaces gleichzeitig benutzt werden.

Zwar virtualisieren Carrier, Internet Service Provider (ISP), Managed Security Service Provider (MSSP) und Hosting-Provider schon seit Jahren klassische Netzwerk-Firewalls. Zum Einsatz kommen dabei aber meist grössere redundante Clus-ter-Firewall-Systeme, die von mehreren Endkunden geteilt werden. Jeder Kunde verfügt dabei über persönliche Konfigurationsmöglichkeiten. Dieses Modell spart Hardware- und Softwarelizenzen und ermöglicht es den Providern, kostengünstige und hoch verfügbare Firewall-Services anzubieten.

Doch neu ist die Virtualisierung nicht mehr auf klassisches Statefull Inspection Firewalling begrenzt. Jetzt können alle zusätzlichen UTM-Sicherheitsfunktionen virtualisiert und auf Knopfdruck in einer virtuellen Firewall aufgeschaltet werden. Selbst der Betriebsmodus lässt sich beliebig kombinieren. Eine virtuelle Firewall kann etwa im NAT/Route-Modus laufen und die zweite im «Transparent-Mode» (Layer2). Auf der ersten Instanz könnten Firewall, IPS und Antivirus Funktionen laufen und auf der Zweiten nur ein reiner Webfilter.

Immer mehr Firmen verwenden heute Virtualisierungsfunktionen. In immer komplexeren Netzwerken finden sie die dazu nötige Flexibilität vor allem in der Virtualisierung ganzer Firewall-Funktionen oder in der Virtualisierung von Netzwerk-Interfaces. Das Management wird an diverse Administratoren delegiert, die nur ihre virtuelle Firewall sehen und verwalten.

In Zukunft wird kaum mehr eine Firewall ohne Virtualisierungs- und UTM-Funktionen auskommen. Der wachsende Bedarf an Sicherheitsfunktionen, immer komplexere Netzwerke und der gleichzeitige Kostendruck auf Firmenseite sind die Treiber dafür.