Einführung... 2 Die IT-Infrastruktur eines KMU heute... 2 3 Schritte zur virtualisierten Sicherheit... 3 Schritt 1 Virtualisierung des Mail-Filters... 3 Schritt 2 Virtualisierung des Web-Filters... 5 Schritt 3 Virtualisierung von Firewall und IPS... 6 Hochverfügbarkeit in einer virtualisierten Lösung... 7 Einsatz von Astaros Gateway-Lösungen... 8 Fazit... 8
Virtualisierung spart bares Geld. Physikalische Server lassen sich in wenige virtuelle Server konsolidieren. Damit werden vorhandene Serverressourcen besser genutzt und Kosten für Hardware, Software, Betrieb, Wartung und Energie ( Green IT ) deutlich reduziert. Lediglich einen einzigen Server zu betreiben, also ein Office in a Box, ist gerade für kleine und mittlere Betriebe (KMU) sowie Niederlassungen größerer Unternehmen sehr attraktiv. Für die Konsolidierung von Web-, Mail-, Datenbank- und anderen Anwendungs-Servern gibt es bereits Best Practices. Virtualisierte Lösungen stellen IT-Mitarbeiter jedoch immer noch vor eine große Herausforderung: den Sicherheitsaspekt. So stehen Sie noch vor ungelösten Fragen wie: Wie kann ich virtuelle Maschinen in einer virtualisierten Umgebung absichern? Wie kann ich meine vorhandenen Sicherheitsanwendungen auf virtuelle Plattformen migrieren? Das vorliegende OrangePaper gibt Antworten auf diese Fragen und beschreibt den Weg zur Implementierung einer All-In-One-Sicherheitslösung auf einer virtualisierten Plattform in nur drei Schritten. Vielfalt von Servern und Sicherheitsanwendungen In einer traditionellen KMU-Umgebung findet sich nicht nur eine Reihe von Anwendungsservern, die in wenige (oder sogar nur einen) virtuellen Server konsolidiert werden könnten, sondern auch unterschiedliche Sicherheitsanwendungen, die auf Servern, Gateways oder dedizierten Appliances laufen (siehe Abb. 1), z. B.: E-Mail-Filter, die vor Viren und Spam schützen. Web-Filter, die Downloads scannen und Web- Zugriffe kontrollieren. Firewalls und Intrusion Prevention Systeme (IPS) zum Schutz der Server und des LAN. Abb. 1: Traditionelle KMU-Infrastruktur 2009 Astaro AG. Änderungen vorbehalten 2
Umfassende Sicherheitslösungen für virtuelle Umgebungen sind rar Die Konsolidierung der Anwendungsserver und sämtlicher Sicherheitskomponenten kann die Kosten für Hardware, Software, Betrieb und Energie deutlich reduzieren. Jedoch sind viele IT-Administratoren immer noch sehr zurückhaltend, wenn es um die Virtualisierung der Sicherheitskomponenten geht. Zum einen existieren nur wenige Lösungen auf dem Markt, die die Virtualisierung aller Sicherheitsanwendungen ermöglichen meist sind zudem noch weitere Hardware-Komponenten notwendig. Zum anderen erfordern Lösungen mit einer umfangreichen Funktionalität wie UTM-Produkte häufig, dass der Administrator mit der Virtualisierung der kritischsten Komponente zuerst beginnt der Firewall. Astaro ist der einzige Hersteller von Sicherheitslösungen, mit denen Administratoren alle ihre Mail-, Web- und Netzwerk-Sicherheitsanwendungen Schritt für Schritt kontrolliert und sicher in eine virtualisierte Umgebung überführen können. Die folgenden Kapitel stellen Best Practices für Sicherheitsvirtualisierung dar und zeigen die verschiedenen Schritte eines typischen Serverkonsolidierungsprojekts. Beginnen Sie mit einem weniger kritischen Server Vor der Virtualisierung der kritischsten Sicherheitsanwendungen sollten erste Erfahrungen mit der Virtualisierungsplattform gesammelt werden. Beginnen Sie deshalb mit einem weniger kritischen Server. Hierfür bietet sich zum Beispiel der FTP-Server an: Installieren Sie Ihr virtuelles System (zum Beispiel einen VMware ESX Server). Migrieren Sie die existierenden FTP-Server in eine oder mehrere virtuelle Maschinen des Systems (siehe Abb. 2). Abb. 2: Virtualisierter FTP-Server Verläuft alles reibungslos, können Sie nun den ersten Konsolidierungsschritt vornehmen. 2009 Astaro AG. Änderungen vorbehalten 3
Der erste Schritt zur Serverkonsolidierung Migrieren Sie als Nächstes beispielsweise den Web-Server auf dasselbe virtuelle System (siehe Abb. 3). Ähnlich wie in der physikalischen Welt können Sie anschließend auch beide virtuelle Maschinen über einen virtuellen Switch koppeln. Dieser Switch bindet das virtuelle System an die externe Firewall/IPS an. Auf dieser Verbindung können Sie zudem virtuelle LANs konfigurieren, um sämtliche Daten zwischen FTP- und Web-Server über die Firewall zu leiten. Abb. 3: Virtualisierter Webserver Der erste Schritt zur virtualisierten Sicherheit Als nächster Schritt bietet sich die Virtualisierung des Mail-Servers an. Dies ist auch der Zeitpunkt, die erste Sicherheitskomponente zu virtualisieren. Hier empfiehlt sich der E-Mail-Filter, der üblicherweise direkt auf dem Mail-Server läuft oder als dedizierte Appliance davor positioniert ist. Virtualisierte E-Mail-Filter können einfach als weitere virtuelle Maschine vor den virtuellen Mail-Server geschaltet werden, um so alle an den Server gerichteten E-Mails zu scannen (siehe Abb. 4). Idealerweise sollte hierfür ein einzelnes Virtual Mail Gateway verwendet werden, das kompletten Schutz vor Viren, Spam und Phishing bietet. Fortschrittliche Lösungen wie das Virtual Astaro Mail Gateway haben sogar noch weitere Funktionen wie den Remote- Zugriff auf Exchange-Mailboxen via SSL VPNs oder eine für den Endbenutzer völlig transparente E- Mail-Verschlüsselung. Abb. 4: Virtualisierte Mailserver + Mail-Filter 2009 Astaro AG. Änderungen vorbehalten 4
Konsolidierung der nächsten Sicherheitskomponente Der nächste Schritt ist die Virtualisierung des Web-Filters. Auch hier ist ein funktionsreiches Web Gateway wie das Astaro Virtual Web Gateway eine ideale Lösung, um den gesamten Web-Verkehr sowohl von den virtualisierten Servern als auch von den lokalen Benutzern im LAN zu filtern. Mit dem Virtual Astaro Web Gateway können IT-Administratoren: Zugriffe auf über 35 Millionen Websites auf Grundlage von 96 vordefinierten filtern. Kategorien Viren, Spyware und aktive Inhalte in HTTP-, HTTPS- und FTP-Daten stoppen. Die Nutzung von IM/ P2P-Anwendungen wie BitTorrent, ICQ, MSN, Skype und anderen überwachen. Abb. 5: Virtualisierter Web-Filter Alle Features des Virtual Astaro Web Gateway lassen sich über dasselbe Browser-basierte GUI wie das Virtual Astaro Mail Gateway managen. Somit ist kein weiterer Schulungsaufwand erforderlich. Vollständige Serverkonsolidierung Um die Serverkonsolidierung abzuschließen, sollten Sie nun schrittweise die übrigen internen Server auf das virtuelle System migrieren (siehe Abb. 6). Es ist ebenfalls sinnvoll, ein externes Storage-System (SAN) zu installieren, um die Skalierbarkeit und Ausfallsicherheit zu erhöhen (siehe auch Abschnitt Hochverfügbarkeit in einer virtualisierten Lösung ). Abb. 6: Virtualisierte interne Server 2009 Astaro AG. Änderungen vorbehalten 5
Das virtuelle All-In-One- System wird komplettiert Der letzte Schritt auf dem Weg zu einer vollständig virtualisierten Umgebung ist die Virtualisierung von Firewall und IPS. Allerdings lassen sich traditionelle Firewalls/IPS-Systeme oft nicht leicht migrieren, da sie häufig auf spezieller (ASIC-basierter) Hardware laufen. Deshalb müssen Sie sich wahrscheinlich nach einer neuen Lösung umsehen, die kompatibel zu Standard-Hardware- Plattformen ist. Um sämtliche Vorteile aus der Konsolidierung ziehen zu können, sollten Sie darauf achten, dass die Firewall-Lösung einfach mit den virtuellen Mail und Web Gateways zusammenarbeitet und idealerweise über dieselben Management-Tools administriert werden kann. Eine ideale Lösung bietet hier das Virtual Astaro Security Gateway, das in virtuellen Umgebungen auf Standard-Hardware läuft und keine speziellen ASICs benötigt. Es bietet umfassenden Netzwerkschutz inklusive: Stateful Deep Packet Inspection Firewall, Intrusion Prevention System zum Schutz vor mehr als 7500 Attacken und Zeroday -Angriffen, VPN-Gateway zur sicheren Anbindung von mobilen Mitarbeitern und Niederlassungen. Abb. 7: Vollständig virtualisierte Umgebung Sie können auf dem Astaro Security Gateway auch direkt die komplette Funktionalität des Astaro Mail Gateways und des Astaro Web Gateways als optionale Subscriptions aktivieren und es so als eine umfassende Virtual UTM Appliance einsetzen (siehe Abb. 7). Weil eine virtuelle UTM Appliance auf demselben virtuellen System läuft, bietet sie einen kompletten Mail-, Web- und Netzwerk-Schutz sowohl für alle virtualisierten Server als auch für das lokale Netzwerk. Gleichzeitig lassen sich alle Sicherheitsanwendungen über eine einzelne intuitive Oberfläche managen. Dieses Szenario bietet den größten Virtualisierungsnutzen, da es alle Server und alle Sicherheitsanwendungen in einem einzigen virtuellen System konsolidiert, ohne zusätzliche Hardware zu benötigen ( Office in a box ). 2009 Astaro AG. Änderungen vorbehalten 6
Dedizierte HA-Systeme verschwenden Ressourcen Die Vorteile einer virtualisierten Lösung werden noch klarer, wenn man wichtige Server und Komponenten hochverfügbar auslegen möchte. In einer traditionellen Infrastruktur erfordert dies ein individuelles High Availability/HA- System für jede individuelle Komponente. Dies führt häufig zu hohen Hardware-Investitionen, ungenutzten Hardware-Ressourcen und hohem Wartungsaufwand (Abb. 8). In einer virtuellen Umgebung dagegen kann Hochverfügbarkeit wesentlich effizienter erzielt werden: Durch Nutzung der HA-Möglichkeiten der virtuellen Systeme (z. B. VMware HA) sowie der Security Appliances selbst lassen sich sämtliche Komponenten mit nur einem zusätzlichen virtuellen HA-System absichern. Abb. 8: Traditionelle KMU-Infrastruktur mit HA-Systemen Virtuelle HA-Systeme sind flexibel und effizient Somit kann eine vollständig redundante Lösung mit nur zwei virtuellen Server- Systemen aufgebaut werden (siehe Abb. 9). Durch Unterstützung derselben umfassenden HA- Technologien wie bei ihren Hardware- Appliance-Pendants ermöglichen alle virtuellen Gateways von Astaro die Implementierung flexibler Active/Passive (Stand-by) und Active/Active (Cluster) Szenarien innerhalb eines Servers oder auch serverübergreifend. Abb. 9: Vollständig virtualisierte und ausfallsichere Umgebung 2009 Astaro AG. Änderungen vorbehalten 7
Astaro bietet die flexibelsten virtuellen Sicherheitslösungen Astaros Gateway-Lösungen können sehr einfach eingesetzt werden: als Software-Appliance unter VMware, Citrix XenServer oder anderen virtuellen Umgebungen oder als vorkonfigurierte, zertifizierte virtuelle Appliance für VMWare oder auch als Hardware-Appliance. Jede Appliance enthält das Betriebssystem (OS) sowie dieselben umfassenden Sicherheitsfunktionen der Enterprise- Klasse, die selbst mit denen dedizierter Point-Produkte vergleichbar sind. Alle virtuellen Astaro Gateways können über dasselbe intuitive Browserbasierte GUI gemanagt werden, das in allen Astaro Produkten zum Einsatz kommt. Größere Installationen lassen sich zudem über das Astaro Command Center zentral verwalten und überwachen. Verschaffen Sie sich einen Überblick über Astaros virtualisierte Sicherheitslösungen unter www.astaro.com, oder laden Sie sich gleich eine Test- oder Home-use-Lizenz von www.astaro.com/download herunter. Sie können auch sämtliche Produkte in Aktion sehen in unseren Online-Demos unter www.astaro.com/demo. Starten Sie jetzt mit Ihrer 3-stufigen Sicherheitskonsolidierung Serverkonsolidierung bietet viele Vorteile für Unternehmen jeder Größe. Speziell für KMU ist ein Office in the box äußerst attraktiv. Jedoch ist die Überführung sämtlicher Sicherheitsanwendungen auf ein einziges virtuelles System für viele Administratoren eine große Herausforderung, da selbst kleine Unternehmen oft viele Sicherheitskomponenten im Einsatz haben und bestehende Firewalls/IPS-Systeme nicht einfach migriert werden können. Mit über sieben Jahren Virtualisierungserfahrung ist Astaro der einzige Anbieter von virtuellen Sicherheitslösungen, der eine 3-stufige Lösung für die Implementierung aller für eine KMU-Umgebung typischen Anwendungen für Mail-, Web- und Netzwerk-Sicherheit auf einem einzigen virtuellen System bietet. www.astaro.com Europa, Mittlerer Osten, Afrika Astaro AG Amalienbadstrasse 36 76227 Karlsruhe Germany T: +49 721 255 16 0 F: +49 721 255 16 200 emea@astaro.com Amerika Astaro Corporation 260 Fordham Road Wilmington, MA 01887 USA T: +1 978 974 2600 F: +1 978 974 2626 americas@astaro.com Asien-Pazifik-Region Astaro K.K. 12/F Ark Mori Building 1-12-32 Akasaka Minato-ku Tokio 107-6012, Japan T: +81 3 4360 8350 apac@astaro.com Dieses Dokument darf auf keine Weise, weder elektronisch noch mechanisch, insgesamt oder teilweise kopiert oder aus jeglichem Grund ohne die schriftliche Erlaubnis der Astaro AG vervielfältigt werden. 2009 Astaro AG. Alle Rechte vorbehalten. Astaro Security Gateway, Astaro Command Center und WebAdmin sind Marken von Astaro AG. Alle weiteren Markennamen sind Eigentum ihrer jeweiligen Eigentümer. Keine Gewährleistung für die Richtigkeit der in diesem Dokument enthaltenen Informationen. 2009 Astaro AG. Änderungen vorbehalten 8