VMware sorgt mit Mikro-Segmentierung für mehr mobile Sicherheit

airwatch-apps

Über eine Kombination von NSX mit AirWatch oder Horizon versucht VMware dem Sicherheitsrisiko von übermäßigen Zugriffen mobiler Endanwender innerhalb eines Rechenzentrums beizukommen.

VMware stellt eine neue Sicherheitslösung für mobile Endanwender vor. Diese basiert auf einer Kombination aus VMware NSX Netzwerk-Virtualisierung und den Business Mobility-Lösungen AirWatch und VMware Horizon.

Über NSX mit AirWatch EMM oder Horizon will der Hersteller die Unternehmenssicherheit durch übermäßige Zugriffe auf das Rechenzentrum über Netzwerk-Mikro-Segmentierung einschränken. Durch die Kombination entsteht ein individualisiertes virtuelles Netzwerk. Das erlaubt Anwendern und Gruppen rollenbasierte Zugangsberechtigungen auf spezifische Anwendungen im Rechenzentrum. Diese Architektur kann auch dann sogar auch den Zugriff oder die Ansicht auf Bereiche im Rechenzentrum untersagen, für die keine Berechtigung vorliegt.

NSX und AirWatch kombiniert. (Bild: VMware)
Durch die Öffnung von Rechenzentren für mobile Anwendungen und virtuelle Desktops steigt die Gefahr von unautorisierten Zugriffen über Gateway-VPNs. (Bild: VMware)

Dadurch reduzieren sich Sicherheitsrisiken, die aus übermäßigen Zugriffen in traditionellen Gateway-VPNs ergeben. Greift ein Nutzer über eine sichere VPN-Gateway-Verbindung auf das Cloud-Rechenzentrum zu, in dem sich Anwendungen und Daten befinden, können Anwender meist auf nahezu alle Ressourcen unbegrenzt zugreifen. Bei hochentwickelten Angriffen, wird das ausgenutzt, um über einen autorisierten Nutzer und dessen sichere Verbindung in das Rechenzentrum zu gelangen. Angreifer können sich dann zwischen Workloads unkontrolliert ausbreiten.

Über VMware NSX, so verspricht der Hersteller, kann das durch Netzwerk-Mikro-Segmentierung eingedämmt werden. Dafür automatisiere die Lösung Bereitstellung, das Bewegen, Hinzufügen und das Verändern von Workloads. Zudem sorge die Lösung für eine verteilte Richtliniendurchsetzung auf virtuellen Schnittstelle und “in-Kernel”. Darüber hinaus liefert es eine eine Scale-Out Firewall, die jeden Hypervisor und jeden virtuellen Desktop eigens schützt.

Zusammen mit der Identity-Lösung aus dem AirWatch Enterprise Mobility Management kann VMware NSX VPN Kontrollen pro App ermöglichen. Diese Lösung ermöglicht es der IT, die exakten Rechenzentrumsressourcen spezifischen Anwendungen zuzuweisen, die auf Organisationsgruppen basieren, welche bereits durch AirWatch EMM festgelegt wurden.

Die von der IT festgesetzte Berechtigung schützt das Unternehmen davor, dass mehr Informationen als nötig über das Rechenzentrum über Anwendungen auf mobilen Endgeräten bekannt werden. Dennoch kann der mobile Nutzer nach wie vor auf die für ihn freigegebenen Unternehmensressourcen zugreifen. In der neu kombinierten Lösung bekommen Administratoren auch einen besseren Überblick darüber, zu welchen Ressourcen die mobilen Nutzer Zugang haben. Gehen neue Anwendungen online, dann vereinfache sich so auch das Change Management.

Ähnliche Vorteile ergeben sich laut VMware, wenn NSX über Horizon bereit gestellt wird. So sei der Aufbau einer effektiven Firewall für jeden Desktop auf VM-Ebene möglich. Auch auf diese Weise lasse sich die Ausbreitung von Bedrohungen einschränken. Das gelte für Endgeräte wie auch für Server.

Sicherheitsrichtlinien können auf Basis einzelner Nutzer oder logischer Gruppierungen erstellt werden. Administratoren sind damit nicht auf Netzwerktopologien beschränkt. So mit lassen sich zum Beispiel Sicherheitsrichtlinien etwa für Nutzergruppen wie Engineering, HR oder Finance oder den Zugriff auf Datentypen, wie Kreditkarte oder Lohnbuchhaltung festlegen.

“Da Unternehmen zunehmend die Dritte Plattform annehmen, geben sie immer mehr Rechenzentrumsressourcen für eine steigende Anzahl an Geräten und Nutzern frei. Das bedeutet jedoch auch ein erhöhtes Risiko und erfordert eine erneute Prüfung der Sicherheitsstrategien des Rechenzentrums”, so Brad Casemore, Research Director, Datacenter Networks, IDC.”Hochgradig segmentierte virtualisierte Rechenzentrumsnetzwerke in Kombination mit identity-basierter Endnutzersicherheit bedeuten einen Fortschritt für das Lösen einiger Sicherheitsherausforderungen der Dritten Plattform.”