Das Warum, Was und Wie des Software-definierten …€¦ · ©2017 Osterman Research, Inc. 1 virtualisierter Rechenzentrum Das Warum, Was und Wie des Software-definierten Rechenzentrums

mit Unterstützung von

Osterman Research, Inc.

P.O. Box 1058 • Black Diamond, Washington • 98010-1058 • USA

Tel.: +1 (206) 683 5683 • [email protected]

www.ostermanresearch.com • @mosterman

Osterman Research-Whitepaper

Veröffentlicht: Mai 2017


Das Warum, Was und Wie des Software-definierten

Rechenzentrums

SPON

WH

ITE

PA

PE

R

SP

ON



©2017 Osterman Research, Inc. 1

Das Warum, Was und Wie des Software-definierten Rechenzentrums

KURZFASSUNG

Bei einem Software-definierten Rechenzentrum (Software-Defined Data Center, SDDC) handelt es sich um einen übergreifenden Ansatz für die Strukturierung von Rechenzentren. Er bietet verschiedene geschäftliche Vorteile und verbessert die Abläufe bei der Absicherung von Rechenzentren. SDDCs bauen auf bewährten Virtualisierungstechnologien auf, gehen jedoch beim Einsatz virtualisierter Rechenzentrum-Ressourcen neue Wege. Das SDDC-Konzept ist mittlerweile ausgereift. Da inzwischen mehrere Hersteller SDDC-Lösungen anbieten, ist der Markt so groß, dass viele Unternehmen den SDDC-Einsatz als interessante Alternative betrachten.

FÜNF KERNPUNKTE Das SDDC ist bereit für die große Bühne.

Im Vergleich zu herkömmlichen Rechenzentrum-Ansätzen bietet das SDDC erhebliche

Vorteile.

Diese Vorteile gelten für Privat Cloud- ebenso wie für Hybrid Cloud-Rechenzentren.

Das SDDC erfordert andere Sicherheitsansätze als herkömmliche Rechenzentren.

Hüten Sie sich vor Anbietern, die eine dünne SDDC-Schicht über ihre veralteten

Produkte legen.

INHALT DIESES WHITEPAPERS In diesem Whitepaper sprechen wir darüber, was ein SDDC ist, warum es zukunftssicher ist und wie es funktioniert. Dabei halten wir uns nicht mit unnötigen technischen Details auf, sondern kommen direkt zum Punkt. Außerdem bieten wir einen kurzen Überblick über die Sponsoren dieses Whitepapers – McAfee und VMware – sowie ihrer relevanten Lösungen.

GRÜNDE FÜR EIN SDDC

EINE KURZE EINFÜHRUNG IN DAS SDDC Bei einem SDDC handelt es sich um einen ganzheitlichen Ansatz für die Einrichtung besserer Rechenzentren. Durch Nutzung von Virtualisierungsfunktionen kombiniert es ein Software-definiertes Netzwerk (SDN) mit einem Software-definierten Speicher (SDS). Ein SDDC ist zum Beispiel sinnvoll, wenn Sie ein virtuelles Rechenzentrum (z. B. eine private oder hybride Cloud) einrichten möchten. Viele große Anbieter öffentlicher Clouds nutzen bereits einige Aspekte des SDDC-Ansatzes, um ihre Kosten niedrig halten. Im nächsten Kapitel („Was ist ein SDDC?“) erklären wir im Detail, was das SDDC überhaupt ist. Wie Abbildung 1 zeigt, ist die Mehrzahl der heute genutzten Server bereits virtualisiert, und etwa die Hälfte aller Unternehmen hat vor, ihre Rechenzentren in ein SDDC umzuwandeln (oder hat dies bereits getan), wie Abbildung 2 zeigt. Von den Unternehmen, die eine Umwandlung ihrer Rechenzentren in SDDCs planen, möchte die Mehrheit dies innerhalb der nächsten zwei Jahre in Angriff nehmen (siehe Abbildung 3).

Bei einem SDDC handelt es sich um einen ganzheitlichen Ansatz für die Einrichtung besserer Rechenzentren.



Abbildung 1 Anteil der virtualisierten Server

2017 und 2019

Quelle: Osterman Research, Inc. Abbildung 2 „Hat Ihr Unternehmen vor, Ihre Rechenzentren in Software-definierte

Rechenzentren (SDDC) umzuwandeln?“

Quelle: Osterman Research, Inc.



Abbildung 3 Planungen für den Wechsel zum SDDC


FÜNF GESCHÄFTLICHE VORTEILE EINES SDDC Moderne Arbeitsmethoden wie Anwendungsentwicklung und -betrieb („DevOps“) können von einem SDDC-Ansatz profitieren. Das gilt auch für die traditionelle IT. Das SDDC bietet mehrere geschäftliche Vorteile. Auch wenn die relative Bedeutung dieser Vorteile natürlich von den Problemen abhängt, die ein Unternehmen lösen möchte, sind hier die aus unserer Sicht wichtigsten Vorteile: 1. Geschwindigkeit und Produktivität

Die IT-Abläufe können schneller auf Änderungen reagieren. Mit dem SDDC können Sie mehr mit weniger Aufwand erledigen. Durch seine „Software-definierte“ Eigenschaft lässt sich ein SDDC einfacher konfigurieren, umkonfigurieren und absichern – zumindest mit den richtigen Tools. Diese Vorteile sind insbesondere für DevOps, „schlanke Starts“ und flexible Entwicklung wichtig, wo Unternehmen erheblich schneller neue Services bereitstellen als bei herkömmlichen IT-Abläufen. Diese Entwicklungsmethoden setzen sich in immer mehr Unternehmen durch. Durch das SDDC können IT-Mitarbeiter solche Arbeitsweisen unterstützen, also beispielsweise durch die schnellstmögliche Bereitstellung von Anwendungen als Minimum Viable Products und nachfolgende regelmäßige Bereitstellung erweiterter Versionen. Diese Vorgehensweisen könnten beispielsweise bei einer etablierten Bank eingeführt werden, die gegenüber neuen Fintech-Startups wettbewerbsfähig bleiben muss. Darüber hinaus sind in einem SDDC regelmäßige Service-Aktualisierungen möglich, und Testumgebungen können schnell eingerichtet bzw. aufgelöst werden. Die besten SDDC-Umgebungen setzen auch konsequent und umfassend strenge Sicherheitsrichtlinien durch, die besonders in solchen dynamischen Umgebungen wichtig sind.

2. Zentrale Kontrolle + Richtlinienerzwingung = bessere Sicherheit

In einem SDDC können Sie die Kontrolle und Verwaltung der Komponenten des virtuellen Rechenzentrums (Datenverarbeitung, Speicherung und Netzwerk) zentralisieren, wodurch das IT-Team einen besseren Überblick über diese Komponenten erhält. Zentralisierung sowie Transparenz gehören zu den zentralen Software-definierten Eigenschaften eines SDDC und sind eine wichtige Voraussetzung für die bereits erwähnten einheitlichen sowie strengen Sicherheitsmaßnahmen.

Durch seine „Software-definierte“ Eigenschaft lässt sich ein SDDC einfacher konfigurieren, umkonfigu-rieren und absichern – zumindest mit den richtigen Tools.



Interessant ist jedoch, dass von den Unternehmen, die das SDDC nicht vollständig implementiert haben, 42 Prozent Bedenken zum Thema Sicherheit als Grund gegen die vollständige SDDC-Implementierung nannten. Das bedeutet, dass die Anbieter ihre Informationspolitik zu den sicherheitsbezogenen Vorteilen von SDDCs verbessern müssen.

Kontrollen lassen sich in Form detaillierter Richtlinien implementieren, die umfassend durchgesetzt werden – sowohl im SDDC-Framework als auch durch SDDC-fähige zusätzliche Sicherheits-Services. (Diese allgegenwärtige detaillierte Richtlinienerzwingung wird zunehmend als Mikrosegmentierung bezeichnet.)

Die Abläufe im SDDC unterscheiden sich von denen in herkömmlichen Rechenzentren, wo die Regeln verschiedenste Geräte abdecken und die von empfindlichen physischen Topologien abhängig sind. Beispielsweise kann eine Firewall-Regel abhängig sein von einem Workload, der in einem bestimmten Subnetz ausgeführt wird. In einem SDDC dagegen agieren und basieren konsistent umgesetzte Richtlinien auf logischen, abstrakten Merkmalen der Workloads sowie ihrer Daten und nicht auf fragilen, physischen Merkmalen, die über kurz oder lang veraltet sind. Mit anderen Worten: Das SDDC ermöglicht für die Speicher-, Netzwerk- und Verwaltungsebenen ein besseres Verständnis der Workload-Eigenschaften. Wenn sich die physische Umgebung eines SDDC-Workloads ändert, ändert sich die Implementierung der relevanten Richtlinien automatisch. Durch die Art und Weise, wie diese Richtlinien funktionieren, können neue Konfigurationen überwacht werden, ohne dass manuelle Neukonfiguration erforderlich sind. Das kann zu Verbesserungen wie höherer Sicherheit, vereinfachten Audits, zuverlässigerer Vorschriften-Compliance sowie reibungsloseren Abläufen führen.

3. Niedrige Betriebskosten, geringe Ausfallzeiten, Lights-Out-Abläufe, Automatisierung Das SDDC kann die Notwendigkeit physischer Besuche der Rechenzentrum-Hardware für alltägliche Abläufe praktisch vollkommen überflüssig machen. Solche „Lights-Out“-Abläufe vereinfachen Aufgaben wie das Verschieben wachsender Workloads auf leistungsfähigere Hardware oder das Ändern von Netzwerktopologien. Zudem werden dadurch Kosten gesenkt und geplante Ausfallzeiten auf ein Minimum reduziert. Traditionelle IT-Abläufe sind grundsätzlich fehleranfällig – selbst wenn Sie eine zentrale Verwaltungskonsole nutzen. Dies gilt insbesondere für regelmäßig anfallende Konfigurationsaufgaben. Dank der Fähigkeit des SDDC zur Automatisierung von Abläufen werden eintönige, sich ständig wiederholende Arbeiten sowie Fehler reduziert, wodurch wiederum die Sicherheit maximiert und außerplanmäßige Ausfallzeiten minimiert werden.

4. Geringe Investitionskosten, hohe Auslastung, Vermeidung von Anbieterbindung Die Virtualisierung verbessert die Auslastung der Hardware, sodass Sie Ihre Investitionen intensiver nutzen können. So können beispielsweise Software-definierte Datenverarbeitungs- und Speicherressourcen von mehreren Workloads genutzt werden.

Zudem beseitigt das SDDC einen Großteil der Bindung an proprietäre Netzwerk- und Speicher-Hardware, da die IT-Abteilung die für die jeweilige Aufgabe beste – d. h. zuverlässigste oder kostengünstigste – Hardware auswählen kann. Dies trägt auch zur Verlängerung der Lebensdauer der vorhandenen Hardware bei. Das SDDC vereinheitlicht Netzwerkfunktionen, die üblicherweise in separate Geräte unterteilt werden, z. B. Ethernet-Switches, IP-Router und Firewalls. Ebenso vereinheitlicht es Speicher-Array-Rollen, z. B. blockbasierte SAN- und dateibasierte NAS-Geräte.



5. Ermöglicht eine interoperable Cloud – insbesondere mit einem Hybridansatz Mit einem SDDC können Sie die systeminternen Vorteile hybrider Clouds ganz ohne Bindung nutzen. Die Kombination aus Automatisierung, Zusammenfassung, Transparenz und Kontrolle schafft eine Konsistenz, mit der die Verlagerung von Workloads in öffentliche oder private Clouds noch einfacher wird, als dies durch Virtualisierung allein möglich wäre. Ebenso kann das SDDC die Probleme beim Verschieben eines Workloads aus der privaten zur öffentlichen Cloud bzw. umgekehrt verringern. Der SDDC-Ansatz macht es möglich, dass die Abstraktion zusammen mit dem Workload verschoben wird und konsistent bleibt, ohne dass die Funktionsweise einer bestimmten Cloud-Implementierung eine Rolle spielt. Wie wir später sehen werden, vereinfacht das SDDC auch die Wiederherstellung des Sicherheits- und Richtlinienkontexts des verschobenen Workloads.

Weitere Informationen und Hintergründe finden Sie in unserem vorangehenden Whitepaper The What, the Why and the How of Hybrid Cloud (Hybrid Cloud: Was, warum und wie).i

HAUPTARGUMENTE FÜR DAS SDDC Bei unseren Recherchen für dieses Whitepaper zeigte sich, dass sich die meisten Unternehmen für einen Wechsel zum SDDC interessieren, um die Leistung ihrer Abläufe zu steigern. Ein Großteil der Befragten gab zudem an, dass für sie Sicherheitsverbesserungen ein wichtiges Hauptargument für SDDCs sind. Andere häufige Argumente sind Kostensenkung, geringere Komplexität sowie Verbesserung der Kontrollmöglichkeiten (siehe Abbildung 4). Abbildung 4 Von Unternehmen genannte Gründe für den Wechsel zu einem SDDC

Gründe Anteil

Verbesserung der Leistung 57 %

Verbesserung der Sicherheitsmaßnahmen 53 %

Reduzierung des Kapitalausgaben 47 %

Verbesserung der Kontrolle 44 %

Verbesserung der Flexibilität geschäftlicher Abläufe 44 %

Reduzierung der Betriebsausgaben 43 %

Zukunftssicherheit späterer Cloud-Bereitstellungen 36 %

Reduzierung der Komplexität 29 %

Sonstiges 3 %


WAS IST EIN SDDC? VOLLSTÄNDIGE VIRTUALISIERUNG In der grundlegendsten Form ist ein SDDC eine Kombination aus virtueller Daten-verarbeitung und Software-definierten Speicher- sowie Netzwerksystemen. Zudem umfasst das SDDC häufig übergreifende Sicherheitsaspekte. Mit anderen Worten: Das SDDC abstrahiert und automatisiert alle Datenverarbeitungs-, Speicher- und Netzwerkaspekte, die normalerweise physisch erfolgen. Diese Automatisierung und Abstraktion kann auch zur Verbesserung der Sicherheit genutzt werden.

DATENVERARBEITUNG Die Virtualisierung von Diensten in virtuelle Maschinen (VMs) ist ein ausgereiftes und gut bekanntes Rechenzentrumskonzept. Jede VM wird normalerweise als einzelner sowie isolierter Workload ausgeführt und ist im Wesentlichen von allen anderen getrennt – selbst von denen, mit denen er sich einen Host-Server teilt.

https://dm-mailinglist.com/subscribe?f=12f3e2b5



Durch die Virtualisierung können sich Workloads auf sichere Weise Hardware-Ressourcen teilen, die andernfalls nicht vollständig ausgelastet wären. Dadurch lässt sich eine Anwendung verpacken und sicherstellen, dass ein Workload von anderen Workloads unabhängig ist. Zudem können Sie die verpackte Anwendung in Ihrer eigenen privaten Cloud oder in einer gemeinsam genutzten öffentlichen Cloud ausführen – und relativ einfach von der einen zur anderen Cloud verschieben. (Auch hierzu finden Sie weitere Informationen in unserem vorangegangenen Whitepaper The What, the Why and the How of Hybrid Cloud (Hybrid Cloud: Was, warum und wie).)ii Seit der Einführung von Containern ist das Bild jedoch noch ein wenig komplexer geworden. Container sind eine ressourcenschonendere Möglichkeit zum Verpacken von Workloads. Statt die gesamte Maschine mitsamt der physischen Hardware zu virtualisieren, virtualisiert ein Container mithilfe gemeinsam genutzter Software-Ebenen lediglich die Software-Umgebung, also das Betriebssystem und die zugehörigen Dienste. Theoretisch können Container im Vergleich zu VMs Leistungsvorteile bieten, doch ihre weniger ausgereifte Technologie stellt ein Risiko dar, das einem relativ geringen Leistungsvorteil gegenüber steht. (Obwohl die Container-Technologie ihren Ursprung in den frühen 1980er Jahren hat,iii ist sie erst vor Kurzem im kommerziellen Mainstream angekommen, während VM-Hypervisoren seit Langem bewährt sind.)

SPEICHER In den letzten Jahren hat Software-definierter Speicher (Software-Defined Storage, SDS) eine Wandlung vollzogen. Ursprünglich war SDS kaum mehr als ein Schlagwort bzw. eine Umbenennung verschiedener bereits vorhandener Speichermethoden – zentrale Verwaltung, Quality of Service, Clustering usw. Wir kennen diese ersten Gehversuche von Speicher-Array-Anbietern wie EMC, NetApp und HPE/3Par sowie von Open-Source-Projekten wie RADOS/Ceph. Doch seit einiger Zeit sehen wir ernsthaftere Versuche, SDS „im Stack hochzustufen“, um folgende Ziele zu erreichen: Integration von Speicherverwaltung in die Verwaltung der virtuellen Maschine

Verbesserte Kontrolle und Flexibilität bei der Speicherbereitstellung – unabhängig

davon, ob in einem vorhandenen Array oder bei direkter Anbindung

Einfachere Implementierung von automatisiertem Quality of Service, Tiered Storage

und anderen Speicherrichtlinien für bestimmte Workloads

Einfache Automatisierung von Ergänzungen zum Storage-Pool, wenn das

Datenvolumen wächst

Konsistente Verwaltung von Speichersystemen unterschiedlicher Anbieter

Beispielsweise verspricht VMware Virtual SAN, aus allen direkt verbundenen Datenträgern in Ihren Servern einen einzigen, unkomplizierten Software-definierten Speicher-Pool zu erstellen. Ebenso verspricht VMware Virtual Volumes, eine heterogene Flotte von Speicher-Arrays zu verwalten und zu optimieren.

NETZWERK Software-definierte Netzwerke (SDN) sind weniger vertraut. Häufig wird ihre Aufgabe als „Trennung von Kontrollen und Daten in separate Ebenen“ beschrieben, doch diese verkürzte Beschreibung muss genauer erläutert werden: Der Controller und seine Kontrollebene

Statt individuelle Switches und Router konfigurieren zu müssen, stellt das SDN einen zentralen Punkt bereit, von dem aus Switching- und Routing-Entscheidungen getroffen werden. Dazu gehört beispielsweise die funktionelle Trennung der Entscheidungsfindung von der eigentlichen Paketweiterleitung. Dieser zentrale Punkt

Durch die Virtualisierung können sich Workloads auf sichere Weise Hardware-Ressourcen teilen, die andernfalls nicht vollständig ausgelastet wären.

https://dm-mailinglist.com/subscribe?f=12f3e2b5



wird als Controller bezeichnet. Dabei kann es sich um eine separate Appliance oder einen Bestandteil der VM-Plattform handeln (siehe unten). Der Controller stellt diese Switching-/Routing-Entscheidungen als vereinfachte, atomische „Flussregeln“ dar. Die Flussregeln werden den entsprechenden Teilen der Netzwerkinfrastruktur zugewiesen – und nur den Teilen, für die sie wirklich gedacht sind. Der Controller kann Regeln proaktiv oder reaktiv erstellen, z. B. dem Netzwerk Anweisungen geben, bevor ein bestimmter Fall eintritt, oder das Netzwerk fordert Anweisungen an, wenn ein bestimmter Fall eintritt.

Weiterleitungsgeräte und ihre Weiterleitungsebene

Die Teile des Netzwerks, die das eigentliche Switching und Routing von Paketen (entsprechend den Flussregeln) übernehmen, werden meist als Weiterleitungsgeräte bezeichnet. Auch hier kann es sich um separate Netzwerktechnik oder einen Teil der Virtual-Machine-Plattform handeln. Traditionell versteht man unter Weiterleitungsgeräten beispielsweise Switches, Router oder Firewalls. Sie können in jeder dieser Rollen oder in einer Hybrid-Rolle agieren, also Switching für Ethernet-Datenverkehr, aber Routing von anderem IP-Datenverkehr, dabei Lastausgleich durchführen und einheitliche Sicherheitsrichtlinien für den gesamten Datenverkehr anwenden.

Mit anderen Worten: Ihre Netzwerkfunktionen sind in Software Definiert (daher die Bezeichnung „SDN“). Diese Funktionen können problemlos neu definiert werden, sodass die Betriebsabläufe flexibler und agiler gehandhabt werden können. Die Definition und Neudefinition erfolgt nach Wunsch, ohne dass physische Konfigurationen geändert werden müssen.

Vorteile der Funktionsteilung

Durch diese Funktionsteilung zwischen der Kontroll- und der Weiterleitungsebene können die Weiterleitungsgeräte im Vergleich zu konventionellen Netzwerkgeräten einfacher aufgebaut sein und eine geringere Netzwerklatenz besitzen. Das SDN bietet dem Controller auch eine globale Übersicht über das Netzwerk, sein Inventar, seine Topologie sowie die Anforderungen der Benutzer und Anwendungen. Um dies in einem herkömmlichen Netzwerk zu erreichen, müssen zahlreiche intelligente Geräte miteinander kooperieren. Diese globale Übersicht verringert die Komplexität, Latenz sowie Bedienungsfehler und gewährleistet gleichzeitig, dass Ihre Sicherheitsrichtlinien einheitlich angewendet werden. Das SDN erlaubt meist die Verwendung mehrerer Controller, sodass Sie die Controller für Hochverfügbarkeit clustern, für ein Föderationsmodell regionalisieren und verschiedene Netzwerkhierarchie-Ebenen anlegen können. Außerdem lässt sich das gesamte Netzwerk für Mehrmandantenfähigkeit virtualisieren, was häufig besser (also einfacher zu verwalten und weniger fehleranfällig) ist als die Pflege komplexer VLAN-Konfigurationen. Durch den Hybrid-Ansatz von Weiterleitungsgeräten können ihre Rollen und Funktionen einfacher segmentiert werden, was insbesondere in mehrmandantenfähigen öffentlichen Cloud-Umgebungen von Vorteil ist.

Wie wir bereits angedeutet haben, gibt es einige konkurrierende Modelle für die Implementierung von SDNs, doch die beiden wichtigsten sind: Ein klassisches SDN-Modell, das die Funktionsweise physischer Netzwerktechnik

ändert

Ein Netzwerkvirtualisierungsmodell, das die Kontrolle in der Virtual-Machine-

Plattform behält

Obwohl sich diese beiden Ansätze in Bezug auf Implementierung und Philosophie unterscheiden, sind sie sich konzeptionell ähnlich.



Die Controller-Rolle umfasst auch die Erfassung von Statistiken sowie die Bereitstellung. Diese Aufgaben eignen sich für die Zentralisierung und passen besser zu Industrie-standard-Hardware (im Gegensatz zu spezialisierter Hardware, die üblicherweise in Switches und Routern zum Einsatz kommt). Die Verlagerung eines Großteils der Netzwerkaufgaben auf eine Standard-Hardware-Plattform hat offensichtliche wirtschaftliche Vorteile.

Im Modell eines virtualisierten Netzwerks ist die Controller-Rolle in die VM-Plattform integriert: Meist übernehmen diese Aufgabe die Hypervisoren sowie ihre Verwaltungs-ebenen und zusätzliche Netzwerk-Virtualisierungskomponenten, die für Hochverfügbarkeit geclustert sein können. Der Einsatz universeller Industriestandard-Hardware ist hier also ganz besonders gerechtfertigt, wie wir im nächsten Kapitel („Die Funktionsweise des SDDC“) zeigen werden.

SICHERHEIT UND COMPLIANCE Beim SDDC ist die Sicherheit nicht mehr an eine physische Stelle im Netzwerk gebunden. Die VM-Plattform abstrahiert die Netzwerk- und Sicherheitsfunktionen von der zugrunde liegenden Hardware-Plattform. Durch diese Abstraktion können Sicherheitsfunktionen auf das gesamte Netzwerk ausgedehnt werden – überall dorthin, wo Anwendungen sie benötigen. Wie wir im nächsten Kapitel zeigen werden, bietet das Hochstufen der Intelligenz im Stack Vorteile für Sicherheits-Software, da sie sich näher an den Workloads befindet: Die Sicherheits-Software kann ruhende sowie übertragene Daten besser erfassen, während sie den gleichen Kontext wie die Anwendungen hat, die diese Daten generieren und nutzen. Darüber hinaus kann die Sicherheits-Software durch die Nähe zu den Workloads besseren Schutz vor Denial-of-Service-Angriffen, böswilligen Ausbruchs-versuchen aus virtuellen Maschinen, Verstößen gegen Zugangskontrollen an geografischen Standorten und anderen Problemen bieten. Ein SDDC-Ansatz bringt jedoch neue potenzielle Risiken für Sicherheit und Compliance mit sich. Es ist wichtig, mehrschichtige Sicherheitstechnologien zu implementieren, die der SDDC-Struktur wirklich Rechnung tragen, anstatt auf veraltete Produkte ohne Überblick über die tatsächliche virtuelle Umgebung zu setzen.

DIE FUNKTIONSWEISE DES SDDC HOCHSTUFUNG DER INTELLIGENZ IM STACK Wie bereits erwähnt, gibt es unterschiedliche Konzepte für Software-definierte Rechenzentren, doch eines haben sie gemeinsam: Im SDDC wird ein größerer Teil des Speicher-, Netzwerk- und Sicherheitssystems auf die VM-Plattform verschoben. Bisher war beim Virtualisieren von Workloads die Unterstützung von Speicher, Netzwerk und Sicherheit lediglich Fassade – eine dünne und primitive Code-Schicht, die als Kitt agierte. Das bedeutete, dass Verwaltung und Betrieb eines virtualisierten Rechenzentrums immer noch den Umgang mit nicht integrierten Komponenten erforderten, die zudem nicht oder kaum für Virtualisierung ausgelegt waren. Im Gegensatz dazu stuft das SDDC Funktionen von diesen unteren Ebenen in der VM-Plattform hoch. Die Intelligenz hinter der Abstraktion wird von den Geräten zur Software verlagert, anstatt einfach nur durchgereicht zu werden.

ABSCHÜTTELN VON ALTLASTEN In der Vergangenheit wurden die Grenzen zwischen virtualisierten Datenverarbeitungs-, Speicher- und Netzwerksystemen lediglich durch Zweckmäßigkeit definiert – die Notwendigkeit, die Funktionen virtualisierter Hardware zu emulieren. Mit anderen Worten: Die Architektur war im Wesentlichen historisch und alles andere als die „beste“ Implementierung. Veralteter virtualisierter Zugriff auf das Speichersystem war insofern primitiv,

als dass er für Entscheidungen die Intelligenz der zugrunde liegenden Speicher-Subsysteme nutzen musste.

Es ist wichtig, mehrschichtige Sicherheits-technologien zu implementieren, die der SDDC-Struktur wirklich Rechnung tragen, anstatt auf veraltete Produkte ohne Überblick über die tatsächliche virtuelle Umgebung zu setzen.



Der veraltete virtualisierte Zugriff auf das Netzwerksystem erfolgte über relativ primitive Software-Fassade, die im Wesentlichen das physische Netzwerk emulierte (und für Entscheidungen ebenfalls das zugrunde liegende Netzwerk nutzte).

Veraltete Sicherheitssysteme konzentrierten sich häufig lediglich auf den Schutz der Peripherie und berücksichtigten dabei nicht oder kaum Richtlinien für die Kommunikation zwischen virtualisierten Workloads. Zudem waren die Tools zur Implementierung solcher Richtlinien häufig unzureichend.

Wichtig ist, zu verstehen, dass es damals keine empfohlenen Vorgehensweisen für diese isolierte und veraltete Architektur gab. Eines der dadurch verursachten realen IT-Probleme, das als „Konfigurationsdrift“ bezeichnet wurde, konnte Sicherheitsschwachstellen offenlegen. Durch die Neukonzeption und Neugestaltung dieser funktionellen Grenzen kann das SDDC mehr als nur den Datenverarbeitungsteil eines Workloads abstrahieren und automatisieren. Dies ermöglicht verbesserte Automatisierung, einfachere Verwaltung und stärkere Sicherheit.

SICHERHEIT UND COMPLIANCE IM SDDC Anbieter wie VMware und McAfee sind der Meinung, dass die Neugestaltung der funktionellen Grenzen eine sinnvolle Sicherheitsentscheidung ist. Wir stimmen dem zu – zumindest insofern, als dass die Sicherheits-Software-Ebenen im SDDC grundlegende Aufgaben wie Überwachung, Blockierung und Behebung effektiver und effizienter durchführen können. Ein wichtiger Sicherheitsvorteil des SDDC besteht darin, dass die VM-Plattform die einzigartige Möglichkeit besitzt, das gesamte Verhalten der verwalteten Workloads zu überblicken – nicht nur in einer virtuellen Maschine, sondern auch zwischen ihnen. Im SDDC können VM-Plattform und Sicherheits-Software die Verhaltensweisen im Kontext betrachten. Das bietet erheblich mehr Möglichkeiten und größere Zuverlässigkeit als eine reine Peripheriesicherung oder ein Firewall-basierter Schutz vor Datenkompromittierung (Data Loss Prevention, DLP). Beispielsweise können für SDDC-fähige Funktionen für Eindringungsschutz oder Datenverkehruntersuchung umfangreiche zusätzliche Kontextdaten zur Verfügung stehen. Dies kann schnellere sowie genauere Entscheidungen ermöglichen und die Erkennung von böswilligen Aktivitäten, die schnelle Blockierung oder Isolierung von Problemen sowie die anschließenden Behebung der Schäden verbessern. Dennoch sind nicht alle SDDC-Frameworks gleich. Sie sollten sich für ein Produkt entscheiden, das Änderungen bei alltäglichen Arbeitsabläufen Rechnung trägt und gleichzeitig Sicherheit sowie Compliance gewährleistet. Wichtig ist auch, dass das Produkt die Vorschriften-Compliance zuverlässig bewerten und nachweisen kann. Beispielsweise sollten Sie Ihre SDDC-Umgebung so konzipieren, dass Sie Sicherheits- und Compliance-Dienste basierend auf bewährten Standard-Vorlagen oder Vorgehensweisen implementieren können. Das Ziel besteht darin, die Komponenten so zu koordinieren, dass zu Sicherheitsschwachstellen und Compliance-Verstößen führende Fehler vermieden werden. Ein gutes SDDC bietet auch den Vorteil weniger anfälliger Abläufe und schnellerer Reaktionen auf Veränderungen in der Umgebung als herkömmliche oder schlecht integrierte Ansätze. Es ist durchaus möglich, dies beispielsweise mit einer generischen OpenStack-Implementierung zu erreichen, doch das erfordert umfassenderes internes Fachwissen – und was geschieht eigentlich, wenn Ihr OpenStack-Fachmann das Unternehmen verlässt? Entscheiden Sie sich daher für eine SDDC-Implementierung, die nicht derartig spezialisiertes Fachwissen erfordert. Wie bereits erwähnt, ist Sicherheit ohne einen SDDC-Ansatz beim Peripherie- oder Endgeräteschutz am effektivsten, was jedoch im Falle einer Kompromittierung der Peripherie den inneren Bereich des Rechenzentrums anfällig macht. Weitere Hardware- und Software-basierte Sicherheitsebenen können hinzugefügt werden, doch in der Praxis ist es schwierig, die komplexen zugrunde liegenden Regeln für diese Ebenen zu schreiben und zu pflegen. Fehler sind unvermeidbar und können zu nicht autorisiertem Zugriff, Denial-of-Service und anderen Problemen führen.



IM RECHENZENTRUM NICHTS NEUES Durch den Wechsel zu einem SDDC ändern sich weder die Art und Weise der Bedrohungen an sich, noch ist anderes Knowhow für die Bewertung dieser Bedrohungen und der damit verbundenen Risiken erforderlich. Auch die Techniken zur Erkennung und Abwehr dieser Bedrohungen sind im Wesentlichen gleich. Echte Unterschiede bestehen jedoch in der Informationsdichte, die der Sicherheits-Software zur Verfügung steht, sowie der Flexibilität der Software. Wichtig ist, dass Ihre eingesetzte Sicherheits-Software sich ins SDDC-Konzept integriert, d. h. speziell dafür konzipiert wurde. Deshalb sollten Sie vermeiden, veraltete einfache Sicherheits-Software als einen von vielen virtualisierten Workloads auszuführen. Wenn Sie beispielsweise einen öffentlichen WLAN-Hotspot in einer Einzelhandelsumgebung absichern, würden Sie üblicherweise den öffentlichen Netzwerkbereich durch einen Medienbruch vom Rest Ihrer Rechenzentrum-Workloads trennen und auf diese Weise die beiden physischen Infrastrukturen gänzlich trennen. In einer SDDC-Umgebung ist es jedoch möglich, mithilfe von Richtlinien einen „virtuellen Medienbruch“ innerhalb einer einzigen, einfachen physischen Infrastruktur zu erzwingen und dennoch das gewünschte Risikoprofil einzuhalten. Hinzu kommt, dass Sie mit einer SDDC-fähigen Sicherheits-Software eine zweite Sicherheitsebene hinzufügen können, die böswillige Zugriffe aus dem öffentlichen WLAN auf Backoffice-Workloads und -Daten erkennt und blockiert. Das SDDC ermöglicht die Untersuchung potenzieller Bedrohungen basierend auf Verhaltensinformationen, die in einem konventionellen Rechenzentrum nur selten verfügbar sind. Anbieter führen auch an, dass das SDDC die Vernetzung mit externen Bedrohungsdaten-Netzwerken sowie forensische Untersuchungen potenzieller Bedrohungen in einer virtuellen „Wegwerf“-Umgebung vereinfacht (und wir sehen dieses Argument als stichhaltig an). SDS und SDN können zusammenarbeiten, um zuverlässige und allgegenwärtige DLP-Techniken mithilfe von Richtlinien zu implementieren, die vom SDDC-Framework konsequent durchgesetzt werden. Letztendlich sollten, ähnlich wie beim Wechsel von ausschließlich Endgeräte-basierten Schutz zu einem ganzheitlichen Modell, DLP-Untersuchungen für alle übertragenen Daten sowie regelmäßig für gespeicherte Daten erfolgen. Das Konzept von SDN-Sicherheitsrichtlinien ist ein wichtiger Teil davon.

FAZIT UND EMPFEHLUNGEN Ein SDDC-Architekturkonzept bietet erhebliche Vorteile, wenn es für eine private Cloud in Ihrem eigenen Rechenzentrum genutzt wird. Zudem können Sie unkompliziert einen Hybridbetrieb fahren und Workloads zwischen Ihrem Rechenzentrum und öffentlichen Cloud-Diensten austauschen und gemeinsam nutzen. Die Vorteile liegen auf der Hand: Das SDDC ermöglicht Kostensenkungen und steigert gleichzeitig die Geschwindigkeit, Qualität und Flexibilität. Zugleich können Sie Ihre geschäftlichen Abläufe, die Sicherheit sowie Compliance verbessern. Frühzeitige Anwender haben bereits den Weg für Sie geebnet. Es besteht jedoch die Gefahr, dass Begriffe falsch verstanden werden. Wie bereits erwähnt, haben verschiedene Anbieter auch verschiedene Ansichten darüber, was ein SDDC ist und wie es aufgebaut sein sollte. In einer idealen Welt hätten wir diese potenziell irreführende Situation nicht, doch die Dinge stehen nun einmal so, wie sie sind. Wie so häufig wird es einige Zeit dauern, bis der Markt sich für einen dominierenden Ansatz entschieden hat. Wir befinden uns in einer Phase des Übergangs, in der Anbieter veralteter Lösungen einerseits ihre vorhandenen Produkte verkaufen möchten und gleichzeitig hinter den Kulissen fieberhaft daran arbeiten, zum Rest des Feldes aufzuschließen. IT-Kunden sollten zudem sicherstellen, dass zukünftige Anschaffungen nicht zur Bindung an ein proprietäres SDDC-Konzept führen – eines, das nicht vollständig mit den Produkten anderer Anbieter kompatibel ist und deren Nutzung in der Zukunft erschwert. Zudem kann das SDDC nicht auf magische Weise eine schlecht geplante, grundlegend unsichere oder leistungsschwache Anwendung reparieren. Ungeachtet dessen hat das SDDC erhebliche und nachgewiesene Vorteile, sodass Sie diese Gelegenheit ergreifen sollten.

Das SDDC ermöglicht die Untersuchung potenzieller Bedrohungen basierend auf Verhaltens-informationen, die in einem konventionellen Rechenzentrum nur selten verfügbar sind.



ÜBER DIE SPONSOREN

McAFEE McAfee ist eines der weltweit führenden unabhängigen Cyber-Sicherheitsunternehmen. Inspiriert durch die Stärke, die aus Zusammenarbeit resultiert, entwickelt McAfee Lösungen für Unternehmen und Privatanwender, mit denen die Welt etwas sicherer wird. Mit unseren Lösungen, die mit den Produkten anderer Unternehmen zusammenarbeiten, können Unternehmen Cyber-Umgebungen koordinieren, die wirklich integriert sind und in denen der Schutz vor sowie die Erkennung und Behebung von Bedrohungen nicht nur gleichzeitig, sondern auch gemeinsam erfolgen. McAfee bietet Schutz für alle Geräte von Privatanwender und sichert dadurch das digitale Leben zu Hause und unterwegs. Durch die Zusammenarbeit mit anderen Sicherheitsakteuren fördert McAfee zudem den gemeinsamen Kampf gegen Cyber-Kriminelle. Davon profitieren alle. www.mcafee.com/de

VMWARE VMware ist ein weltweit führender Anbieter für Cloud-Infrastrukturen und Digital Workspace-Technologien. Er beschleunigt die digitale Transformation, indem er seinen Kunden einzigartige Freiheit und Flexibilität beim Auf- und Ausbau ihrer IT-Umgebungen gibt. Dank der Lösungen von VMware können Unternehmen die geschäftliche Flexibilität verbessern, indem sie Rechenzentren modernisieren und öffentliche Clouds integrieren, mit modernen Anwendungen Innovationen vorantreiben, durch die Unterstützung des Digital Workspace hervorragende Nutzererfahrungen ermöglichen und das Kundenvertrauen durch einen Wandel der Sicherheit schützen. VMware gehört zur Dell Technologies-Unternehmensfamilie.

© 2017 Osterman Research, Inc. Alle Rechte vorbehalten. Dieses Dokument darf weder ganz noch teilweise in irgendeiner Form vervielfältigt oder ohne vorherige Erlaubnis von Osterman Research, Inc. auf irgendeine Weise verbreitet werden. Ferner darf es nicht ohne schriftliche Zustimmung von Osterman Research, Inc. von einer anderen juristischen Person als Osterman Research, Inc. weiterveräußert oder verbreitet werden. Osterman Research, Inc. bietet keine Rechtsberatung. Die Inhalte in dieser Veröffentlichung stellen weder eine rechtliche Beratung dar, noch entbinden dieses Dokument oder darin erwähnte Software-Produkte oder andere Angebote den Leser von der Einhaltung von Gesetzen, die in diesem Dokument erwähnt werden (einschließlich, jedoch nicht beschränkt auf alle Rechtsakte, Statute, Verordnungen, Vorschriften, Direktiven, behördlichen Anordnungen, Verfügungen usw. (insgesamt als „Gesetze“ bezeichnet)). Sofern erforderlich, sollte der Leser kompetente juristische Beratung zu den hier erwähnten Gesetzen einholen. Osterman Research, Inc. übernimmt keine Gewährleistung oder Garantie für die Vollständigkeit oder Richtigkeit der Informationen in diesem Dokument. DIESES DOKUMENT WIRD „WIE BESEHEN“ UND OHNE GEWÄHRLEISTUNG JEGLICHER ART BEREITGESTELLT. ALLE AUSDRÜCKLICH ODER STILLSCHWEIGEND GENANNTEN ZUSICHERUNGEN, BEDINGUNGEN UND GEWÄHRLEISTUNGEN, EINSCHLIESSLICH ALLER IMPLIZIERTEN ZUSICHERUNGEN EINER GEBRAUCHSTAUGLICHKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK, WERDEN IM GESETZLICH ZULÄSSIGEN RAHMEN AUSDRÜCKLICH AUSGESCHLOSSEN.

www.mcafee.com/de

@McAfee

0800 664 07628

www.vmware.com

@VMware

+1 877 486 9273

http://www.mcafee.com/de



LITERATURHINWEISE i dm-mailinglist.com/subscribe?f=12f3e2b5 (The What, the Why and the How of Hybrid Cloud) ii ebd. iii modman.unixdev.net/?sektion=2&page=chroot&manpath=4.2BSD (UNIX 4.2BSD chroot)

Documents

Das Warum, Was und Wie des Software-definierten …€¦ · ©2017 Osterman Research, Inc. 1 virtualisierter Rechenzentrum Das Warum, Was und Wie des Software-definierten Rechenzentrums