Netzsicherheit

Veit Schiele

12. Februar 2024

3–4 Minuten

Die verschiedenen Klassen werden durch die einheitliche Verwendung von VLANs und VXLANs getrennt und durch Firewalls auf den Routern und individuell auf jeder VM vor Internetverkehr geschützt.

VLAN-Klassen und Gateway-Firewall

Front-End-Netzwerk

Knoten, die Dienste für die Allgemeinheit anbieten, haben eine oder mehrere IPv4/IPv6-Adressen in diesem Netz.

Der Verkehr zu Adressen in diesem Netzwerk wird von der Gateway-Firewall ohne Einschränkungen weitergeleitet.

Kunden sollten nur Dienste an die IP-Adressen binden, die für den Zugriff aus dem Internet vorgesehen sind. Backend-Dienste sollten an das Servernetz gebunden werden.

Server-Netzwerk

Alle Knoten haben eine Adresse im Servernetz. Diese wird von Anwendungen für die interne Kommunikation verwendet, z. B. von Anwendungsservern, die mit Ihrer Datenbank kommunizieren.

Die Computer im Servernetz verwenden in der Regel private IPv4-Adressen und öffentliche IPv6-Adressen. Ausgehender Datenverkehr ist im Allgemeinen erlaubt und wird bei Bedarf auf der Gateway-Firewall maskiert. Benötigt ein Rechner einen unmaskierten Zugang zum Internet, muss im Front-End-Netz eine IP-Adresse bereitgestellt werden.

Der meiste eingehende Verkehr wird auf der Gateway-Firewall blockiert, mit Ausnahme von Port 22 für tcp (ssh) u. a..

Speichernetzwerk

Dieses Netzwerk wird für den Speicherverkehr verwendet. Es ist nur für Ring 0-Maschinen zugänglich, nicht aber für kundeneigene Geräte oder virtuelle Maschinen. Kundeneigene Umgebungen implementieren separate Speichernetzwerke.

Dieses Netzwerk verwendet private IPv4-Adressen, die nicht über das Internet geroutet werden. Datenverkehr von außerhalb dieses Netzwerks ist nicht zulässig.

Verwaltungsnetzwerk

Dieses Netz wird nur für Verwaltungszwecke verwendet: Zugriff auf das Intelligent Platform Management Interface (IPMI), Switch-Konsolen, Betriebssysteme usw.

Es verwendet private IPv4-Adressen, die nicht über das Internet geroutet werden. Datenverkehr von außerhalb dieses Netzwerks ist nicht zulässig.

Basisnetzwerk

Dieses Netzwerk dient der Implementierung einer redundanten, dynamischen BGP/Ethernet VPN/VXLAN-Umgebung, um alle anderen Netzwerke nach Bedarf zu den physischen Maschinen zu transportieren.

Es verwendet ein privates IPv4-Netzwerk und lokale IPv6-Link-Adressen. Das Basisnetzwerk ist nur für Ring 0-Maschinen zugänglich, nicht aber für virtuelle Maschinen.

VM-Firewall

Jede VM führt eine zusätzliche lokale Firewall mit iptables aus, die standardmäßig

  • den gesamten Datenverkehr zu den Frontend-IPs blockiert, sofern er nicht ausdrücklich von einem konfigurierten Dienst geöffnet wird, und

  • den gesamten Datenverkehr zu den Server-zu-Server-IPs blockiert, außer für VMs aus demselben Projekt.