DE102016124383A1 - Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen - Google Patents

Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen Download PDF

Info

Publication number
DE102016124383A1
DE102016124383A1 DE102016124383.3A DE102016124383A DE102016124383A1 DE 102016124383 A1 DE102016124383 A1 DE 102016124383A1 DE 102016124383 A DE102016124383 A DE 102016124383A DE 102016124383 A1 DE102016124383 A1 DE 102016124383A1
Authority
DE
Germany
Prior art keywords
virtual
computer system
physical
network
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102016124383.3A
Other languages
English (en)
Other versions
DE102016124383B4 (de
Inventor
Heinz-Josef Claes
Robert Ferwagner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Technology Solutions Intellectual Property GmbH
Original Assignee
Fujitsu Technology Solutions Intellectual Property GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Technology Solutions Intellectual Property GmbH filed Critical Fujitsu Technology Solutions Intellectual Property GmbH
Priority to DE102016124383.3A priority Critical patent/DE102016124383B4/de
Priority to PCT/EP2017/075980 priority patent/WO2018073082A1/de
Priority to GB1817379.9A priority patent/GB2565458A/en
Priority to US16/098,286 priority patent/US20190250938A1/en
Publication of DE102016124383A1 publication Critical patent/DE102016124383A1/de
Application granted granted Critical
Publication of DE102016124383B4 publication Critical patent/DE102016124383B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5077Logical partitioning of resources; Management or configuration of virtualized resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft eine Computersystem-Architektur (1) umfassend eine virtuelle Umgebung, wobei die virtuelle Umgebung zumindest eine virtuelle Maschine (VM) und zumindest eine virtuelle Netzwerk-Bridge (br) zumindest eines virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) aufweist. Die virtuelle Maschine (VM) kann mit weiteren virtuellen Maschinen (VM) innerhalb des virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) kommunizieren, wobei jedoch ein Verbindungsaufbau von der virtuellen Maschine (VM) in ein externes physisches Netzwerk (N, N1, N2), welches sich von dem virtuellen Kommunikationssubnetz (3, 31, 32, 33, 34) unterscheidet, verhindert wird. Netzwerk-Ports (4) des physischen Computersystems (2), auf dem die virtuelle Umgebung eingerichtet ist, lassen eine Vermittlung einer Kommunikation innerhalb des virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) vermittels des externen physischen Netzwerks (N, N1, N2) zu, verbieten jedoch einen vom virtuellen Kommunikationssubnetz (3, 31, 32, 33, 34) unabhängigen Verbindungsaufbau aus dem externen physischen Netzwerk (N, N1, N2) zum physischen Computersystem (2) .

Description

  • Die Erfindung betrifft eine Computersystem-Architektur, umfassend ein physisches Computersystem, auf dem ein Basisbetriebssystem sowie eine virtuelle Umgebung eingerichtet sind. Ferner betrifft die Erfindung eine Computersystem-Infrastruktur mit einer Mehrzahl derartiger Computersystem-Architekturen.
  • Der sichere Betrieb von Betriebssystemen sowie darauf ablaufenden Anwendungsprogrammen beziehungsweise Anwendungsprogrammen ist stets ein technisches Problem beziehungsweise eine Herausforderung in modernen Computersystem-Architekturen beziehungsweise in Computernetz-Infrastrukturen oder IT-Netzen, die eine Mehrzahl derartiger Computersystem-Architekturen umfassen.
  • Ein großes Problem bei der Sicherheit von Computersystem-Architekturen oder ganzen Computernetz-Infrastrukturen ist das Auftreten bzw. Ausnutzen von Fehlern, von so genannten Backdoors, Zero-Day-Exploits oder sonstigen Sicherheitslücken in den zu betreibenden Betriebssystemen oder den auf diesen ablaufenden Anwendungsprogrammen. Derartige Fehler beziehungsweise Sicherheitslücken können Angreifer aus einem externen Netzwerk ausnutzen, um eine Manipulation eines Betriebssystems, von darauf ablaufenden Anwendungsprogrammen bzw. von Daten durchzuführen, die im Betriebssystem oder in den darauf ablaufenden Anwendungsprogrammen verarbeitet werden. Ferner können Angreifer Fehler beziehungsweise Sicherheitslücken auch für einen unberechtigten Zugriff auf Betriebssysteme, Anwendungsprobramme bzw. Daten ausnutzen.
  • Ein weiteres Problem im Zusammenhang mit der Sicherheit von IT-Systemen besteht darin, dass von Dritten beziehbare Betriebssysteme oder Anwendungsprogramme fehlerhaft sein können oder bewusst derart manipuliert beziehungsweise eingerichtet sein können oder durch einen externen Angreifer manipuliert werden, dass diese einen für einen Benutzer ungewollten Verbindungsaufbau auf andere externe Systeme durchführen (in Fachkreisen als so genanntes „Nach Hause Telefonieren“ bezeichnet), um Daten oder allgemein Informationen an Dritte (zum Beispiel Kriminelle) weiterzugeben. Ein Benutzer hat oftmals gar keine Kenntnis oder überhaupt die Möglichkeit einer Kenntnis von derartigen Vorgängen. Es ist auch bekannt, dass derartige Vorgänge gezielt verschleiert werden, um möglichst nicht oder nur sehr schwer aufzufallen.
  • Vor dem Hintergrund einer streng zu fordernden Systemsicherheit müssen Betriebssysteme und darauf laufende Anwendungsprogramme daher prinzipiell als „potentiell unsicher“ eingestuft werden. Entsprechendes gilt für sonstige Hardware- und Software-Komponenten, die in IT-Netzen eingesetzt werden.
  • Herkömmliche Sicherheitslösungen sehen den Einsatz von Firewall-Systemen vor, die idealerweise zwischen sämtliche Systeme und Komponenten bzw. deren Schnittstellen in einer Computernetz-Infrastruktur geschaltet werden, um den Netzwerkverkehr der Betriebssysteme beziehungsweise der darauf laufenden Anwendungsprogramme und die Verbindungen zwischen beteiligten Computersystemen bzw. sonstigen Netzwerkkomponenten (z.B. Router, Switches, usw.) zu kontrollieren und zu beschränken und somit die Gefahr eines missbräuchlichen Datenverkehrs über ungewollte Netzwerkverbindungen möglichst zu reduzieren.
  • Ein Nachteil dieser bisherigen Ansätze besteht jedoch darin, dass prinzipiell für jedes Betriebssystem beziehungsweise für jedes darauf laufende Anwendungsprogramm eine Vielzahl von Sicherheitsregeln eingerichtet werden müssen, um das Computersystem möglichst robust gegen Angriffe aus dem Netz beziehungsweise gegen einen ungewollten Abzug von Daten auf ein externes System zu machen. Bei einer Vielzahl von Anwendungsprogrammen innerhalb einer komplexen Computernetz-Infrastruktur (z.B. Unternehmens- oder Konzernnetzwerk) wird ein Sicherheitsmanagement über Firewall-Einstellungen daher schnell unübersichtlich und fehleranfällig. Auch ist eine Administration von Firewall-Systemen sehr zeit- und kostenaufwendig, weil die Firewall-Einstellungen nach Software-Updates kontinuierlich nachgepflegt, d.h. überprüft, revidiert und eventuell nachgebessert werden müssen, um den Gefahren der oben erläuterten Art zu begegnen. Ferner können auch Firewall-Systeme Fehler, Backdoors oder allgemein Sicherheitslücken aufweisen bzw. von Benutzern (z.B. Administratoren) für missbräuchliche Zugriffe auf zu schützende Daten manipuliert werden.
  • Es ist weiterhin bekannt, Betriebssysteme oder Anwendungsprogramme innerhalb einer virtuellen Umgebung einzurichten, die über ein Basisbetriebssystem, z.B. vermittels eines sogenannten Hypervisors, gesteuert werden können. Derartige virtuelle Umgebungen bieten sich beispielsweise an, um bestimmte Software-Pakete zunächst in einer abgesicherten Umgebung (sogenannte Sandbox) zu testen, bevor entsprechende Programme innerhalb eines größeren Netzwerks eingesetzt werden. Solche Sandbox-Umgebungen dienen jedoch lediglich zum Testen von Software und sind für eine Realisierung komplexer IT-Netze unbrauchbar.
  • Andererseits können Virtualisierungslösungen dafür eingesetzt werden, auf flexible und einfache Art und Weise unterschiedlichste Systeme miteinander zu vernetzen, wobei Einschränkungen durch physische Hardware klein gehalten werden können. Dabei werden virtualisierte Systeme innerhalb von virtuellen Maschinen in virtuellen Umgebungen auf ein oder mehrere physische Computersysteme aufgesetzt. Doch auch bei einem Einsatz derart virtualisierter Systeme in IT-Netzen ergeben sich aufgrund einer Anbindung der virtuellen Systeme an ein oder mehrere physische Netzwerke die Gefahren der oben erläuterten Art.
  • Die Aufgabe der vorliegenden Erfindung ist daher, eine Computersystem-Architektur sowie eine Computernetz-Infrastruktur mit einer Mehrzahl solcher Computersystem-Architekturen aufzuzeigen, die eine erhöhte Sicherheit der hierdurch aufgebauten Systeme ermöglichen, eine verbesserte Robustheit gegenüber den oben aufgezeigten Gefahren aufweisen und dennoch die Möglichkeit bieten, eine flexible und anwendungsorientierte Infrastruktur insbesondere in größeren Netzwerken einzurichten.
  • Diese Aufgabe wird durch eine Computersystem-Architektur gemäß Anspruch 1 gelöst.
  • Die Computersystem-Architektur umfasst ein physisches Computersystem, auf dem ein Basisbetriebssystem sowie eine virtuelle Umgebung eingerichtet sind. Die virtuelle Umgebung weist zumindest eine virtuelle Maschine und zumindest eine virtuelle Netzwerk-Bridge zumindest eines virtuellen Kommunikationssubnetzes auf. Die virtuelle Maschine kann beispielsweise ein virtualisiertes zu betreibendes Betriebssystem beziehungsweise ein oder mehrere darauf ablaufende virtualisierte Anwendungsprogramme umfassen. Allgemein soll der Begriff „virtuelle Maschine“ bzw. „virtuelle Umgebung“ als eine vom Basisbetriebssystem bzw. von der Hardware des physischen Computersystems abstrahierte und ggf. abgeschottete Umgebung verstanden sein.
  • Die virtuelle Maschine und die virtuelle Netzwerk-Bridge sind vermittels des Basisbetriebssystems steuerbar. Eine derartige Steuerung erfolgt vorteilhaft über einen Hypervisor des Basisbetriebssystems, der eingerichtet ist, die virtuelle Maschine und die virtuelle Netzwerk-Bridge zu steuern. Die virtuelle Maschine ist an die virtuelle Netzwerk-Bridge angebunden und für eine Kommunikation mit weiteren virtuellen Maschinen innerhalb des virtuellen Kommunikationssubnetzes oder anderer virtueller Kommunikationssubnetze eingerichtet.
  • Die virtuelle Maschine ist ferner derart eingerichtet, dass ein Verbindungsaufbau von der virtuellen Maschine in ein externes physisches Netzwerk außerhalb des physischen Computersystems, welches sich in seiner Konfiguration von dem virtuellen Kommunikationssubnetz unterscheidet, verhindert wird. Das bedeutet, dass die virtuelle Maschine lediglich innerhalb des oder der virtuellen Kommunikationssubnetze, gegebenenfalls auch über unterschiedliche virtuelle Kommunikationssubnetze hinweg kommunizieren kann, also Verbindungen von anderen virtuellen Maschinen annehmen kann oder Verbindungen zu anderen virtuellen Maschinen aufbauen kann, jedoch keine Verbindung beziehungsweise keine Schnittstelle in ein externes physisches Netzwerk außerhalb des physischen Computersystems aufweist. Eine entsprechende Steuerung der virtuellen Maschine ist vorteilhaft über das Basisbetriebssystem beziehungsweise den Hypervisor im Basisbetriebssystem eingerichtet. Somit kontrolliert das Basisbetriebssystem des physischen Computersystems eine Beschränkung der Kommunikation der virtuellen Maschine, so dass die virtuelle Maschine ausschließlich auf virtueller Ebene, das heißt insbesondere innerhalb zumindest eines eingerichteten virtuellen Kommunikationssubnetzes mit anderen virtuellen Maschinen kommunizieren kann. Verbindungen der virtuellen Maschine in ein externes physisches Netzwerk werden dabei (standardmäßig) verhindert beziehungsweise unterdrückt. Diese Eigenschaft wird vorteilhaft dadurch erzielt, dass die virtuelle Maschine keinen Netzwerk-Port mit Verbindung in ein externes physisches Netzwerk aufweist beziehungsweise entsprechende Netzwerk-Ports vermittels des Basisbetriebssystems blockiert werden. In speziellen Situationen (z.B. zur Einrichtung bzw. Konfiguration des erläuterten Verfahrens oder für eine spezielle Kommunikation mit einem autorisierten externen System) wäre jedoch denkbar, einen gezielten (temporären) Verbindungsaufbau von der virtuellen Maschine nach außen zu gestatten. In einer denkbaren Ausführungsform umfasst die Computersystem-Architektur mehrere virtuelle Maschinen, wobei ein gezielter Verbindungsaufbau nach außen für eine oder mehrere, ausgewählte virtuelle Maschinen (die eine spezielle Funktionalität, z.B. das Abholen von Daten von einem externen Dienst, realisieren) eingerichtet ist und für andere virtuelle Maschinen dauerhaft verhindert/unterdrückt wird.
  • Die Netzwerk-Ports des physischen Computersystems sind bei der Computersystem-Architektur gemäß dem hier vorgestellten Konzept derart eingerichtet, dass eine Vermittlung einer Kommunikation zwischen der virtuellen Maschine und anderen virtuellen Maschinen innerhalb des virtuellen Kommunikationssubnetzes oder gegebenenfalls innerhalb mehrerer virtueller Kommunikationssubnetze über das physische Computersystem hinaus vermittels des externen physischen Netzwerks im gewünschten Maße zugelassen wird. Ferner sind die Netzwerk-Ports des physischen Computersystems jedoch zusätzlich derart eingerichtet, dass ein vom virtuellen Kommunikationssubnetz unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk von außerhalb des physischen Computersystems zum physischen Computersystem verhindert wird.
  • Die Netzwerk-Ports des physischen Computersystems sind somit derart eingerichtet, dass lediglich eine Vermittlung einer Kommunikation innerhalb des oder der virtuellen Kommunikationssubnetze zwischen virtuellen Maschinen über ein externes physisches Netzwerk vermittelbar sind, jedoch sonstige Verbindungsversuche eines externen Systems aus dem externen physischen Netzwerk auf das physische Computersystem, die unabhängig von dem oder den virtuellen Kommunikationssubnetzen erfolgen, blockiert oder verworfen werden. Die Netzwerk-Ports des physischen Computersystems erlauben daher lediglich einen Verbindungsaufbau über speziell eingerichtete bzw. freigeschaltete Dienste, die ausschließlich eine Kommunikation innerhalb des oder der virtuellen Kommunikationssubnetze vermitteln. Für alle anderen Dienste sind die Netzwerk-Ports des physischen Computersystems vorteilhaft geschlossen. Im letzteren Fall sind die Netzwerk-Ports daher keine passiv geöffneten Ports (so genannte „Listening“-Ports), das heißt an diesen Netzwerk-Ports sitzen keine laufenden Dienste des physischen Computersystems, die ins externe Netzwerk „horchen“ und einen Verbindungsaufbau von außen auf das physische Computersystem ermöglichen würden. Vielmehr sind die Netzwerk-Ports für derartige Dienste gesperrt bzw. von außen nicht erreichbar oder ansprechbar.
  • Es ist allerdings denkbar, dass die virtuelle Maschine derart eingerichtet ist, dass ein Verbindungsaufbau aus dem externen physischen Netzwerk von außerhalb des physischen Computersystems direkt hin zur virtuellen Maschine möglich ist. In diesem Fall kann die virtuelle Maschine z.B. eine eigene (vom physischen Computersystem unabhängige) IP-Adresse aufweisen. Die virtuelle Maschine kann ferner einen oder mehrere aus dem externen physischen Netzwerk ansprechbare Dienste (z.B. einen Web-Server-Dienst) an einem oder mehreren hierfür eingerichteten Netzwerk-Ports bereitstellen. Allerdings ist - wie oben erläutert - dennoch bevorzugt ein Verbindungsaufbau von der virtuellen Maschine in das externe physische Netzwerk, abgesehen von denkbaren speziellen Situationen, generell verhindert.
  • Der Begriff des „externen physischen Netzwerks“ umfasst Netzwerk-Infrastrukturen eines oder mehrerer lokalen Netzwerke (LAN) und/oder Netzwerk-Infrastrukturen eines öffentlich erreichbaren Netzes (World Wide Web, Internet). Das bedeutet, dass die Netzwerk-Ports des physischen Computersystems derart eingerichtet sind (siehe obige Erläuterungen), dass sowohl Verbindungsversuche von anderen physischen Computersystemen aus einem lokalen Netzwerk als auch aus einem öffentlichen Netz unterdrückt werden, welche unabhängig von einer über die Netzwerk-Infrastruktur vermittelten Kommunikation innerhalb der virtuellen Kommunikationssubnetze sind.
  • Vorteilhaft ist das physische Computersystem als Server eingerichtet derart, dass dieser Server innerhalb eines oder mehrerer virtueller Kommunikationssubnetze vermittels einer oder mehrerer virtueller Maschinen (in denen bestimmte Anwendungsprogramme eingerichtet sind) vorbestimmte Dienste zur Verfügung stellt, ohne dass jedoch durch das physische Computersystem selbst von den virtuellen Kommunikationssubnetzen unabhängige Dienste über die Netzwerk-Ports nach außen in das physische externe Netzwerk bereitgestellt werden. Ein derartiger Server kann durchaus komplexe Funktionen bereitstellen und z.B. als virtualisierter Web-, Anwendungs- oder Datenbank-Server oder als eine Kombination davon eingerichtet sein. Es ist denkbar, dass insbesondere bei einer Mehrzahl von virtuellen Maschinen einzelne virtuelle Maschinen von extern aus dem externen physischen Netzwerk ansprechbar sind, um z.B. von diesen virtuellen Maschinen speziell bereitgestellte Dienste (z.B. Web-Server-Dienste) anzusprechen. Andere virtuelle Maschinen sind in diesem Fall vorteilhaft generell nicht an das externe physische Netzwerk angebunden. Diese virtuellen Maschinen können nur vermittels des oder der virtuellen Kommunikationssubnetze kommunizieren.
  • Das Konzept einer oben erläuterten Computersystem-Architektur hat gegenüber herkömmlichen Lösungen einen synergetischen Effekt. Dieser zeichnet sich zum einen dadurch aus, dass eine vollständige Kapselung von Betriebssystemen beziehungsweise darauf laufenden Anwendungsprogrammen, die als potentiell unsicher eingestuft werden, innerhalb einer virtuellen Maschine erfolgt, wobei weder eine Datenverbindung aus der virtuellen Maschine in das externe physische Netzwerk noch aus dem externen physischen Netzwerk auf das physische Computersystem (und dadurch gegebenenfalls in die virtuelle Maschine hinein) möglich ist. Somit ist eine Kapselung sowohl gegen ein Eindringen in das physische Computersystem aus dem externen physischen Netzwerk als auch gegen einen ungewollten Verbindungsaufbau aus der virtuellen Maschine bzw. aus dem physischen Computersystem in das externe Netzwerk realisiert.
  • Zum anderen ist das Einrichten von einem oder mehreren virtuellen Kommunikationssubnetzen zwischen einer Vielzahl von virtuellen Maschinen, die gegebenenfalls auf einer Vielzahl physischer Computersysteme eingerichtet sind, möglich und durch die dargestellte Computersystem-Architektur vorbereitet, so dass auch größere virtualisierte Netzwerke oder IT-Netze durch eine Zusammenschaltung einer Mehrzahl derartige Computersystem-Architekturen eingerichtet werden können.
  • Die Computersystem-Architektur gemäß dem vorgestellten Konzept verbindet somit Vorzüge herkömmlicher Einzellösungen zu einem neuartigen Konzept mit dem Effekt, dass eine erhöhte Sicherheit sowohl gegen Angriffe durch externe Schadsysteme in das physische Computersystem beziehungsweise in die virtuelle Maschine als auch gegen einen manipulierten ungewollten Datenabzug aus der virtuellen Maschine in das externe physische Netzwerk gewährleistet ist. Potentiell unsicher bewertete Software kann daher mit einer gegenüber bisherigen Ansätzen deutlich gesteigerten Sicherheit betrieben werden und dennoch komplexe Infrastrukturen realisiert werden.
  • Das hier dargestellte Konzept beruht auf den Überlegungen, dass in Computernetz-Infrastrukturen eingesetzte Basisbetriebssysteme beziehungsweise darauf laufende Anwendungsprogramme unsicher sein können in dem oben erläuterten Sinne, dass die Basisbetriebssysteme beziehungsweise Anwendungsprogramme von außen angreifbar sind beziehungsweise durch manipulative Fehler oder sonstige Sicherheitslücken gewollt oder ungewollt Daten nach außen in ein externes Netzwerk an ungewollte Dritte weitergeben. Derartige unsichere Systeme können innerhalb der virtuellen Maschine der Computersystem-Architektur der erläuterten Art betrieben werden, wobei eine Steuerung über das Basisbetriebssystem des physischen Computersystems erfolgt, welches vorteilhaft als sicher gegenüber dem zu betreibenden Betriebssystem beziehungsweise den zu betreibenden Anwendungsprogrammen gilt. Das Basisbetriebssystem kann zum Beispiel ein Open-Source-Betriebssystem in einer international entwickelten Distribution sein, die nicht bestimmten Interessen oder Zwängen einzelner Organisationen unterworfen ist. Idealerweise ist bei einem derartigen Basisbetriebssystem auch ein Audit auf Source Code-Ebene möglich, um das Verhalten des Basisbetriebssystems und seiner Komponenten (z.B. Treiber, Dienst- und Systemprogramme) transparent nachvollziehen zu können. Es ist auch denkbar, dass das Basisbetriebssystem speziell für die hier vorgesehene Aufgabe entwickelt und/oder gehärtet ist und lediglich die notwendigen Funktionalitäten bereitstellt, ohne unüberschaubare und überbordende Funktionalitäten zu enthalten.
  • Durch eine Kapselung der potentiell als unsicher geltenden Systeme in der virtuellen Maschine der Computersystem-Architektur entfällt die Notwendigkeit, umfangreiche Sicherheitsregeln beziehungsweise Firewall-Einstellungen für die zu betreibenden Betriebssysteme beziehungsweise Anwendungsprogramme zur Abschottung zu anderen Systemen vornehmen zu müssen. Denn das Basisbetriebssystem unterdrückt, wie oben erläutert, einen Verbindungsaufbau aus der virtuellen Maschine in ein externes physisches Netzwerk außerhalb des physischen Computersystems, abgesehen von speziell konfigurierten Verbindungen innerhalb eines oder mehrerer virtueller Kommunikationssubnetze zur anwendungsspezifischen Kommunikation zwischen einer Mehrzahl virtueller Maschinen zur Realisierung einer speziellen Funktionalität der Computersystem-Architektur. Durch Einsatz einer Virtualisierung in Verbindung mit der Nicht-Existenz von Netzwerkschnittstellen (Netzwerkinterfacen) an den virtuellen Maschinen, die mit der physischen Welt verbunden wären, wird somit der vorteilhafte Effekt erzielt, dass ein ungewünschter Verbindungsaufbau aus der virtuellen Umgebung in das externe physische Netzwerk unterdrückt wird, ohne dass es einer umfangreichen kontinuierlichen Sicherheitsadministration der zu betreibenden Betriebssysteme durch Firewall-Regeln bedarf. Die Computersystem-Architektur gemäß dem vorgestellten Konzept ist somit deutlich einfacher in der Handhabung und gleichzeitig auch robuster, weil eine Fehleranfälligkeit komplizierter Firewall-Regeln für jegliche Betriebssysteme beziehungsweise darauf laufende Anwendungsprogramme entfallen.
  • Durch eine gleichzeitige Abschottung des physischen Computersystems nach außen, derart, dass kein Verbindungsaufbau aus dem externen physischen Netzwerk (wie oben erläutert) auf das physische Computersystem möglich ist, abgesehen von einer vermittelten Kommunikation innerhalb des oder der virtuellen Kommunikationssubnetze, die über das externe physische Netzwerk vermittelt wird, wird der Schutz der Computersystem-Architektur zusätzlich deutlich erhöht. Dieser Schutz kann zum Beispiel durch gezielte Port-Sperren der Netzwerk-Ports des physischen Computersystems erzielt werden, die jedoch völlig unabhängig sind vom Verhalten der zu betreibenden Systeme innerhalb der virtuellen Umgebung. Auch dies trägt zu einem vereinfachten Handling der Computersystem-Architektur bei. Zudem wird durch den Schutz des physischen Computersystems gegen Verbindungen von außen erreicht, dass kein manipulativer Angriff auf das physische Computersystem, geschweige denn auf die virtuelle Umgebung innerhalb des physischen Computersystems, möglich ist. Auf diese Weise ist es einem Angreifer nicht oder nur sehr schwer möglich, manipulativen Zugriff auf das physische Computersystem zu erhalten, um Daten innerhalb des physischen Computersystems abzugreifen beziehungsweise eine erweiterte Kontrolle der virtuellen Umgebung und der darin ablaufenden Systeme zu erlangen. Selbst wenn ein Angreifer Zugang zu einem physischen Computersystem innerhalb einer Computernetz-Infrastruktur erlangen würde, ist ein weiteres Eindringen bzw. ein weiterer Vorstoß auf andere physische Computersysteme innerhalb der Computernetz-Infrastruktur äußerst erschwert.
  • Alles in allem verbindet das hier dargestellte Konzept der Computersystem-Architektur somit verschiedenste Maßnahmen zu einem synergetischen Sicherheitskonzept gegen Datenmissbrauch, das einfach handzuhaben ist und dennoch eine flexible Einrichtung einer Netzwerk-Topologie über virtuelle Kommunikationssubnetze ermöglicht, so dass auch komplexe Computernetz-Infrastrukturen aufgebaut werden können.
  • In einer Ausführungsform der Computersystem-Architektur weist die virtuelle Umgebung ferner zumindest eine virtuelle Speicherschnittstelle auf, wobei die virtuelle Speicherschnittstelle vermittels des Basisbetriebssystems steuerbar ist und eingerichtet ist physische Speicherkomponenten als virtuelle Speicherkomponenten für die virtuelle Maschine bereitzustellen. Die virtuelle Maschine ist an die virtuelle Speicherschnittstelle angebunden und für eine Kommunikation mit den virtuellen Speicherkomponenten eingerichtet. In dieser Ausführungsform können physische Speicherkomponenten als virtuelle Speicherkomponenten für die virtuelle Maschine bereitgestellt sein. Das heißt, die virtuelle Maschine sieht lediglich virtuelle Speicherkomponenten und kann nur diese einbinden. Die physischen Speicherkomponenten sind in diesem Fall für die virtuelle Maschine vorteilhaft nicht sichtbar bzw. nicht erreichbar oder ansprechbar. Die physischen Speicherkomponenten können innerhalb des physischen Computersystems oder auch als externe Speicherkomponenten eingerichtet sein. Es ist z.B. denkbar, physische Speicherkomponenten innerhalb eines Speichersubnetzes (z.B. ein sogenanntes Storage Area Network, SAN) an das physische Computersystem anzubinden. Eine Bereitstellung bzw. logische „Übersetzung“ der physischen Speicherkomponenten als bzw. in die virtuellen Speicherkomponenten erfolgt vermittels der virtuellen Speicherschnittstelle. Diese wird vermittels des Basisbetriebssystems bzw. vermittels des Hypervisors gesteuert. Es ist jedoch auch denkbar, eine vom Hypervisor getrennte Schnittstelle (z.B. in Form eines Pseudo-Devices oder ähnlichem) hierfür vorzusehen.
  • In dieser Ausführungsform sind die Netzwerk-Ports des physischen Computersystems zusätzlich vorteilhaft derart eingerichtet, dass eine Kommunikation mit externen Speicherkomponenten innerhalb eines Speichersubnetzes über das physische Computersystem hinaus vermittels des externen physischen Netzwerks zugelassen wird. In einer denkbaren Konfiguration sind die Netzwerk-Ports des physischen Computersystems bzw. die virtuelle Maschine vorteilhaft derart eingerichtet, dass ausschließlich ein Verbindungsaufbau des physischen Computersystems hin zu den externen Speicherkomponenten innerhalb des Speichersubnetzes ermöglicht ist, jedoch weder ein Verbindungsaufbau aus dem Speichersubnetz zum physischen Computersystem noch zur virtuellen Maschine möglich ist. Entsprechende Verbindungsversuche werden blockiert, verworfen oder sind schlichtweg nicht möglich. Vorteilhaft wird ein vom Speichersubnetz (und wie oben erläutert vom virtuellen Kommunikationssubnetz) unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk von außerhalb des physischen Computersystems zum physischen Computersystem generell verhindert.
  • Die Computersystem-Architektur ist daher vorteilhaft eingerichtet, dass die virtuelle Maschine auf virtuelle Speicherkomponenten zugreifen kann, um Daten zu speichern. Die virtuellen Speicherkomponenten werden vermittels der virtuellen Speicherschnittstelle auf physische Speicherkomponenten übersetzt. Eine Steuerung dieser Maßnahmen erfolgt vermittels des Basisbetriebssystems, vorzugsweise über einen Hypervisor im Basisbetriebssystem.
  • Durch die genannten Maßnahmen wird auch ein Schutz gegen ein manipulatives Zugreifen auf das physische Computersystem bzw. die virtuelle Maschine zur Erlangung von Daten erzielt, die von der virtuellen Maschine in entsprechenden (virtuellen) Speicherkomponenten eines hierfür vorgesehenen Speichersystems abgelegt werden. Ein Austausch von Daten zwischen virtuellen Maschinen und den virtuellen Speicherkomponenten erfolgt ausschließlich gesteuert über die virtuelle Speicherschnittstelle. Eine Weitergabe derartiger zu speichernder Daten durch die virtuelle Maschine an nicht autorisierte externe Systeme, die sich von den Speicherkomponenten unterscheiden, ist dadurch unterbunden, dass die virtuelle Maschine, wie oben erläutert, derart eingerichtet ist, dass ein Verbindungsaufbau in das externe physische Netzwerk, welches sich in seiner Konfiguration von dem Speichersubnetz unterscheidet, verhindert wird.
  • In einer Ausführungsform der Computersystem-Architektur sind das Basisbetriebssystem und die virtuelle Umgebung derart eingerichtet, dass ein Verbindungsaufbau von der virtuellen Maschine in das Basisbetriebssystem verhindert wird, jedoch ein Verbindungsaufbau vom Basisbetriebssystem in die virtuelle Maschine zugelassen wird. Durch derartige Maßnahmen wird die Sicherheit der Computersystem-Architektur weiter erhöht. Ein potenziell als unsicher eingestuftes Betriebssystem beziehungsweise ein darauf laufendes Anwendungsprogramm hat keine Möglichkeit, einen Aufruf in das Basisbetriebssystem durchzuführen. Auf diese Weise ist die Computersystem-Architektur gegen eine Manipulation von innen durch Fehler, Sicherheitslücken oder gezielte Manipulationen in den Betriebssystemen oder Anwendungsprogrammen geschützt, die in der virtuellen Maschine betrieben werden. Somit ist es einer potenziellen Schad-Software innerhalb der virtuellen Maschine nicht möglich, zum Beispiel Sicherheitseinstellungen oder eine sonstige Funktionsweise des Basisbetriebssystems zu manipulieren.
  • In dieser Ausführungsform ist ein Verbindungsaufbau von der virtuellen Maschine in das Basisbetriebssystem vorteilhaft dadurch verhindert, dass spezielle Firewall-Regeln im Basisbetriebssystem eingerichtet sind und/oder die Konsole der virtuellen Maschine vermittels des Hypervisors des Basisbetriebssystems entsprechend konfiguriert beziehungsweise blockiert ist.
  • In einer Ausführungsform der Computersystem-Architektur ist das Basisbetriebssystem eingerichtet, Daten der virtuellen Maschine, welche vermittels des externen physischen Netzwerks nach außerhalb des physischen Computersystems vermittelt werden, zu verschlüsseln. Das bedeutet, dass jegliche Daten, die aus der virtuellen Maschine in das externe physische Netzwerk außerhalb des physischen Computersystems versendet werden sollen, noch innerhalb des physischen Computersystems vermittels des Basisbetriebssystems verschlüsselt werden. Die Verschlüsselung erfolgt ausschließlich durch Mechanismen innerhalb des Basisbetriebssystems. Dies hat den Vorteil, dass etwaige Manipulationen, Fehler oder Sicherheitslücken der Betriebssysteme oder Anwendungsprogramme innerhalb der virtuellen Maschine keinen Einfluss oder auch nur Zugriff auf die Verschlüsselung der Daten haben. Dadurch, dass ein Verbindungsaufbau von der virtuellen Maschine in das Basisbetriebssystem gemäß den oben erläuterten Maßnahmen in einer bevorzugten Ausführung verhindert wird, ist im zu betreibenden Betriebssystem innerhalb der virtuellen Maschine zumindest nicht direkt ermittelbar, dass die Daten überhaupt verschlüsselt werden.
  • Eine verschlüsselte Versendung der Daten, insbesondere der Daten, die über ein oder mehrere virtuelle Kommunikationssubnetze und/oder ein oder mehrere Speichersubnetze der obigen Art in das externe physische Netzwerk außerhalb des physischen Computersystems versendet werden, kann durch Einrichten einer abgesicherten, verschlüsselten Verbindung erzielt werden. Dies kann beispielweise dadurch erzielt werden, dass das Basisbetriebssystem eingerichtet ist, ein oder mehrere so genannte Virtual-Private-Netzwerkverbindungen in ein externes physisches Netzwerk auf andere physische Computersysteme aufzubauen beziehungsweise von anderen physischen Computersystemen über das externe physische Netzwerk entsprechende Verbindungen anzunehmen. Innerhalb der so hergestellten Virtual-Private-Netzwerke (VPN) werden die Daten ausschließlich in verschlüsselter Form ausgetauscht. Die Netzwerk-Ports des physischen Computersystems sind somit vorteilhaft derart eingerichtet, dass ein entsprechender Datenaustausch über speziell hierfür eingerichtete VPN-Verbindungen erlaubt ist, z.B. speziell konfigurierte VPN-Dienste eingerichtet sind. Andere Verbindungen von außerhalb des physischen Computersystems auf das physische Computersystem werden, wie oben erläutert, blockiert beziehungsweise verworfen. Das bedeutet, dass das physische Computersystem für Verbindungsaufrufe aus dem externen physischen Netzwerk unabhängig von einer Datenkommunikation innerhalb eines virtuellen Kommunikationssubnetzes und ggf. unabhängig von einer Datenkommunikation innerhalb eines Speichersubnetzes der oben erläuterten Art nicht ansprechbar ist.
  • Die Verschlüsselung von Daten kann z.B. über eine speziell hierfür eingerichtete Verschlüsselungsschicht oder einen Pseudo-Device im Basisbetriebssystem erfolgen. Bei Unix- bzw. Linux-Systemen kann dies z.B. über den sogenannten „Device Mapper“ erfolgen.
  • Durch eine Verschlüsselung der Daten kann außerhalb des physischen Computersystems vermittels des externen physischen Netzwerks nicht auf Klardaten zugegriffen werden. Durch derartige Maßnahmen werden die Daten auch vor missbräuchlichen Auswirkungen durch Sicherheitslücken in externen Netzwerkkomponenten (z. B. Router, Switches, usw.) geschützt. Selbst wenn Daten über das externe physische Netzwerk auf Systeme unbefugter Dritter weitergeleitet werden oder z.B. von Administratoren in einem Speichersubnetz missbräuchlich abgegriffen werden, erhalten diese lediglich verschlüsselte Inhalte. Eine Umgehung der Verschlüsselung im Basisbetriebssystem durch einen Angriff eines externen Systems ist, wie oben erläutert, dadurch massiv erschwert, dass die Netzwerk-Ports des physischen Computersystems, abgesehen von Verbindungen innerhalb eines virtuellen Kommunikationssubnetzes beziehungsweise eines Speichersubnetzes, jegliche Verbindungsversuche aus dem externen physischen Netzwerk verhindern beziehungsweise blockieren. Optional kann zur weiteren Erhöhung der Sicherheit auch eine Mehrfachauthentifizierung oder eine Mehrfachverschlüsselung eingerichtet werden.
  • Nachfolgend wird eine vorteilhafte Computernetz-Infrastruktur unter Einsatz einer Mehrzahl von Computersystem-Architekturen der oben erläuterten Art dargestellt. Die Computernetz-Infrastruktur umfasst eine Mehrzahl solcher Computersystem-Architekturen, die über zumindest ein physisches Netzwerk (der oben erläuterten Art) verbunden sind. In der Computernetz-Infrastruktur ist zumindest eine virtuelle Maschine der jeweiligen Computersystem-Architekturen über zumindest ein virtuelles Kommunikationssubnetz mit zumindest einer virtuellen Maschine zumindest einer anderen Computersystem-Architektur verbunden. Die Computernetz-Infrastruktur ist derart eingerichtet, dass eine Kommunikation innerhalb des zumindest einen virtuellen Kommunikationssubnetzes zwischen den physischen Computersystemen vermittels des zumindest einen physischen Netzwerks vermittelt wird.
  • Eine derartige Computernetz-Infrastruktur umfasst die Vorteile, wie sie im Zusammenhang mit einer Computersystem-Architektur der oben dargestellten Art erläutert worden sind. In einer derartigen Computernetz-Infrastruktur ist eine Vielzahl von virtuellen Maschinen vernetzt, wobei die virtuellen Maschinen auf die Mehrzahl der physischen Computersysteme der jeweiligen Computersystem-Architekturen verteilt sind und innerhalb eines oder mehrerer virtuellen Kommunikationssubnetze miteinander kommunizieren können. Auf diese Weise können virtuelle Netzwerke mit komplexem Funktionsumfang realisiert werden. So ist es denkbar, durch eine derartige Computernetz-Infrastruktur komplexe Server-Funktionalitäten, z. B. umfassend Web-, Anwendungs- und/oder Datenbank-Funktionalitäten, bereitzustellen.
  • Ein großer Vorteil einer derartigen Computernetz-Infrastruktur besteht dabei darin, dass trotz einer komplexen Funktionalität umfangreiche und komplexe Sicherheitsregeln oder Firewall-Regeln entfallen. In einer derartigen Infrastruktur müssen nicht für jede Anwendung in jedem Computersystem global gültige Firewall-Regeln eingestellt werden, die in einer großen Infrastruktur zu unübersichtlichen Einstellungen führen würden. Vielmehr ist eine Absicherung der Infrastruktur dadurch gegeben, dass Betriebssysteme und Anwendungen innerhalb der virtuellen Maschinen der jeweiligen Computersystem-Architekturen eingekapselt sind und nicht über komplexe Firewall-Regeln gesteuert werden müssen. Dadurch, dass es einer jeden virtuellen Maschine verboten ist, eine Verbindung in das externe physische Netzwerk aufzubauen (siehe obige Erläuterungen), wird in einer derartigen Infrastruktur verhindert, dass sensible beziehungsweise vertrauliche Daten über ungewollte Netzwerk-Verbindungen nach außerhalb der Infrastruktur gelangen. Insofern haben Fehler und Sicherheitslücken der Betriebssysteme beziehungsweise Anwendungen innerhalb der virtuellen Maschinen keine oder nur sehr erschwert Auswirkung.
  • Die jeweiligen virtuellen Maschinen der jeweiligen Computersystem-Architekturen werden über die entsprechenden Basisbetriebssysteme in den physischen Computersystemen gesteuert. Diese Steuerung verhindert einen entsprechenden Verbindungsaufbau der virtuellen Maschinen in das externe physische Netzwerk. Auf diese Weise ist eine sehr einfache und dennoch wirkungsvolle Sicherheitssteuerung der Computernetz-Infrastruktur gewährleistet. Innerhalb der virtuellen Maschinen können unterschiedlichste Anwendungen beziehungsweise Systeme zur Realisierung bestimmter anwendungsspezifischer Funktionalitäten eingerichtet sein. Somit ist die Computernetz-Infrastruktur dennoch sehr flexibel in der Einrichtung anwendungsorientierter Funktionalitäten.
  • Zusätzlich zu einem Schutz einer Datenmanipulation von innerhalb der virtuellen Maschinen nach außerhalb der Computernetz-Infrastruktur bietet die Computernetz-Infrastruktur zudem einen wirksamen Schutz gegen ein Eindringen von außen. Denn, wie im Zusammenhang mit einer einzelnen Computersystem-Architektur oben dargestellt, sind sämtliche Netzwerk-Ports der jeweiligen physischen Computersysteme der Computernetz-Infrastruktur derart eingerichtet, dass lediglich eine Vermittlung einer (ggf. verschlüsselten) Kommunikation innerhalb des beziehungsweise der virtuellen Kommunikationssubnetze zwischen den physischen Computersystemen vermittels des externen physischen Netzwerks zugelassen wird, jedoch ein von dem oder den virtuellen Kommunikationssubnetzen unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk auf die jeweiligen physisches Computersysteme verhindert wird.
  • Mit anderen Worten kann über eine derartige Computernetz-Infrastruktur eine komplexe Funktionalität realisiert werden, die jedoch sowohl von innen nach außen, als auch von außen nach innen gegen Manipulationen beziehungsweise Angriffe geschützt beziehungsweise eingekapselt ist. Manipulationsversuche von außen sind extrem erschwert beziehungsweise deren Auswirkungen auf ein bestmögliches Minimum reduziert. Die physischen Computersysteme der Computernetz-Infrastruktur sind schlichtweg von außen über das physische externe Netzwerk nicht ansprechbar. Verbindungen, die unabhängig von Kommunikationen über das oder die virtuellen Kommunikationssubnetze sind, werden vollständig ignoriert. Andererseits ist die Computernetz-Infrastruktur abgesichert gegen Datenabzug durch Fehler oder Sicherheitslücken in Betriebssystemen oder Anwendungsprogrammen, die innerhalb der virtuellen Maschinen der jeweiligen Computersystem-Architekturen laufen. Aufgrund der Virtualisierung ist eine sicherheitstechnische Barriere geschaffen, die es einem System oder einer Anwendung innerhalb einer virtuellen Maschine verbietet, überhaupt eine (ungewollte) Verbindung nach außen aufbauen zu können. Jegliche Kommunikation der beteiligten Systeme ist innerhalb des oder der virtuellen Kommunikationssubnetze eingeschlossen.
  • Eine derartige Computernetz-Infrastruktur ist aus Sicherheitssicht einfach zu administrieren und erlaubt dennoch ein deutlich höheres Maß an Sicherheit im Vergleich zu herkömmlich aufgebauten Infrastrukturen.
  • Vorteilhaft weist die dargestellte Computernetz-Infrastruktur physische Speicherkomponenten zur Speicherung von Daten der virtuellen Maschinen der Computersystem-Architekturen auf. Die Speicherkomponenten sind als virtuelle Speicherkomponenten von zumindest einem Teil der virtuellen Maschinen ansprechbar. In einer Ausführungsform sind die Speicherkomponenten außerhalb der physischen Computersysteme als physische Speicherkomponenten (z. B. innerhalb eines so genannten Storage Area-Netzwerks, SAN) eingerichtet und über ein oder mehrere Speichersubnetze ansprechbar. Die Computernetz-Infrastruktur ist in dieser Ausführungsform derart eingerichtet, dass eine Kommunikation innerhalb der Speichersubnetze außerhalb der physischen Computersysteme vermittels des zumindest einen physischen Netzwerks vermittelt wird. Wie bereits oben zu einer einzelnen Computersystem-Architektur beschrieben, ist bei einer derartigen Ausführung einer Computernetz-Infrastruktur auch eine Speicherung von Daten integriert, die aus den virtuellen Maschinen stammen und gespeichert werden sollen. Hierbei kann es sich beispielsweise um anwendungsspezifische Daten, Benutzerdaten, Systemdaten, usw. handeln.
  • Durch eine Anbindung der virtuellen Maschinen über ein oder mehrere Speichersubnetze an die Speicherkomponenten, welche von den virtuellen Maschinen lediglich als virtuelle Speicherkomponenten sichtbar und ansprechbar sind, ist eine Datenspeicherung innerhalb des dargestellten Sicherheitskonzeptes der Computernetz-Infrastruktur auf einfache Weise realisiert. Sämtliche Daten werden ausschließlich eingekapselt innerhalb des oder der Speichersubnetze zwischen den Teilkomponenten der Infrastruktur ausgetauscht. Wie bereits oben zu einer einzelnen Computersystem-Architektur erläutert, werden Daten außerhalb eines physischen Computersystems vorteilhaft nur verschlüsselt übertragen. Eine entsprechende Verschlüsselung von Daten aus den virtuellen Maschinen erfolgt auf der Ebene des Basisbetriebssystems eines jeweiligen physischen Computersystems.
  • Die Verschlüsselung ist vorteilhaft derart eingerichtet, dass beteiligte virtuelle Maschinen keinerlei Zugriff auf die Verschlüsselung haben. Vorteilhaft ist die Verschlüsselung derart unabhängig von den virtuellen Maschinen eingerichtet, dass Betriebssysteme beziehungsweise Anwendungen innerhalb der virtuellen Maschinen nicht einmal Informationen vorliegen haben, dass eine Verschlüsselung außerhalb der virtuellen Maschinen auf Basisbetriebssystem-Ebene erfolgt. Zur Speicherung von Daten können die virtuellen Maschinen die virtuellen Speicherkomponenten ansprechen, wobei technisch auf der Ebene der Basisbetriebssysteme, z. B. vermittels eines Hypervisors oder einer hierfür eingerichteten Schnittstelle (z.B. eines Pseudo-Devices), eine Vermittlung dieser Kommunikation vermittels des zumindest einen physischen Netzwerks auf die tatsächlich vorliegenden physischen Speicherkomponenten erfolgt. Diese Vermittlung ist derart eingerichtet, dass sämtliche Daten über das Basisbetriebssystem verschlüsselt werden, bevor sie das physische Computersystem verlassen. Auf diese Weise sind die Daten innerhalb des physischen Netzwerks, d.h. auch innerhalb eines physischen Storage-Netzwerks, ausschließlich in verschlüsselter Form verfügbar. Derartige Maßnahmen sind auch unabhängig von etwaigen zusätzlichen Sicherheitseinrichtungen innerhalb der Speicherkomponenten beziehungsweise innerhalb eines physischen Storage-Netzwerks. Insofern ist die Computernetz-Infrastruktur auch sehr robust gegen etwaige Manipulationen von Sicherheitseinrichtungen der physischen Speicherkomponenten. Selbst bei einer Manipulation von Speicherkomponenten, zum Beispiel durch Eindringen eines externen Angreifers in ein entsprechend eingerichtetes Storage-Area-Network, sind die Daten bereits durch das Basisbetriebssystem der jeweiligen physischen Computersysteme verschlüsselt, so dass ein Angriff auf die Speicherkomponenten diesbezüglich aus Sicherheitssicht erfolglos bleibt.
  • Vorteilhaft ist die gesamte Computernetz-Infrastruktur derart eingerichtet, dass eine Kommunikation innerhalb des zumindest einen virtuellen Kommunikationssubnetzes (und auch gegebenenfalls innerhalb des zumindest einen Speichersubnetzes) zwischen den physischen Computersystemen über ein oder mehrere Virtual-Private-Netzwerke (VPN) vermittelt wird. Hierdurch ergeben sich die bereits oben im Zusammenhang mit einer entsprechenden VPN-Verbindung dargestellten Vorteile.
  • In einer vorteilhaften Ausführungsform der Computernetz-Infrastruktur sind zwischen jeweils zwei physischen Computersystemen zumindest ein erstes und ein zweites Virtual-Private-Netzwerk zur Vermittlung des zumindest einen virtuellen Kommunikationssubnetzes (und gegebenenfalls zur Vermittlung des zumindest einen Speichersubnetzes) eingerichtet. Dabei ist ein ansprechbarer VPN-Dienst des ersten Virtual-Private-Netzwerks auf dem einen physischen Computersystem eingerichtet und ein ansprechbarer VPN-Dienst des zweiten Virtual-Private-Netzwerks auf dem anderen physischen Computersystem eingerichtet. Das bedeutet, dass bei einer derartigen Konfiguration zwischen jeweils zwei physischen Computersystemen auf beiden Computersystemen zumindest jeweils ein VPN-Dienst zur Bereitstellung einer Verbindungsmöglichkeit über ein Virtual-Private-Netzwerk eingerichtet ist. Auf diese Art sind zumindest zwei VPNs zwischen jeweils zwei physischen Computersystemen nutzbar. Fällt ein VPN-Dienst auf einem der Computersysteme aus, so kann dennoch eine VPN-Verbindung zwischen den beteiligten Computersystemen über den VPN-Dienst des anderen Computersystems aufgebaut werden. Auf diese Weise ist die Computernetz-Infrastruktur besonders ausfallsicher hinsichtlich eingerichteter VPN-Verbindungen zwischen den physischen Computersystemen.
  • Es ist auch denkbar, mehr als zwei mögliche VPN-Verbindungen zwischen jeweils zwei physischen Computersystemen vorzusehen, indem mehr als zwei VPN-Dienste auf den entsprechenden physischen Computersystemen eingerichtet sind. Dies erhöht die Ausfallsicherheit und erlaubt eine Hochverfügbarkeit der VPN-Verbindungen zwischen den beteiligten physischen Computersystemen. Sämtliche zwischen jeweils zwei physischen Computersystemen eingerichtete VPN-Verbindungen können über ein so genanntes VPN-Bonding beziehungsweise VPN-Teaming zu einer redundanten Verbindung zusammengefasst werden. Dies hat auch den Vorteil, dass die gesamte Bandbreite der aggregierten Einzelverbindungen erhöht werden kann. Im Falle des Ausfalls einer Verbindung bestehen die eine oder die mehreren verbleibenden Verbindungen, wie erläutert, als redundante Verbindungen bestehen.
  • In einer vorteilhaften Ausführungsform sind in der Computernetz-Infrastruktur mehrere separate virtuelle Kommunikationssubnetze eingerichtet, wobei für jedes virtuelle Kommunikationssubnetz separate Sicherheitsregeln für die beteiligten virtuellen Maschinen vorgegeben sind. Jedes separate virtuelle Kommunikationssubnetz kann einen eigenen IP-Adressraum mit vorbestimmten privaten IP-Adressen der beteiligten virtuellen Maschinen aufweisen. Auf diese Weise sind innerhalb der Computernetz-Infrastruktur mehrere separate Teilnetze eingerichtet, wobei innerhalb der Teilnetze die virtuellen Maschinen kommunizieren. Innerhalb eines jeden Kommunikationssubnetzes kann die Kommunikation anwendungsspezifisch durch Sicherheitsregeln, z. B. Firewall-Regeln, definiert werden. Die Sicherheitsregeln werden z.B. über das Basisbetriebssystem gesteuert. Der Vorteil der Mehrzahl getrennter Kommunikationssubnetze besteht darin, dass für jedes Kommunikationssubnetz unabhängig von den anderen Kommunikationssubnetzen Sicherheitsregeln definiert werden können. Insbesondere können Sicherheitsregeln mit der Definition und Erzeugung der virtuellen Komponenten (virtuelle Maschinen, Bridges, Interfaces, usw.) verknüpft werden und so automatisch mitinstalliert, umgezogen oder entfernt werden. Auf diese Weise ist eine Verwaltung sämtlicher Kommunikationssubnetze aus Sicherheitssicht sehr einfach handzuhaben. Dennoch können innerhalb der einzelnen Kommunikationssubnetze diverse auf eine jeweilige Anwendung fein abgestimmte Sicherheitsregeln eingestellt werden. Somit erlaubt die Computernetz-Infrastruktur eine vernetzte Struktur mit einfach handzuhabenden Sicherheitseinstellungen, die jedoch sehr fein auf die entsprechenden anwendungsspezifischen Funktionalitäten abstimmbar sind. Es ist keine globale Sicherheitsinstanz (globales Firewall-System) notwendig, die für jede Anwendung in einer jeden virtuellen Maschine spezielle Firewall-Regeln zur Kontrolle einer Verbindung nach außen vorsehen muss. Eine Verbindungsmöglichkeit in das externe physische Netzwerk ist durch die Virtualisierung generell verboten, wie oben mehrfach erläutert.
  • In einer Ausführungsform umfasst die Computernetz-Infrastruktur neben den erläuterten Komponenten ferner ein Administrations-Computersystem und ein Vermittlungs-Computersystem, die mit dem zumindest einen physischen Netzwerk verbunden sind zur Administration eines oder mehrerer Computersystem-Architekturen. Die Netzwerk-Ports des Administrations-Computersystems sind zum zumindest einen physischen Netzwerk hin geschlossen, so dass ein Verbindungsaufbau aus dem zumindest einen physischen Netzwerk von außerhalb des Administrations-Computersystems zum Administrations-Computersystem verhindert wird. Das Vermittlungs-Computersystem weist jedoch zumindest einen offenen Netzwerk-Port zum zumindest einen physischen Netzwerk hin auf und ist derart eingerichtet, dass sowohl das Administrations-Computersystem als auch die physischen Computersysteme der zu administrierenden Computersystem-Architekturen über das zumindest eine physische Netzwerk auf das Vermittlungs-Computersystem zugreifen können.
  • Die hier zusätzlich vorgesehenen Systeme, nämlich das Administrations-Computersystem und das Vermittlungs-Computersystem, dienen zur Administration eines oder mehrerer, vorteilhaft aller, Computersystem-Architekturen innerhalb der Computernetz-Infrastruktur. Diese beiden Systeme sind speziell an das Sicherheitskonzept der Computernetz-Infrastruktur angepasst. Wie bereits mehrfach erläutert, sind die Netzwerk-Ports der physischen Computersysteme der entsprechenden Computersystem-Architekturen derart eingerichtet, dass ein vom virtuellen Kommunikationssubnetz beziehungsweise gegebenenfalls ein vom Speichersubnetz unabhängiger Verbindungsaufbau aus dem physischen Netzwerk von außerhalb der physischen Computersysteme verhindert wird. Das bedeutet, dass kein Computersystem, welches sich von einer virtuellen Maschine unterscheidet und außerhalb des einen oder der mehreren virtuellen Kommunikationssubnetze mit den physischen Computersystemen kommunizieren möchte, einen Verbindungsaufbau zu den physischen Computersystemen aufbauen kann. Vielmehr wird ein derartiger Verbindungsaufbau blockiert beziehungsweise verworfen. Andererseits soll aber auch ein administrativer Zugang zu den Computersystem-Architekturen der Computernetz-Infrastruktur gewährleistet bleiben beziehungsweise ist ein derartiger administrativer Zugang oftmals erforderlich.
  • Für einen derartigen kontrollierten administrativen Zugang sind das Administrations-Computersystem und das Vermittlungs-Computersystem vorgesehen. Die Netzwerk-Ports des Administrations-Computersystems sind analog zu den Netzwerk-Port der physischen Computersysteme der Computersystem-Architekturen innerhalb der Computernetz-Infrastruktur derart geschlossen, dass ein Verbindungsaufbau aus dem physischen Netzwerk zum Administrations-Computersystem verhindert wird. Dagegen weist das Vermittlungs-Computersystem zumindest einen offenen Netzwerk-Port auf, über den ein Verbindungsaufbau aus dem physischen Netzwerk auf das Vermittlungs-Computersystem eingerichtet ist. Im Gegensatz zum Administrations-Computersystem beziehungsweise zu den physischen Computersystemen der Computersystem-Architekturen ist das Vermittlungs-Computersystem daher ein „offenes“ Computersystem. Das bedeutet, dass sowohl das Administrations-Computersystem als auch die physischen Computersysteme der entsprechenden Computersystem-Architekturen auf das Vermittlungs-Computersystem zugreifen können und vom Vermittlungs-Computersystem Daten beziehungsweise Daten-Pakete über eine entsprechend aufgebaute Verbindung abrufen können. Über entsprechende Daten beziehungsweise Daten-Pakete ist somit ein Prozess zum Austausch von Steuerdaten für eine administrative Steuerung der Computersystem-Architekturen vermittels des Administrations-Computersystems möglich, ohne dass das Administrations-Computersystem selbst beziehungsweise die physischen Computersysteme der Computersystem-Architekturen laufende Dienste an einem oder mehreren Netzwerk-Ports besitzen (so genannte Listening-Ports), die eine Gefahr beziehungsweise Anfälligkeit für Angriffe über das externe Netzwerk bieten.
  • Insbesondere ist es denkbar, dass über das Administrations-Computersystem bestimmte Steuerdaten beziehungsweise Daten-Pakete zur Steuerung, Administration oder Konfiguration eines oder mehrerer Computersystem-Architekturen (also der physischen Computersysteme und/oder der virtuellen Maschinen innerhalb der physischen Computersysteme) über eine zum Vermittlungs-Computersystem hin aufgebaute Verbindung an das Vermittlungs-Computersystem übergeben und dort abgelegt werden. Daraufhin kann ein Prozess gestartet werden, bei dem ein oder mehrere physische Computersysteme der Computersystem-Architekturen eine Verbindung zum Vermittlungs-Computersystem hin aufbauen und vom Vermittlungs-Computersystem die entsprechenden Steuerdaten beziehungsweise Daten-Pakete abholen und zu sich transferieren. In den physischen Computersystemen beziehungsweise in den virtuellen Maschinen auf den physischen Computersystemen (unter Umständen vermittels des Basisbetriebssystems beziehungsweise des Hypervisors) können dann bestimmte Tasks in Abhängigkeit der übertragenen Steuerdaten beziehungsweise Daten-Pakete ausgeführt werden. Auf diese Weise ist ein administrativer mittelbarer Zugang zu den entsprechenden Computersystem-Architekturen möglich.
  • Weitere vorteilhafte Ausführungsformen beziehungsweise weitere Aspekte sind in den Unteransprüchen beziehungsweise in der nachfolgenden Figurenbeschreibung offenbart.
  • Die Erfindung wird nachfolgend unter Zuhilfenahme mehrerer Figuren anhand diverser Ausführungsbeispiele näher erläutert.
  • Es zeigen:
    • 1 eine schematisierte Darstellung einer bestimmten Funktionalität einer Computersystem-Architektur zum Einsatz in einer Computernetz-Infrastruktur,
    • 2 eine schematisierte Darstellung einer weiteren Funktionalität einer Computersystem-Architektur,
    • 3A eine schematisierte Darstellung einer Ausführungsform einer Computernetz-Infrastruktur mit zwei Computersystem-Architekturen,
    • 3B ein Ersatzschaltbild der Funktionalität gemäß 3A,
    • 3C eine schematisierte Darstellung einer weiteren Funktionalität einer Computersystem-Architektur innerhalb einer Computernetz-Infrastruktur,
    • 4 eine schematisierte Gesamtübersicht verschiedener Funktionalitäten der Computersystem-Architekturen innerhalb einer Computernetz-Infrastruktur gemäß 3A,
    • 5A eine schematisierte Darstellung einer weiteren Ausführungsform einer Computernetz-Infrastruktur in einer ersten Konfiguration,
    • 5B die Ausführungsform gemäß 5A in einer zweiten Konfiguration,
    • 6A eine weitere Ausführungsform einer Computernetz-Infrastruktur,
    • 6B ein Ersatzschaltbild der Funktionalität gemäß 6A,
    • 7A eine vereinfachte Darstellung der Ausführungsform gemäß 6A,
    • 7B eine weitere Ausführungsform einer Computernetz-Infrastruktur,
    • 7C eine schematisierte Darstellung abgesicherter Verbindungen zwischen physischen Computersystemen in einer Computernetz-Infrastruktur,
    • 8 eine weitere Ausführungsform einer Computernetz-Infrastruktur.
  • 1 zeigt eine schematisierte Darstellung einer Computernetz-Infrastruktur 1, umfassend ein physisches Computersystem 2 sowie eine virtuelle Maschine VM1, die auf dem physischen Computersystem 2 installiert ist. Das physische Computersystem 2 weist hierzu zum Beispiel eine virtuelle Umgebung auf, die über ein Basisbetriebssystem auf dem physischen Computersystem 2 steuerbar ist. Hierzu ist beispielsweise denkbar, im Basisbetriebssystem einen Hypervisor vorzusehen, der die virtuelle Maschine VM1 verwaltet und eine Vermittlung einer Kommunikation zwischen der virtuellen Umgebung und einer physischen Infrastruktur ermöglicht. Hier sind gängige Implementierungen denkbar.
  • Die virtuelle Maschine VM1 umfasst beispielsweise ein zu betreibendes Betriebssystem und gegebenenfalls ein darauf ablaufendes Anwendungsprogramm. Das Anwendungsprogramm kann eine anwendungsspezifische Funktionalität bereitstellen. Es ist natürlich auch denkbar, innerhalb der virtuellen Maschine VM1 eine Mehrzahl von Betriebssystemen parallel einzurichten beziehungsweise eine Vielzahl von Anwendungsprogrammen laufen zu lassen.
  • Das physische Computersystem 2 weist einen oder mehrere Netzwerk-Ports 4 auf, die schematisiert dargestellt mit einem externen physischen Netzwerk N verbunden sind. Das physische Netzwerk N ist somit außerhalb des physischen Computersystems 2 eingerichtet und umfasst ein lokales Netzwerk einer Computernetz-Infrastruktur. Ferner kann sich das Netzwerk N auch in das öffentliche World Wide Web (Internet) erstrecken. Die Netzwerk-Ports 4 des physischen Computersystems 2 sind derart eingerichtet, dass ein Verbindungsaufbau vom physischen Computersystem 2 in das externe physische Netzwerk N möglich ist, jedoch ein Verbindungsaufbau aus dem externen physischen Netzwerk N auf das physische Computersystem 2 nicht möglich ist. Ein entsprechender Verbindungsaufbau auf das physische Computersystem 2 wird beispielsweise durch gesperrte Netzwerk-Ports 4 (z. B. vermittels einer Firewall und/oder eines Paketfilters) verhindert beziehungsweise blockiert oder Verbindungsversuche verworfen. Zusätzlich hat das physische Computersystem 2 optional keine laufenden Dienste an den Netzwerk-Ports 4, die nach außen auf externe Verbindungsversuche hin lauschen. Derartige so genannte Listening-Netzwerk-Ports sind in physischen Computersystemen 2 bewusst nicht eingerichtet. Somit verhält sich das physische Computersystem 2 allgemein hinsichtlich externer Verbindungsanfragen aus dem externen physischen Netzwerk N als geschlossenes System. Es ist beispielsweise nicht möglich, dass sich ein Administrator über ein entferntes Computersystem vermittels des Netzwerks N an einem Dienst im physischen Computersystem 2 vermittels spezieller hierfür geöffneter Netzwerk-Ports 4 anmeldet. Allerdings stellt das physische Computersystem 2 dennoch eine Vermittlung einer Kommunikation der virtuellen Maschine VM1 zu anderen virtuellen Maschinen außerhalb des physischen Computersystems 2 vermittels des Netzwerks N zur Verfügung, wie später erläutert wird.
  • Neben der virtuellen Maschine VM1 umfasst die Computersystem-Architektur 1 gemäß 1 auch eine so genannte virtuelle Bridge br eines virtuellen Kommunikationssubnetzes 3. Die virtuelle Bridge br ist als Funktionalität schematisiert dargestellt und kann beispielsweise über das Basisbetriebssystem innerhalb der virtuellen Umgebung bereitgestellt sein.
  • Vorteilhaft arbeitet die virtuelle Bridge br als virtuelle Netzwerk-Verbindung (Interface) zur Anbindung der virtuellen Maschine VM1 an das virtuelle Kommunikationssubnetz 3. Die virtuelle Bridge br kann beispielsweise innerhalb eines Protokollstapels gemäß dem so genannten OSI-Schichtenmodell als virtuelle Hardware-Bridge mit einer Funktionalität gemäß Schicht 2 (Sicherungsschicht) eingerichtet sein.
  • Auf diese Weise ist die virtuelle Maschine VM1 an das Kommunikationssubnetz 3 für eine Kommunikation mit anderen virtuellen Maschinen eingerichtet. Ansonsten wird die virtuelle Maschine VM1 durch ein auf dem physischen Computersystem 2 eingerichtetes Basisbetriebssystem beziehungsweise den entsprechenden Hypervisor derart gesteuert, dass ein Verbindungsaufbau von der virtuellen Maschine VM1 in das externe physische Netzwerk N unterbunden wird. Das bedeutet, dass die virtuelle Maschine VM1 kein externes Interface für eine Anbindung an das externe physische Netzwerk N aufweist. Somit kann die virtuelle Maschine VM1 eine Kommunikation (d. h. Verbindungsaufrufe beziehungsweise Vermittlungsannahmen) lediglich über die virtuelle Bridge br innerhalb des Kommunikationssubnetzes 3 durchführen.
  • Zusätzlich ist die virtuelle Maschine VM1 derart eingerichtet beziehungsweise wird durch das Basisbetriebssystem und/oder den Hypervisor derart gesteuert, dass ein Aufruf der virtuelle Maschine VM1 in das Basisbetriebssystem des physischen Computersystems 2 nicht erlaubt beziehungsweise nicht möglich ist oder unterdrückt wird. Dies ist beispielsweise durch geeignete Firewall-Regeln im Basisbetriebssystem implementiert. Alternativ oder ergänzend kann z. B. der Hypervisor des Basisbetriebssystems im physischen Computersystem 2 eine Konsole oder eine andere Kontrolleinrichtung der virtuellen Maschine VM1 derart steuern, dass aus der Konsole bzw. der Kontrolleinrichtung der virtuellen Maschine VM1 kein Aufruf in das Basisbetriebssystem möglich ist.
  • Aufgrund der genannten Sicherheitsmechanismen ist die Computersystem-Architektur 1 gemäß 1 daher eine vollkommen eingekapselte Struktur. Ein in der virtuellen Maschine VM1 laufendes Betriebssystem beziehungsweise ein darauf ablaufendes Anwendungsprogramm, welche generell Fehler und/oder Sicherheitslücken aufweisen können und somit als potentiell unsicher gelten, können keine Datenverbindung nach außerhalb des physischen Computersystems 2 über das Netzwerk N aufbauen, weil eine derartige Funktionalität durch das auf dem physischen Computersystem 2 laufende Basisbetriebssystem (welches idealerweise als sicher gegenüber dem zu betreibenden Betriebssystem innerhalb der virtuellen Maschine VM1 gilt) beziehungsweise durch den Hypervisor unterbunden wird. Insofern stellt die Virtualisierung innerhalb der Computersystem-Architektur 1 eine Sicherheitsbarriere gegen Fehler oder Sicherheitslücken eines Programms dar, das innerhalb der virtuellen Maschine VM1 abläuft.
  • Um jedoch eine anwendungsspezifische und auch komplexe Computernetz-Infrastruktur realisieren zu können, ist die virtuelle Maschine VM1 über die virtuelle Netzwerk-Bridge br an das Kommunikationssubnetz 3 angebunden und kann mit anderen virtuellen Maschinen zur Realisierung und Bereitstellung einer entsprechenden Funktionalität kommunizieren. In speziellen Anwendungsfällen kann von der virtuellen Maschine VM1 (temporär) über das Kommunikationssubnetz 3 (vermittelt über das physische Netzwerk N) eine Verbindung zu einem externen System aufgebaut werden. Dies stellt jedoch einen Spezialfall dar. Ferner ist denkbar, dass ein externes System über das Kommunikationssubnetz 3 (vermittelt über das physische Netzwerk N) direkt eine Verbindung zur virtuellen Maschine VM1 aufbaut. Eine Verbindung von extern auf das physische Computersystem 2 wird jedoch - wie oben erläutert - durch die entsprechend konfigurierten Netzwerk-Ports 4 verhindert.
  • Zusätzlich ist das physische Computersystem 2 aufgrund der nach außen geschlossen Netzwerk-Ports 4 gegen unerlaubte Verbindungsaufrufe auf das physische Computersystem 2 über das Netzwerk N geschützt. Dadurch ist das physische Computersystem 2 entsprechend robust gegen Angriffe aus dem Netzwerk N, weil auf dem physischen Computersystem 2, wie erläutert, keine laufenden Dienste an den Netzwerk-Ports 4 eingerichtet sind, die eine herkömmliche Angriffsmöglichkeit bieten würden.
  • 2 zeigt eine Ausführungsform einer Computersystem-Architektur 1, wobei eine weitere Funktionalität veranschaulicht ist. Die Computersystem-Architektur 1 gemäß 2 kann prinzipiell entsprechend den Erläuterungen einer Computersystem-Architektur 1 gemäß 1 aufgebaut sein. In einer leichten Abwandlung gemäß 2 weist die Computersystem-Architektur 1 allerdings zwei virtuelle Maschinen VM1 und VM2 auf, die in einer entsprechenden virtuellen Umgebung auf dem physischen Computersystem 2 eingerichtet sind und über ein Basisbetriebssystem beziehungsweise einen Hypervisor steuerbar sind.
  • 2 veranschaulicht einen Mechanismus zur Speicherung von Daten, die aus den virtuellen Maschinen VM1 beziehungsweise VM2 auf Speicherkomponenten abgelegt werden sollen. Zur Speicherung von Daten aus den virtuellen Maschinen VM1 und VM2 können diese auf virtuelle Speicherkomponenten zugreifen, die über ein Speichersubnetz 5 als physische Speicherkomponenten L1 beziehungsweise L2 angebunden sind. Das Speichersubnetz 5 wird über das Basisbetriebssystem oder den Hypervisor angesteuert. Die virtuellen Maschinen VM1 beziehungsweise VM2 können lediglich für sie sichtbare virtuelle Speicherkomponenten (nicht dargestellt) ansprechen. Die virtuellen Speicherkomponenten können beispielsweise an bestimmte Funktionalitäten oder Anwendungen innerhalb der virtuellen Maschinen VM1 oder VM2 angepasst sein. Eine logische Übersetzung von den für die virtuellen Maschinen VM1 und VM2 sichtbaren virtuellen Speicherkomponenten auf die physischen Speicherkomponenten L1 und L2 erfolgt über das Basisbetriebssystem, genauer über dessen Hypervisor oder eine speziell eingerichtete Schnittstelle, z.B. einen Pseudo-Device. Letzterer kann z.B. in einem Linux-System über den Device Mapper erstellt werden.
  • Zur Speicherung von Daten sprechen die virtuellen Maschinen VM1 beziehungsweise VM2 die virtuellen Speicherkomponenten an und können dann Daten an die virtuellen Speicherkomponenten übergeben und dort abgelegen (speichern). Auf der Ebene des Basisbetriebssystems des physischen Computersystems 2 werden die virtuellen Speicherkomponenten in die physischen Speicherkomponenten L1 und L2 übersetzt. Ferner baut das Basisbetriebssystem eine entsprechende Verbindung über das Speichersubnetz 5 zu den Speicherkomponenten L1 und L2 auf und kann dann die zu speichernden Daten an die Speicherkomponenten L1 und L2 senden, so dass die Daten dort abgelegt werden. Auf physischer Ebene wird eine derartige Datenspeicherung über das Basisbetriebssystem des physischen Computersystems 2 nach außerhalb des physischen Computersystems 2, z. B. vermittels des in 1 dargestellten Netzwerks N oder durch ein speziell eingerichtetes physisches Speichernetzwerk vermittelt. Denn in der Ausführungsform gemäß 2 sind die Speicherkomponenten L1 und L2 in Form von physischen Speicherkomponenten außerhalb des physischen Computersystems 2 eingerichtet. Beispielsweise sind die Speicherkomponenten L1 und L2 Bestandteil eines Speichersystems, z. B. eines so genannten Storage-Area-Networks (SAN). Die Speicherkomponenten sind z.B. als ein Disk-Array über eine LUN-Adressierung (LUN = Logical Unit Number) in einem Storage-Area-Network ansprechbar. Die Speicherkomponenten L1 und L2 können z. B. redundante Festplattenspeicher, verteilte Datenspeicher, usw. sein. Alternativ zu der in 2 dargestellten Ausführung können die Speicherkomponenten L1 und L2 auch als physische Speicherkomponenten innerhalb des physischen Computersystems 2 eingerichtet sein. Hierbei erfolgt eine Vermittlung über das Basisbetriebssystem lediglich innerhalb des physischen Computersystems 2.
  • Gemäß 2 erfolgt in jedem Fall eine Verschlüsselung der Daten aus den virtuellen Maschinen VM1 und VM2 auf Ebene des als sicher eingestuften Basisbetriebssystems. Dieser Vorgang ist in 2 mit „Verschlüsselung1“ beziehungsweise „Verschlüsselung2“ dargestellt. Die Verschlüsselung kann z.B. durch eine speziell hierfür eingerichtete Verschlüsselungsschicht bzw. eine speziell eingerichtete Schnittstelle, z.B. einen Pseudo-Device (siehe oben) erfolgen. Ein zu betreibendes Betriebssystem mit seinen Anwendungsprogrammen in den virtuellen Maschinen VM1 beziehungsweise VM2 hat keinen Einfluss beziehungsweise keinen Zugriff auf diese Verschlüsselung. Idealerweise sind die virtuellen Maschinen VM1 beziehungsweise VM2 derart eingerichtet beziehungsweise werden über das Basisbetriebssystem derart gesteuert, dass die virtuellen Maschinen VM1 beziehungsweise VM2 gar keine Informationen darüber erhalten, dass auf der Ebene des Basisbetriebssystems überhaupt verschlüsselt wird. Auf diese Weise werden Daten aus den virtuellen Maschinen VM1 und VM2 über das physische Netzwerk N (oder ein dediziertes Speichernetzwerk) nach außerhalb des physischen Computersystems 2 lediglich in verschlüsselter Form kommuniziert. Die Daten können in den physischen Speicherkomponenten beziehungsweise im Speichersubnetz 5 zusätzlich weiter verschlüsselt werden. Ein Zugriff auf unverschlüsselte Daten aus den virtuellen Maschinen VM1 und VM2 ist jedoch außerhalb des physischen Computersystems 2 nicht möglich.
  • Aufgrund der Tatsache, dass ein Verbindungsaufbau aus dem physischen Netzwerk N auf das physische Computersystem 2 vermittels der Netzwerk-Ports 4 nicht erlaubt ist, ist auch ein Angriff auf innerhalb des physischen Computersystems 2 vorliegende Klardaten (vor einer Verschlüsselung) nur sehr schwer zu erzielen. Insofern ist die Wahrscheinlichkeit eines erfolgreichen Angriffs auf Informationen innerhalb des physischen Computersystems 2 stark reduziert. Zusätzlich wird eine Kommunikation von Daten aus den virtuellen Maschinen VM1 beziehungsweise VM2 über das Basisbetriebssystem beziehungsweise dessen Hypervisor derart gezielt gesteuert, dass eine Kommunikation lediglich innerhalb des Speichersubnetzes 5 beziehungsweise innerhalb eines Kommunikationssubnetzes 3 (vgl. 1) erlaubt ist. Somit wird ein Betriebssystem beziehungsweise ein Anwendungsprogramm, das innerhalb einer virtuellen Maschine VM1 oder VM2 läuft, an einem ungewollten Verbindungsaufbau in das externe physische Netzwerk N gehindert. Auf diese Weise ist zusätzlich auch die erfolgreiche Ausnutzung einer Backdoor oder sonstigen Sicherheitslücke in einem zu betreibenden Betriebssystem beziehungsweise einem zu betreibenden Anwendungsprogramm innerhalb der virtuellen Maschinen VM1 oder VM2 extrem unwahrscheinlich.
  • 3A zeigt eine schematisierte Darstellung einer Computernetz-Infrastruktur, umfassend zwei Computersystem-Architekturen 1a und 1b, die jeweils ein physisches Computersystem 2a beziehungsweise 2b umfassen. Innerhalb einer virtuellen Umgebung des physischen Computersystems 2a laufen zwei virtuelle Maschinen VM1 und VM2. Innerhalb einer virtuellen Umgebung des physischen Computersystems 2b laufen zwei virtuelle Maschinen VM3 und VM4. Die physischen Computersysteme 2a und 2b sind vermittels entsprechender Netzwerk-Ports 4a und 4b über ein physisches externes Netzwerk N verbunden. Die physischen Computersysteme 2a und 2b sind insbesondere gemäß den Erläuterungen zu 1 und 2 eingerichtet.
  • Die virtuellen Maschinen VM1, VM2, VM3 und VM4 sind in den jeweiligen virtuellen Umgebungen der physischen Computersysteme 2a und 2b über diverse virtuelle Netzwerk-Bridges br an zwei Kommunikationssubnetze 3a und 3b angebunden. Insbesondere sind gemäß 3A die virtuellen Maschinen VM1, VM2 und VM3 über virtuelle Netzwerk-Bridges br innerhalb eines Kommunikationssubnetzes 3a (LAN1) verbunden, während die virtuellen Maschinen VM2 und VM4 über virtuelle Netzwerk-Bridges br innerhalb eines weiteren Kommunikationssubnetzes 3b (LAN2) verbunden sind. 3b stellt eine derartige Topologie als Ersatzschaltbild vereinfacht dar.
  • Die virtuellen Maschinen VM1 und VM2 kommunizieren über das virtuelle Kommunikationssubnetz 3a lediglich innerhalb des physischen Computersystems 2a, abgesehen von einer etwaigen Verwendung von Protokollen wie Broadcast, Multicast oder von Protokollen mit ähnlichem Verhalten. Eine Kommunikation von VM1 beziehungsweise VM2 zu VM3 und umgekehrt beziehungsweise zwischen VM2 und VM4 und umgekehrt, erfolgt über die Grenzen der physischen Computersysteme 2a beziehungsweise 2b hinweg. Eine Vermittlung einer Kommunikation zwischen den virtuellen Maschinen erfolgt in dieser Hinsicht vermittels des externen physischen Netzwerks N. Hierzu sind ein oder mehrere verschlüsselte Verbindungen, beispielsweise im folgenden VPN-Verbindungen zwischen den physischen Computersystemen 2a und 2b eingerichtet (siehe Schloss-Symbole der schematisiert dargestellten Verbindungen der Kommunikationssubnetze 3a und 3b zwischen den physischen Computersystemen 2a und 2b). Über die VPN-Verbindungen werden Daten zwischen den physischen Computersystemen 2a und 2b in verschlüsselter Form über das Netzwerk N übertragen und vermitteln eine Kommunikation zwischen den virtuellen Maschinen. Genauer gesagt wird eine Kommunikation zwischen den virtuellen Maschinen innerhalb der virtuellen Kommunikationssubnetze 3a und 3b vermittels der Basisbetriebssysteme beziehungsweise deren Hypervisors auf den physischen Computersystemen 2a und 2b umgesetzt in einen physischen Transport innerhalb der VPN-Verbindungen entlang des Netzwerks N. Auf diese Weise können die virtuellen Maschinen VM1 bis VM4 innerhalb entsprechend aufgebauter Kommunikationssubnetze 3a und 3b miteinander kommunizieren. Für eine Vermittlung einer entsprechenden Kommunikation über das Netzwerk N sind die Netzwerk-Ports 4a und 4b der physischen Computersysteme 2a und 2b entsprechend eingerichtet. Zwar sind die Netzwerk-Ports 4a und 4b für Verbindungsanfragen aus dem Netzwerk N von außerhalb der physischen Computersysteme 2a und 2b entsprechend blockiert (wie oben erläutert). Dies gilt jedoch für Verbindungsanfragen, die unabhängig von einer Kommunikation vermittels der virtuellen Kommunikationssubnetze 3a und 3b sind. Das bedeutet, dass die Netzwerk-Ports 4a und 4b dennoch speziell eingerichtete VPN-Verbindungen zwischen den physischen Computersystemen 2a und 2b erlauben. Hierzu sind in den physischen Computersystemen 2a und 2b entsprechende VPN-Dienste eingerichtet, so dass ein Verbindungsaufbau über VPN-Verbindungen zwischen den physischen Computersystemen 2a und 2b möglich ist. Andere Verbindungsversuche von außerhalb der physischen Computersysteme 2a und 2b über das Netzwerk N werden jedoch an den Netzwerk-Ports 4a beziehungsweise 4b ignoriert, blockiert oder verworfen. Eine Implementierung erfolgt vorteilhaft über entsprechende Firewall-Regeln oder sonstige Konfigurationen mit vergleichbarem Resultat innerhalb der physischen Computersysteme 2a und 2b.
  • Auf diese Weise ist eine Computernetz-Infrastruktur zwischen den physischen Computersystemen 2a und 2b eingerichtet, wobei virtuelle Maschinen VM1 bis VM4 über zwei virtuelle Kommunikationssubnetze 3a und 3b (vergleiche die Kennzeichnungen LAN1 und LAN2 in 3B) kommunizieren können. Sämtliche virtuellen Maschinen VM1 bis VM4 sind sicherheitstechnisch eingekapselt entsprechend den Erläuterungen zu 1 und 2. Gleichzeitig sind die physische Computersysteme 2a und 2b gemäß den obigen Erläuterungen gegen Angriffe aus dem physischen externen Netzwerk N an den Netzwerk-Ports 4a und 4b abgesichert. Durch eine derartige Topologie einer Computernetz-Infrastruktur ist eine komplexe Netzwerk-Topologie zur Realisierung anwendungsspezifischer Funktionalitäten ermöglicht. Auf diese Weise können virtualisierte Serverstrukturen und komplexe Dienste über die virtuellen Maschinen VM1 bis VM4 abgebildet werden, wobei eine Kommunikation über gebridgte Kommunikationssubnetze 3a und 3b erfolgt.
  • Entscheidend ist, dass ein Verbindungsaufbau von den einzelnen virtuellen Maschinen VM1 bis VM4 direkt in das physische externe Netzwerk N unterdrückt bzw. erst gar nicht „geschaltet“ oder „verdrahtet“ wird. Insofern können die virtuellen Maschinen VM1 bis VM4 keine Verbindung in einen öffentlichen IP-Adressraum durchführen. Die virtuellen Maschinen VM1 bis VM4 besitzen hierzu keine Schnittstelle (Interface) in das externe physische Netzwerk N. Die virtuellen Maschinen VM1 bis VM4 sehen sich lediglich gegenseitig als entsprechende Rechnerkomponenten innerhalb der virtuellen Kommunikationssubnetze 3a und 3b und können sich gegenseitig ansprechen und erreichen. Eine entsprechende Vermittlung einer Kommunikation erfolgt, wie erläutert, über VPN-Verbindungen der physischen Computersysteme 2a und 2b entlang des Netzwerks N. Die VPN-Verbindungen werden über die jeweiligen Basisbetriebssysteme beziehungsweise deren Hypervisor gesteuert. Eine Auswirkung eines Fehlers oder einer Sicherheitslücke eines Systems innerhalb einer oder mehreren virtuellen Maschinen VM1 bis VM4 beschränkt sich lediglich auf die virtuellen Kommunikationssubnetze 3a und 3b und ist gewissermaßen innerhalb der Kommunikationssubnetze 3a und 3b eingeschlossen. Insofern ist es den virtuellen Maschinen VM1 bis VM4 nicht möglich, Daten in einer lesbaren Form über ungewollte Netzwerk-Verbindungen zu einem unbefugten Dritt-Computersystem über das Netzwerk N zu übertragen. Zudem ist über entsprechend konfigurierte Netzwerk-Ports 4a und 4b der physischen Computersysteme 2a und 2b ein Angriff aus dem Netzwerk N auf die physischen Computersysteme 2a und 2b extrem erschwert.
  • 3C zeigt eine schematisierte Darstellung von Komponenten einer Computernetz-Infrastruktur zur Veranschaulichung einer weiteren Funktionalität. Die Computernetz-Infrastruktur gemäß 3C zeigt eine Computersystem-Architektur 1, umfassend ein physisches Computersystem 2 und zwei virtuelle Maschinen VM1 und VM2. Über Netzwerk-Ports 4 ist das physische Computersystem 2 mit einem externen physischen Netzwerk N verbunden. Ferner sind ein Administrations-Computersystem 7 sowie ein Vermittlungs-Computersystem 8 mit dem Netzwerk N verbunden. Sowohl die Netzwerk-Ports 4 des physischen Computersystems 2 als auch die Netzwerk-Ports 14 des Administrations-Computersystems 7 sind derart eingerichtet, dass ein Verbindungsaufbau aus dem Netzwerk N auf das physische Computersystem 2 beziehungsweise das Administrations-Computersystem 7 unterbunden wird. Es ist daher nicht ohne weiteres möglich, über ein externes Computersystem (nicht dargestellt) vermittels des Netzwerks N und den Netzwerk-Ports 4 einen administrativen Zugang zu den virtuellen Maschinen VM1 und VM2 innerhalb des physischen Computersystems 2 zu erlangen. Umgekehrt haben die virtuellen Maschinen VM1 und VM2, wie oben erläutert, keine Schnittstelle in das physische Netzwerk N. Auch ein Verbindungsaufruf aus den virtuellen Maschinen VM1 und VM2 über deren Konsolen cs in das Basisbetriebssystem des physischen Computersystems 2 wird durch Firewall-Regeln des Basisbetriebssystems beziehungsweise durch eine Steuerung der Konsolen cs vermittels eines Hypervisors des Basisbetriebssystems unterdrückt. Damit jedoch ein administrativer Zugang beziehungsweise eine Steuerung der virtuellen Umgebung, insbesondere der virtuellen Maschinen VM1 und VM2, innerhalb des physischen Computersystems 2 gewährleistet ist, kann folgender Prozess durchgeführt werden.
  • Über das Administrations-Computersystem 7 kann eine Verbindung zum Vermittlungs-Computersystem 8 aufgebaut werden. Hierzu weist das Vermittlungs-Computersystem 8, im Gegensatz zum Administrations-Computersystem 7 beziehungsweise zum physischen Computersystem 2, wenigstens einen ansprechbaren, offenen Netzwerk-Port 24 auf. Auf diese Weise kann das Administrations-Computersystem 7 eine Verbindung zum Vermittlungs-Computersystem 8 aufbauen und im Vermittlungs-Computersystem 8 ein oder mehrere Daten-Pakete mit Steuerdaten ablegen. Daraufhin kann das physische Computersystem 2 über das Netzwerk N eine Verbindung zum Vermittlungs-Computersystem 8 aufbauen, um die dort abgelegten Daten-Pakete des Administrations-Computersystems zu sich zu übertragen. Auf diese Weise können Steuerdaten auf das physische Computersystem 2 transferiert werden, ohne dass eine Verbindung aktiv von außen über das Netzwerk N auf das physische Computersystem 2 aufgebaut wird, was herkömmlich eine typische Angriffsmöglichkeit von außen darstellen würde.
  • Die auf das physische Computersystem 2 entsprechend transferierten Daten-Pakete können im Basisbetriebssystem des physischen Computersystems 2 weiter verarbeitet werden. Beispielsweise kann ein bestimmter Task durchgeführt werden, so dass das Basisbetriebssystem anhand der übertragenen Daten-Pakete einen gesteuerten Zugriff auf die virtuelle Umgebung, genauer auf die virtuellen Maschinen VM1 Betriebszustand VM2, durchführt. Dies ist durch eine spezielle Instanz 6 des Basisbetriebssystems durchführbar. Beispielsweise erfolgt durch die Instanz 6 des Basisbetriebssystems ein Verbindungsaufbau zur Konsole cs oder einer anderen hierfür verwendeten Schnittstelle einer virtuellen Maschine VM1 und VM2, wobei eine entsprechende Steuerung der virtuellen Maschinen VM1 und VM2 über Steuerdaten durchgeführt werden kann. Es ist jedoch auch denkbar, dass über die Konsole cs einer virtuellen Maschine VM1 und VM2 entsprechende Steuerdaten, Skripte oder Programme in die virtuelle Maschine VM1 oder VM2 eingespielt werden, so dass ein in der virtuellen Maschine VM1 beziehungsweise VM2 laufendes Betriebssystem die entsprechenden Steuerdaten, Skripte oder Programme ausführen kann, so dass quasi eine Fernsteuerung der virtuellen Maschinen VM1 und VM2 erzielt wird. Auf diese Weise ist ein gesicherter administrativer Zugang mittelbar vom Administrations-Computersystem 7 über das Vermittlungs-Computersystem 8 zum physischen Computersystem 2 bzw. in die virtuelle Umgebung auf dem physischen Computersystem 2 ermöglicht. Sämtliche Prozesse können über entsprechende Signaturen innerhalb des Administrations-Computersystems 7, des Vermittlungs-Computersystems 8 beziehungsweise des physischen Computersystems 2 abgesichert werden. Vorteilhaft erfolgt eine Kommunikation über das Netzwerk N ausschließlich in verschlüsselter Form.
  • Es ist alternativ oder ergänzend auch denkbar, über ein entsprechendes Skript, beziehungsweise entsprechende Steuerdaten, einen Zugriff auf die virtuellen Maschinen VM1 oder VM2 vermittels des Basisbetriebssystems freizuschalten. Hierbei könnte das Basisbetriebssystem derart steuernd auf die virtuellen Maschinen VM1 beziehungsweise VM2 zugreifen, dass beispielsweise ein Port-Forwarding oder ein Tunnel im Basisbetriebssystem zur gewünschten virtuellen Maschine VM1 oder VM2 freigeschaltet werden. Dies stellt einen aus sicherheitstechnischer Sicht hochspeziellen Einzelfall dar, wobei eine virtuelle Maschine VM1 beziehungsweise VM2 einen selektiv geöffneten Netzwerk-Port nach außen in das Netzwerk N zur Verfügung stellt, so dass ein selektiver Zugriff auf die virtuelle Maschine VM1 oder VM2 ermöglicht ist. Dies sollte jedoch durch spezielle Sicherheitsmechanismen, wie z. B. temporäres Freischalten, Überprüfen entsprechender Sicherheitsskripte beziehungsweise entsprechender Authentifizierungspakete, Überprüfen einer Übereinstimmung von Authentifizierungsmechanismen, Quell-Ports, Ziel-Ports, usw. abgesichert sein. Ebenfalls ist in diesem Zusammenhang denkbar, ein Mehr-Augen-Prinzip eines Sicherheitspersonals vorzusehen.
  • 4 zeigt eine schematisierte Darstellung einer kombinierten Übersicht über die gemäß den 1 bis 3C dargestellten Funktionalitäten innerhalb einer Computernetz-Infrastruktur, die über mehrere Computersystem-Architekturen 1a beziehungsweise 1b aufgebaut ist. Eine Vermittlung einer Kommunikation zwischen den einzelnen Computersystemen erfolgt gemäß der Konfiguration in 4 über die physischen Netzwerke N1 und N2. Diese können getrennte Netzwerke, aber auch alternativ Teile eines Gesamt-Netzwerks oder ein Gesamt-Netzwerk an sich sein.
  • 4 macht die Komplexität einer Implementierung einer entsprechenden Computernetz-Infrastruktur deutlich. Ein wesentlicher Vorteil einer derartigen Infrastruktur im Vergleich zu herkömmlichen Lösungen besteht, wie oben mehrfach erläutert, darin, dass aufgrund einer Virtualisierung von Betriebssystemen beziehungsweise Anwendungsprogrammen innerhalb von virtuellen Maschinen VM1 bis VM4 eine Einkapselung möglicher schadhafter Programme innerhalb der virtuellen Umgebungen der physischen Computersysteme 2a und 2b erreicht wird. Die virtuellen Maschinen VM1 bis VM4 können keine Verbindung in die externen Netzwerke N1 beziehungsweise N2 aufbauen. Gleichzeitig sind die physischen Computersysteme 2a und 2b durch ihre Netzwerk-Ports 4a und 4b gegen einen Angriff aus den Netzwerken N1 und N2 abgesichert.
  • Die innerhalb der virtuellen Maschinen VM1 bis VM4 laufenden Betriebssysteme oder Anwendungsprogramme müssen auf diese Weise nicht über spezielle Firewall-Regeln nach außen zu den physischen Netzwerken N1 und N2 abgesichert werden. Eine entsprechende Sicherheitsblockade ergibt sich rein durch die Virtualisierung innerhalb der physischen Computersysteme 2a und 2b. Durch eine derartige Virtualisierung ist ein Verbindungsaufbau aus den virtuellen Maschinen VM1 bis VM4 in das physische Netz N1 beziehungsweise N2 nicht vorgesehen. Somit entfällt eine Anpassung und Administration einer komplexen Firewall-Architektur für N Anwendungsprogramme auf m-physischen Computersystemen innerhalb einer entsprechenden Computernetz-Infrastruktur. Durch eine sicherheitstechnische Einkapselung der in den virtuellen Maschinen laufenden Betriebssysteme nach außen, kombiniert mit einer Abschottung der physischen Computersysteme hin zu den externen physischen Netzen N1 und N2 gegen einen Angriff aus den Netzen N1 und N2, wird eine besonders hohe Sicherheit der Computernetz-Infrastruktur erzielt. Dennoch ist eine einfach Administration einer entsprechenden Computernetz-Infrastruktur ermöglicht. Zudem können über die virtuellen Maschinen und deren Kommunikationsmöglichkeiten über gebridgte Kommunikationssubnetze 3a und 3b (siehe beispielhaft in 4) komplette anwendungsspezifische Funktionalitäten implementiert werden.
  • Gemäß 4 sind die physischen Computersysteme 2a und 2b zudem zusätzlich in Hochsicherheitsracks 9a und 9b gegen physische Manipulationen abgesichert. Auch hierdurch ergeben sich weitere Sicherheitsvorteile.
  • Eine Kommunikation zwischen den physischen Computersystemen 2a und 2b zur Vermittlung einer Kommunikation zwischen den virtuellen Maschinen VM1 bis VM4 erfolgt ausschließlich über verschlüsselte VPN-Verbindungen, wie oben erläutert. Daten aus den virtuellen Maschinen VM1 bis VM4 können über entsprechende Speichersubnetze 5 in virtuellen ansprechbaren Speicherkomponenten L1 bis L4 gespeichert werden. Eine Administration der entsprechenden Computersystem-Architekturen 1a und 1b erfolgt über ein Administrations-Computersystem 7 unter Zuhilfenahme eines Vermittlungs-Computersystems 8 gemäß den Erläuterungen zu 3C.
  • 5A zeigt eine Computernetz-Infrastruktur, die analog zu der aus 4 aufgebaut ist, mit dem Unterschied, dass in der Computernetz-Infrastruktur gemäß 5A lediglich drei virtuelle Maschinen eingesetzt werden. Zwei virtuelle Maschinen VM1 und VM2 sind auf dem physischen Computersystem 2a eingerichtet, wobei eine virtuelle Maschine VM4 auf dem physischen Computersystem 2b eingerichtet ist. 5A zeigt eine erste Konfiguration der Computernetz-Infrastruktur.
  • Beispielhaft soll nun die virtuelle Maschine VM2 auf dem physischen Computersystem 2a auf das physische Computersystem 2b umgezogen werden. Ein Umzug kann dabei über die Maßnahmen eines administrativen Zugangs zu den virtuellen Maschinen z.B. vermittels des Administrations-Computersystems 7 und eines Vermittlungs-Computersystems 8 wie oben insbesondere zu 3C erläutert gesteuert werden. Für den Umzug der virtuellen Maschine VM2 kann das in der VM2 laufende Betriebssystem heruntergefahren werden oder es kann eine Live-Migration der VM2 durchgeführt werden. Alle notwendigen Schritte können über Steuerdaten gesteuert werden, die vermittels des Administrations-Computersystems 7 initiiert und vermittels des Vermittlungs-Computersystems 8 auf das physische Computersystem 2a oder das physische Computersystem 2b (beziehungsweise in deren Basisbetriebssysteme) beziehungsweise schließlich in die virtuelle Maschine VM2 transportiert und an entsprechender Stelle, d. h. in dem Basisbetriebssystem des physischen Computersystems 2a und/oder im Basisbetriebssystem des physischen Computersystems 2b beziehungsweise in der virtuellen Maschine VM2, verarbeitet werden können. Über derartige Steuerdaten wird unter anderem eine Verschlüsselung auf Ebene des Basisbetriebssystems im physischen Computersystem 2b etabliert, um die virtuelle Maschine VM2 nach Umzug auf das physische Computersystem 2b über ein entsprechendes Speichersubnetz 5 wiederum an Speicherkomponenten anbinden zu können.
  • Für einen Umzug der virtuellen Maschine VM2 muss ferner auf dem physischen Computersystem 2b eine Anbindung an ein entsprechendes Kommunikationssubnetz 3a oder 3b eingerichtet sein. Hierzu ist insbesondere eine virtuelle Netzwerk-Bridge br zur Anbindung der virtuellen Maschine VM2 nach deren Umzug in die virtuelle Umgebung des physischen Computersystems 2b erforderlich. Das oder die Kommunikationssubnetze 3a oder 3b, an die die virtuelle Maschine VM2 auf dem physischen Computersystem 2b angebunden werden soll, können entweder dynamisch zugeordnet werden (on demand) oder schon statisch in der virtuellen Umgebung auf dem physischen Computersystem 2b vorkonfiguriert sein. Eine entsprechende Vermittlung einer Kommunikation aus der virtuellen Umgebung des physischen Computersystems 2b über das Basisbetriebssystem in ein physisches externes Netzwerk (vgl. N1 beziehungsweise N2) ist über das Basisbetriebssystem des physischen Computersystems 2b ebenfalls entsprechend anzupassen.
  • Bei einem Umzug über eine Live-Migration ist eine vorteilhaft verschlüsselte Netzwerk-Verbindung zwischen den beiden beteiligten Basisbetriebssystemen auf den physischen Computersystemen 2a und 2b zur Übertragung der Daten notwendig. Der Datentransfer für eine Live-Migration kann dabei entweder über bestehende verschlüsselte Verbindungen (z. B. VPN-Verbindungen zwischen den beteiligten physischen Computersystemen 2a und 2b) realisiert werden oder alternativ innerhalb von hierzu speziell eingerichteten exklusiven Verbindungen erfolgen. Eine speziell für eine Live-Migration eingerichtete Verbindung ist in 5A als zusätzliche gebridgte Netzwerk-Verbindung zwischen den beiden physischen Computersystemen 2a und 2b abgebildet (vgl. die schematisierte Darstellung der untersten verschlüsselten Verbindung zwischen den beiden Systemen). Netzwerk-Ports 4a und 4b können für eine speziell eingerichtete Verbindung zur Live-Migration temporär freigeschaltet werden.
  • Ferner müssen gegebenenfalls benötigte Speicherkomponenten über das Basisbetriebssystem auf dem physischen Computersystem 2b verfügbar gemacht und über eine entsprechende Verschlüsselung im Basisbetriebssystem an die virtuelle Umgebung, insbesondere an die virtuelle Maschine VM2 angebunden werden.
  • Ein Ansprechen der virtuellen Maschine VM2 erfolgt vor dem Umzug durch entsprechende Steuerdaten beziehungsweise Daten-Pakete, die einen gesteuerten Aufruf aus dem Basisbetriebssystem hin zur virtuellen Maschine VM2 beinhalten. Die Daten-Pakete werden vom Administrations-Computersystem 7 auf das Vermittlungs-Computersystem 8 transferiert. Anschließend wird eine Verbindung vom physischen Computersystem 2a auf das Vermittlungs-Computersystem 8 aufgebaut, so dass die Daten-Pakete auf das physische Computersystem 2a transferiert werden können. Vermittels des Basisbetriebssystems können die Routing-Informationen in den Daten-Paketen verarbeitet werden und die virtuelle Maschine VM2 über deren Konsolenschnittstelle cs angesprochen werden.
  • Wie in 5A gekennzeichnet, können die virtuellen Maschinen über IP-Adressen (VM-IP) angesprochen werden. Der virtuellen Maschine VM1 ist die IP-Adresse VM1phys zugeordnet. Entsprechendes gilt für die virtuellen Maschinen VM2 und VM4, denen die IP-Adressen VM2phys beziehungsweise VM4phys zugeordnet sind. Auf diese Weise ist der Aufbau einer Kommunikation hin zu den virtuellen Maschinen möglich.
  • Gemäß 5A kann die virtuelle Maschine VM2 nach Etablieren und Bereitstellen sämtlicher notwendiger Komponenten gemäß den obigen Erläuterungen über eine hierfür speziell eingerichtete Verbindung (vgl. 5A) vom physischen Computersystem 2a in die virtuelle Umgebung auf dem physischen Computersystem 2b transferiert werden. Dies geschieht in der Topologie gemäß 5A per Live-Migration.
  • 5B zeigt schließlich die entsprechende Konfiguration der Computernetz-Infrastruktur nach einem Umzug der virtuellen Maschine VM2 in das physische Computersystem 2b. Die virtuelle Maschine VM2 ist über mehrere virtuelle Netzwerk-Bridges br sowohl an das Kommunikationssubnetz 3a als auch an das Kommunikationssubnetz 3b angebunden. Über das Basisbetriebssystem ist eine Verschlüsselung von Daten aus der virtuellen Maschine VM2 in das Speichersubnetz 5 auf Speicherkomponenten L2 eingerichtet. Ergänzend ist vorteilhaft auch eine Verschlüsselung sonstiger Daten aus der virtuellen Maschine VM2 durch das Basisbetriebssystem des physischen Computersystems 2b realisiert, welche innerhalb der virtuellen Kommunikationssubnetze 3a und 3b zu anderen virtuellen Maschinen hin ausgetauscht werden und auf physischer Ebene über das externe Netzwerk N1 beziehungsweise N2 vermittelt werden. Eine derartige Verschlüsselung von Daten kann über das Basisbetriebssystem des physischen Computersystems 2b durch VPN-Verbindungen zu anderen physischen Computersystemen (in 5B das physische Computersystem 2a) erfolgen.
  • Ein Ansprechen der virtuellen Maschine VM2 erfolgt nach dem Umzug auf das physische Computersystem 2b ebenfalls über Daten-Pakete, die Routing-Informationen enthalten. Derartige Daten-Pakete können, wie oben erläutert, über das Administrations-Computersystem 7 vermittels des Vermittlungs-Computersystems 8 auf das physische Computersystem 2b übertragen werden, wobei das Basisbetriebssystem über entsprechende Routing-Informationen die virtuelle Maschine VM2 ansprechen kann.
  • Damit die virtuelle Maschine VM2 durch ein Routing ausgehend vom Administrations-Computersystem 7 auch auf dem physischen Computersystem 2b erreichbar ist, muss gemäß einer Möglichkeit das Routing ausgehend vom Administrations-Computersystem 7 geändert werden, das heißt, die ursprüngliche Ziel-IP-Adresse (Host-IP) der Schnittstelle des physischen Computersystems 2a in die Ziel-IP-Adresse (Host-IP) der Schnittstelle des physischen Computersystems 2b geändert werden beziehungsweise die ursprüngliche IP-Adresse (VM2phys) der virtuellen Maschine VM2 im physischen Computersystem 2a durch eine IP-Adresse (VM2phys) der virtuellen Maschine VM2 im physischen Computersystem 2b ersetzt werden, falls sich die Netzwerk-Identität (VM2phys) der virtuellen Maschine VM2 in der neuen virtuellen Umgebung auf dem physischen Computersystem 2b geändert hat.
  • Eine andere, komfortablere Möglichkeit besteht darin, eine Ansprechbarkeit der physischen Computersysteme 2a und 2b beziehungsweise der virtuellen Maschine VM2 über ein so genanntes IP-Aliasing einzurichten. In einem Routing können dann eine oder mehrere Alias-IP-Adressen verwendet werden, die während des Umzuges der virtuellen Maschine VM2 vom physischen Computersystem 2a auf das physische Computersystem 2b mittransferiert und dort der oder den Netzwerk-Schnittstellen entsprechend zugeordnet werden. Der Vorteil dabei ist, dass ein Routing vom Administrations-Computersystem 7 aus nicht umgeändert werden muss, sondern weiterhin Alias-IP-Adressen als Ziel berücksichtigt werden können, wobei eine Zuordnung der Alias-IP-Adressen zu den tatsächlichen Endpunkten (physisches Computersystem 2b beziehungsweise virtuelle Maschine VM2 im physischen Computersystem 2b gemäß 5B) erfolgt.
  • Auf diese Weise ist es einfach und komfortabel möglich, virtuelle Maschinen zwischen physischen Computersystemen innerhalb der aufgezeigten Computernetz-Infrastruktur zu migrieren.
  • 6A zeigt eine weitere Ausführungsform einer Computernetz-Infrastruktur, umfassend zwei physische Computersysteme 2a und 2b, die über physische Netzwerke N1 und N2 verbunden sind. Ferner ist ein Administrations-Computersystem 7 sowie ein Vermittlungs-Computersystem 8 im Netzwerk N1 vorgesehen. Die Netzwerke N1 und N2 können getrennte Netzwerke oder Bestandteile eines Netzwerks sein. Insofern entspricht die Computernetz-Infrastruktur im Wesentlichen dem Aufbau gemäß der Ausführungsform in 4. Allerdings ist die Topologie der virtuellen Maschinen im Vergleich zur Infrastruktur gemäß 4 unterschiedlich.
  • In der Ausführungsform gemäß 6A sind die virtuellen Maschinen speziell als Webserver, Anwendungsserver beziehungsweise Datenbankserver eingerichtet. Zwei virtuelle Maschinen web1 und web2 stellen Webserver-Funktionalitäten bereit. web1 ist auf dem physischen Computersystem 2a installiert und web2 auf dem physischen Computersystem 2b. Die beiden virtualisierten Webserver web1 und web2 können über ein Kommunikationssubnetz 3c entsprechend den oben erläuterten Maßnahmen kommunizieren. Die beiden Webserver web1 und web2 können aus dem externen Netzwerk, z.B. aus dem Netzwerk N2, von außen direkt (unmittelbar) ansprechbar sein, z.B. über von den physischen Computersystemen 2a und 2b unabhängige IP-Adressen. Auf diese Weise stellen diese von extern erreichbare virtuelle Webserver da. Dennoch ist eine Verbindung aus dem externen Netzwerk (N1 oder N2) auf die physischen Computersysteme 2a und 2b über die Netzwerk-Ports 4a und 4b geblockt, wie oben bereits zu 1 erläutert. Ferner sind zwei virtualisierte Anwendungsserver app1 und app2 auf den physischen Computersystemen 2a beziehungsweise 2b installiert, die miteinander beziehungsweise mit den Webservern web1 und web2 über ein zweites Kommunikationssubnetz 3b kommunizieren. Schließlich sind auch zwei virtualisierte Datenbankserver db1 und db2 auf dem physischen Computersystem 2a beziehungsweise dem physischen Computersystem 2b installiert, die untereinander und mit den Anwendungsservern app1 und app2 über ein drittes Kommunikationssubnetz 3a kommunizieren. Bevorzugt sind weder die Anwendungsserver app1 und app2 noch die Datenbankserver db1 und db2 an das externe Netzwerk (N1 oder N2) angebunden.
  • Auf diese Weise kann über eine derartige Computernetz-Infrastruktur eine komplexe virtualisierte Netzwerk-Funktionalität realisiert werden. Die beiden physischen Computersysteme 2a und 2b fungieren gewissermaßen als Host-Server zur Bereitstellung der dargestellten Netzwerk-Dienste, welche jedoch, abgesehen von einem etwaigen Zugriff von extern auf die Webserver web1 und web2 - wie oben erläutert, vollständig eingekapselt über separate Kommunikationssubnetze 3a bis 3c kommunizieren können. Die über die Kommunikationssubnetze 3a bis 3c ausgetauschten Daten werden über die physischen Netzwerke N1 beziehungsweise N2 ausschließlich in verschlüsselter Form mittels VPN-Verbindungen vermittelt. Verbindungsversuche aus den externen Netzwerken N1 und N2 unmittelbar auf die physischen Host-Server 2a und 2b, die von einer Vermittlung der Kommunikationen zwischen den virtualisierten Systemen unabhängig sind, werden an den Netzwerk-Ports 4a beziehungsweise 4b der physischen Host-Server 2a und 2b unterbunden. Auf diese Weise sind die Host-Server 2a und 2b zu den Netzwerken N1 und N2 hin ebenfalls abgeschottet.
  • Bezüglich der virtualisierten Anwendungen können auf der Ebene des Basisbetriebssystems bzw. Hypervisors für die einzelnen virtuellen Maschinen gezielt Sicherheitsregeln, d. h. Firewall-Regeln FW vergeben werden. Auf diese Weise ist eine feine Granularität von Sicherheitseinstellungen zwischen den verschiedenen Anwendungen möglich. Somit können für jedes Kommunikationssubnetz separate Sicherheitsregeln eingestellt werden, die vorteilhaft unabhängig von anderen Sicherheitsregeln sein können. Insbesondere ist es nicht notwendig, die virtualisierten Anwendungen nach außen hin über Firewalls speziell abzusichern. Eine Sicherheitsbarriere in die Netzwerke N1 und N2 ist durch die Virtualisierung gegeben, wobei die Hypervisor auf den Host-Servern 2a und 2b einen Verbindungsaufbau aus den virtuellen Maschinen in die Netzwerke N1 beziehungsweise N2 blockieren. Auf diese Weise ist die Computernetz-Infrastruktur gemäß 6A sehr strukturiert und flexibel in der Implementierung und Anpassung an bestimmte anwendungsspezifische Funktionalitäten und bietet dennoch eine einfache Administration aus Sicht einer Systemsicherheit.
  • Ein Ersatzschaltbild der Topologie gemäß 6A ist in 6B dargestellt. Hierin sind die einzelnen Kommunikationssubnetze mit LAN0 bis LAN2 bezeichnet.
  • 7A zeigt die Topologie gemäß 6A in einer vereinfachten Darstellung. Hierbei sind die einzelnen virtuellen Maschinen auf den physischen Host-Servern 2a und 2b als virtuelle Strukturen VMStruct. zusammengefasst und kommunizieren zwischen den physischen Host-Servern 2a und 2b über gebridgte Kommunikationssubnetze 31. 7B zeigt eine erweiterte Ausführungsform einer Computernetz-Infrastruktur der erläuterten Art. Dabei sind drei physische Host-Server 2a, 2b und 2c eingerichtet, welche entsprechende Computersystem-Architekturen 1a mit verschiedenen virtuellen Strukturen umfassen. Eine erste virtuelle Struktur VM-Struct.1 ist auf den physischen Host-Servern 2a und 2b eingerichtet und kommuniziert über ein oder mehrere Kommunikationssubnetze 31. Eine zweite virtuelle Struktur VM-Struct.2 ist auf den physischen Host-Servern 2b und 2c eingerichtet und kommuniziert über ein oder mehrere Kommunikationssubnetze 32. Eine dritte Struktur VM-Struct.3 ist auf den drei physischen Host-Servern 2a, 2b und 2c eingerichtet und kommuniziert über ein oder mehrere virtuelle Kommunikationssubnetze 33. Die Computernetz-Infrastruktur gemäß 7B verdeutlicht eine flexible Erweiterbarkeit virtualisierter Teilnetze in den erläuterten Computersystem-Architekturen, so dass sehr komplexe Anwendungsszenarien trotz einer sehr hohen Sicherheit der Computernetz-Infrastruktur realisierbar sind.
  • 7C zeigt eine Topologie von VPN-Verbindungen zwischen den einzelnen physischen Host-Servern 2a, 2b und 2c, die gemäß der Infrastruktur aus 7B eingerichtet sein können. Zwischen jeweils zwei physischen Host-Servern sind jeweils zwei VPN-Verbindungen eingerichtet. Die VPN-Verbindungen dienen zur Vermittlung der Kommunikationen entlang der einzelnen Kommunikationssubnetze (vgl. 31, 32 und 33 gemäß 7B). In 7C ist jeweils eine erste VPN-Verbindung 13a und eine zweite VPN-Verbindung 13b zwischen jeweils zwei Host-Servern eingerichtet. Der physische Host-Server 2a stellt auf der ersten VPN-Verbindung zum physischen Host-Server 2b hin einen VPN-Dienst 12a zur Verfügung.
  • Umgekehrt stellt der physische Host-Server 2b auf der zweiten VPN-Verbindung 13b hin zum physischen Host-Server 2a einen VPN-Dienst 12b zur Verfügung. 12a und 12b können beispielsweise so genannte VPN-Daemons sein. Über die VPN-Daemons 12a und 12b können zwischen den beiden physischen Host-Servern 2a und 2b die beiden VPN-Verbindungen 13a und 13b hergestellt werden. Eine analoge Topologie ist jeweils zwischen den beiden physischen Host-Servern 2a und 2c beziehungsweise 2b und 2c eingerichtet. Jeder der physischen Host-Server stellt jeweils einen VPN-Dienst zur Verfügung, auf den von außen zugegriffen werden kann, um eine VPN-Verbindung zu etablieren. Auf diese Weise sind zwei redundante VPN-Verbindungen zwischen jeweils zwei physischen Host-Servern realisiert. Fällt beispielsweise ein VPN-Dienst auf einem physischen Host-Server aus, so kann weiterhin die andere VPN-Verbindung zwischen beteiligten physischen Host-Servern herangezogen werden. Es ist natürlich denkbar, mehr (oder auch weniger) als zwei VPN-Verbindungen zwischen jeweils zwei physischen Host-Servern bereitzustellen. Sämtliche VPN-Verbindungen zwischen den einzelnen physischen Systemen können als gebondete, aggregierte Verbindungen eingerichtet sein. Auf diese Weise ist eine hoch verfügbare VPN-Verbindung zwischen den einzelnen physischen Host-Servern einer Computernetz-Infrastruktur der erläuterten Art realisierbar.
  • 8 zeigt eine weitere Ausführungsform einer Computernetz-Infrastruktur, welche gemäß einer Systematik der Ausführungsform gemäß 7B eingerichtet ist. Allerdings ist in der Topologie gemäß 8 zwischen zwei Sicherheitszonen Zone 1 und Zone 2 unterschieden. In jeder Zone befinden sich Computersystem-Architekturen mit physischen Host-Servern, auf denen virtuelle Strukturen zur Realisierung virtueller anwendungsspezifischer Funktionalitäten eingerichtet sind. Zwischen verschiedenen physischen Host-Servern kommunizieren die virtuellen Strukturen über entsprechend eingerichtete virtuelle Kommunikationssubnetze. Die Verwendung von unterschiedlichen physischen Host-Servern kann beispielsweise dazu dienen, die Sicherheitszonen Zone 1 und Zone 2, die z.B. unterschiedlichen Kunden eines Rechenzentrums zur Verfügung gestellt werden können, durch getrennte Hardware abzubilden.
  • In Zone 1 sind drei physische Host-Server 2a, 2b und 2c eingerichtet, wobei eine erste virtuelle Struktur VM-Struct.1 auf den physischen Host-Servern 2a und 2b implementiert ist und über virtuelle Kommunikationssubnetze 31 kommuniziert. Ferner ist in Zone 1 eine virtuelle Struktur VM-Struct.2 eingerichtet, die auf den drei physischen Host-Servern 2a, 2b und 2c implementiert ist und über virtuelle Kommunikationssubnetze 32 verbunden ist.
  • In Zone 2 sind ebenfalls drei physische Host-Server 2d, 2e und 2f eingerichtet mit zwei virtuellen Strukturen VM-Struct.3 zwischen den physischen Host-Servern 2e und 2f und VM-Struct.4 zwischen allen drei physischen Host-Servern 2d, 2e und 2f. Die virtuelle Struktur VM-Struct.3 kommuniziert über virtuelle Kommunikationssubnetze 33, während die virtuelle Struktur VM-Struct.4 über virtuelle Kommunikationssubnetze 34 kommuniziert.
  • Damit die verschiedenen virtuellen Strukturen ggf. von extern, also beispielsweise über das Internet oder ein Intranet (wenn gewünscht und eingerichtet, vgl. Erläuterungen zu 6A) erreichbar sind, ist ein Forwarding 11 (ggf. mit IP-Adressumsetzung, sogenannte Network-Adress-Translation, NAT) oder ein Routing auf die Schnittpunkte (z.B. Webserver, vgl. 6A) der einzelnen Kommunikationssubnetze 31, 32, 33 und 34 eingerichtet. Das Forwarding 11 kann beispielsweise über einen oder mehrere virtualisierte Router innerhalb der virtuellen Umgebungen der physischen Host-Server 2a bis 2f eingerichtet sein. Es ist auch denkbar, ein entsprechendes Forwarding über ein oder mehrere Basisbetriebssysteme der physischen Host-Server 2a bis 2f zu realisieren. Als weitere Möglichkeit wäre auch ein Forwarding über einen externen physischen Router denkbar. Eine Vermittlung des Forwardings 11 zu den Kommunikationssubnetzen 31, 32, 33 und 34 kann vermittels eines oder beider von zwei externen Netzwerken NI und NII erfolgen. Auch hier sind, wie zu den anderen Ausführungsformen bereits mehrfach erläutert, vorteilhaft VPN-Verbindungen vorzusehen, so dass Daten über die externen Netze NI und NII ausschließlich verschlüsselt ausgetauscht werden.
  • Zur Verbindung verschiedener Strukturen über die Sicherheitszonen hinweg oder auch als Verbindung zwischen zwei Strukturen innerhalb einer Sicherheitszone ist ein Relay-System 10 („Zone Connect“) eingerichtet, das über virtuelle Bridges br in einzelne virtuelle Kommunikationssubnetze eingebunden werden kann. Das Relay-System 10 kann eine Bridge oder ein Router, ggf. in Kombination mit einer Firewall, sein. In 8 ist das Relay-System 10 beispielhaft an die virtuellen Bridges br der virtuellen Kommunikationssubnetze 32 in Zone 1 und 33 in Zone 2 angebunden. Auf diese Weise können die beiden Kommunikationssubnetze 32 und 33 quasi zu einem virtuellen Kommunikationssubnetz verbunden werden. Auf diese Weise ist es sehr leicht möglich, Informationen zwischen einzelnen virtuellen Maschinen einzelner virtueller Strukturen über gebridgte Netzwerkverbindungen vermittels des Relay-Systems 10 auszutauschen. Auf virtueller Ebene können sich einzelne virtuelle Maschinen verschiedener virtueller Strukturen somit auf einfache Weise ansprechen. Beispielsweise können, wie in 8 dargestellt, virtuelle Maschinen aus der virtuellen Struktur VM-Struct.2 in Zone 1 unmittelbar virtuelle Maschinen in der virtuellen Struktur VM-Struct.3 in Zone 2 ansprechen. Vorteilhaft ist die Verbindung zwischen den beiden Sicherheitszonen Zone 1 und Zone 2 über das Relay-System 10 durch spezielle Firewall-Regeln, Paketfilter, usw. abgesichert. Eine Vermittlung der Verbindung zwischen den beiden Sicherheitszonen Zone 1 und Zone 2 über das Relay-System 10 kann vermittels eines oder beider der externen Netzwerke NI und NII erfolgen. Auch hier sind, wie zu den anderen Ausführungsformen bereits mehrfach erläutert, vorteilhaft VPN-Verbindungen vorzusehen, so dass Daten über die externen Netze NI und NII ausschließlich verschlüsselt ausgetauscht werden.
  • Die erläuterten Computersystem-Architekturen beziehungsweise Computernetz-Infrastrukturen aus einer Mehrzahl solcher Computersystem-Architekturen kombinieren verschiedene Systematiken, wie sie zum Teil aus herkömmlichen Lösungen bekannt sind, zu einer völlig neuen Gesamtlösung. Dadurch wird eine Einkapselung potenziell unsicherer Betriebssysteme beziehungsweise darauf laufender potenziell unsicherer Anwendungsprogramme in virtuelle Maschinen beziehungsweise virtuelle Strukturen erzielt. Auf diese Weise wird ein ungewollter Verbindungsaufbau aus potenziell unsicheren Systemen innerhalb der virtuellen Maschinen in externe Netzwerke verhindert, ohne dass für jegliches Betriebssystem oder jegliches Anwendungsprogramm innerhalb der virtuellen Strukturen globale Firewall-Regeln eingerichtet und administriert werden müssen. Gleichzeitig sind die physischen Computersysteme, auf denen die virtuellen Maschinen beziehungsweise virtuellen Strukturen implementiert sind, gegen einen Verbindungsaufbau auf das physische Computersystem aus den externen physischen Netzwerken abgesichert, soweit sich ein derartiger Verbindungsaufbau von einer reinen Vermittlung einer Kommunikation zwischen den virtuellen Maschinen verschiedener physischer Computersysteme unterscheidet.
  • Auf diese Weise ist eine Computersystem-Architektur beziehungsweise eine daraus aufgebaute Computernetz-Infrastruktur auch speziell abgesichert gegen Angriffe von außen. Dennoch stellen die einzelnen physischen Computersysteme als physische Host-Server virtualisierte anwendungsspezifische Funktionalitäten bereit, die über virtualisierte Kommunikationssubnetze zu sehr komplexen Netzwerken zusammengeschlossen werden können. Eine Vermittlung einer Kommunikation zwischen derartigen virtuellen Kommunikationssubnetzen erfolgt vermittels externer physischer Netzwerke, insbesondere vorteilhaft abgesichert über verschlüsselte VPN-Verbindungen. Insbesondere finden redundante, gebondete VPN-Verbindungen Anwendung.
  • Sämtliche Topologien der erläuterten Ausführungsformen können mit Merkmalen anderer Topologien ergänzt, erweitert oder verändert werden. Strukturell gleiche oder ähnliche Merkmale der verschiedenen Ausführungsformen können in anderen Ausführungsformen entsprechend Anwendung finden. Die dargestellten Ausführungsformen sind lediglich beispielhaft.
  • In nicht dargestellten Ausführungsformen wäre auch denkbar, virtuelle Maschinen (VM-Gast) in gastgebenden virtuellen Maschinen (VM-Host) zu beherbergen, wobei die Maßnahmen der erläuterten Art in Zusammenspiel mit physischen Computersystemen analog für die beherbergten virtuellen Maschinen (VM-Gast) in den gastgebenden virtuellen Maschinen (VM-Host) bzw. für die gastgebenden virtuellen Maschinen (VM-Host) selbst Anwendung finden. Insbesondere kann eine Kapselung von virtuellen Maschinen innerhalb von virtuellen Kommunikationssubnetzen der erläuterten Art auf gastgebende virtuelle Maschinen (VM-Host) sowie auf beherbergte virtuelle Maschinen (VM-Gast) angewendet werden. Die physischen Computersysteme sind auch hier, wie erläutert, derart abgesichert, dass ein von einem virtuellen Kommunikationssubnetz unabhängiger Verbindungsaufbau aus einem externen physischen Netzwerk von außerhalb eines physischen Computersystems zum physischen Computersystem verhindert wird.
  • Vorteilhaft werden im Allgemeinen die physischen Computersysteme in Hochsicherheitsracks gegen physische Manipulationen abgesichert. Ferner ist es vorteilhaft, jeglichen Zugriff auf Software oder Hardware durch Administratoren über ein Mehr-Augen-Prinzip abzusichern.
  • Bezugszeichenliste
    • 1, 1a bis 1f
    Computersystem-Architektur
    2, 2a bis 2f
    physisches Computersystem
    3, 3a bis 3c
    virtuelle Kommunikationssubnetze
    31, 32, 33 ,34
    virtuelle Kommunikationssubnetze
    4, 4a bis 4f
    Netzwerk-Ports
    14, 24
    Netzwerk-Ports
    5
    virtuelles Speichersubnetz
    6
    Instanz eines Basisbetriebssystems
    7
    Administrations-Computersystem
    8
    Vermittlungs-Computersystem
    9a, 9b
    Hochsicherheits-Rack
    10
    Relay-System
    11
    Routing
    12a, 12b
    VPN-Dienst
    13a, 13b
    VPN-Verbindungen
    VM1 bis VM4
    virtuelle Maschine
    br
    virtuelle Netzwerk-Bridge
    N, N1, N2
    physisches Netzwerk
    NI, NII
    physisches Netzwerk
    cs
    Konsole einer virtuellen Maschine
    FW
    Firewall
    web1, web2
    Web-Server
    appl, app2
    Anwendungs-Server
    db1, db2
    Datenbank-Server
    VM-Struct.
    virtuelle Struktur
    L1 bis L4
    Speicherkomponenten

Claims (11)

  1. Computersystem-Architektur (1) umfassend ein physisches Computersystem (2), auf dem ein Basisbetriebssystem sowie eine virtuelle Umgebung eingerichtet sind, wobei die virtuelle Umgebung zumindest eine virtuelle Maschine (VM) und zumindest eine virtuelle Netzwerk-Bridge (br) zumindest eines virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) aufweist, wobei die virtuelle Maschine (VM) und die virtuelle Netzwerk-Bridge (br) vermittels des Basisbetriebssystems steuerbar sind und wobei die virtuelle Maschine (VM) an die virtuelle Netzwerk-Bridge (br) angebunden ist und für eine Kommunikation mit weiteren virtuellen Maschinen (VM) innerhalb des virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) eingerichtet ist, wobei die virtuelle Maschine (VM) ferner derart eingerichtet ist, dass ein Verbindungsaufbau von der virtuellen Maschine (VM) in ein externes physisches Netzwerk (N, N1, N2) außerhalb des physischen Computersystems (2), welches sich in seiner Konfiguration von dem virtuellen Kommunikationssubnetz (3, 31, 32, 33, 34) unterscheidet, verhindert wird, und wobei die Netzwerk-Ports (4) des physischen Computersystems (2) derart eingerichtet sind, dass eine Vermittlung einer Kommunikation zwischen der virtuellen Maschine (VM) und anderen virtuellen Maschinen (VM) innerhalb des virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) über das physische Computersystem (2) hinaus vermittels des externen physischen Netzwerks (N, N1, N2) zugelassen wird, jedoch ein vom virtuellen Kommunikationssubnetz (3, 31, 32, 33, 34) unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk (N, N1, N2) von außerhalb des physischen Computersystems (2) zum physischen Computersystem (2) verhindert wird.
  2. Computersystem-Architektur (1) nach Anspruch 1, wobei die virtuelle Umgebung ferner zumindest eine virtuelle Speicherschnittstelle aufweist, wobei die virtuelle Speicherschnittstelle vermittels des Basisbetriebssystems steuerbar ist und eingerichtet ist physische Speicherkomponenten (L1, L2, L3, L4) als virtuelle Speicherkomponenten für die virtuelle Maschine (VM) bereitzustellen und wobei die virtuelle Maschine (VM) an die virtuelle Speicherschnittstelle angebunden ist und für eine Kommunikation mit den virtuellen Speicherkomponenten eingerichtet ist.
  3. Computersystem-Architektur (1) nach Anspruch 1 oder 2, wobei das Basisbetriebssystem und die virtuelle Umgebung derart eingerichtet sind, dass ein Verbindungsaufbau von der virtuellen Maschine (VM) in das Basisbetriebssystem verhindert wird, jedoch ein Verbindungsaufbau vom Basisbetriebssystem in die virtuelle Maschine (VM) zugelassen wird.
  4. Computersystem-Architektur (1) nach einem der Ansprüche 1 bis 3, wobei das Basisbetriebssystem eingerichtet ist, Daten der virtuellen Maschine (VM), welche vermittels des externen physischen Netzwerks (N, N1, N2) nach außerhalb des physischen Computersystems (2) vermittelt werden, zu verschlüsseln.
  5. Computernetz-Infrastruktur, umfassend eine Mehrzahl von Computersystem-Architekturen (1a, 1b, 1c) gemäß einem der Ansprüche 1 bis 4, die über zumindest ein physisches Netzwerk (N, N1, N2) verbunden sind, wobei zumindest eine virtuelle Maschine (VM1, VM2, VM3, VM4) der jeweiligen Computersystem-Architekturen (1a, 1b, 1c) über zumindest ein virtuelles Kommunikationssubnetz (3a, 3b, 3c) mit zumindest einer virtuellen Maschine (VM1, VM2, VM3, VM4) zumindest einer anderen Computersystem-Architektur (1a, 1b, 1c) verbunden ist, wobei die Computernetz-Infrastruktur derart eingerichtet ist, dass eine Kommunikation innerhalb des zumindest einen virtuellen Kommunikationssubnetzes (3a, 3b, 3c) zwischen den physischen Computersystemen (2a, 2b, 2c) vermittels des zumindest einen physischen Netzwerks (N, N1, N2) vermittelt wird.
  6. Computernetz-Infrastruktur nach Anspruch 5, ferner aufweisend physische Speicherkomponenten (L1, L2, L3, L4) zur Speicherung von Daten der virtuellen Maschinen (VM1, VM2, VM3, VM4) der Computersystem-Architekturen (1a, 1b, 1c), wobei die Speicherkomponenten (L1, L2, L3, L4) als virtuelle Speicherkomponenten von zumindest einem Teil der virtuellen Maschinen (VM1, VM2, VM3, VM4) angesprochen werden können.
  7. Computernetz-Infrastruktur nach Anspruch 5 oder 6, wobei die Computernetz-Infrastruktur derart eingerichtet ist, dass eine Kommunikation innerhalb des zumindest einen virtuellen Kommunikationssubnetzes (3a, 3b, 3c) zwischen den physischen Computersystemen (2a, 2b, 2c) über ein oder mehrere Virtual-Private-Netzwerke (13) vermittelt wird.
  8. Computernetz-Infrastruktur nach Anspruch 7, wobei zwischen jeweils zwei physischen Computersystemen (2a, 2b, 2c) zumindest ein erstes und ein zweites Virtual-Private-Netzwerk (13a, 13b) zur Vermittlung des zumindest einen virtuellen Kommunikationssubnetzes (3a, 3b, 3c) eingerichtet sind, wobei ein ansprechbarer VPN-Dienst (12a) des ersten Virtual-Private-Netzwerks (13a) auf dem einen physischen Computersystem eingerichtet ist und ein ansprechbarer VPN-Dienst (12b) des zweiten Virtual-Private-Netzwerks (13b) auf dem anderen physischen Computersystem eingerichtet ist.
  9. Computernetz-Infrastruktur nach einem der Ansprüche 5 bis 8, wobei mehrere separate virtuelle Kommunikationssubnetze (3a, 3b, 3c, 31, 32, 33, 34) eingerichtet sind und für jedes virtuelle Kommunikationssubnetz (3a, 3b, 3c, 31, 32, 33, 34) separate Sicherheitsregeln (FW) für die beteiligten virtuellen Maschinen (VM1, VM2, VM3, VM4) vorgegeben sind.
  10. Computernetz-Infrastruktur nach Anspruch 9, wobei zwischen den verschiedenen virtuellen Kommunikationssubnetzen (3a, 3b, 3c, 31, 32, 33, 34) ein Routing (10) eingerichtet ist, sodass eine Kommunikation zwischen virtuellen Maschinen (VM1, VM2, VM3, VM4) verschiedener Kommunikationssubnetze (3a, 3b, 3c, 31, 32, 33, 34) ermöglicht ist.
  11. Computernetz-Infrastruktur nach einem der Ansprüche 5 bis 10, ferner umfassend ein Administrations-Computersystem (7) und ein Vermittlungs-Computersystem (8), die mit dem zumindest einen physischen Netzwerk (N, N1, N2) verbunden sind zur Administration eines oder mehrerer Computersystem-Architekturen (2a, 2b, 2c), wobei die Netzwerk-Ports (14) des Administrations-Computersystems (7) zum zumindest einen physischen Netzwerk (N, N1, N2) hin geschlossen sind, so dass ein Verbindungsaufbau aus dem zumindest einen physischen Netzwerk (N, N1, N2) von außerhalb des Administrations-Computersystems (7) zum Administrations-Computersystem (7) verhindert wird, wobei jedoch das Vermittlungs-Computersystem (8) zumindest einen offenen Netzwerk-Port zum zumindest einen physischen Netzwerk (N, N1, N2) hin aufweist und derart eingerichtet ist, dass sowohl das Administrations-Computersystem (7) als auch die physischen Computersysteme (2a, 2b, 2c) der zu administrierenden Computersystem-Architekturen (1a, 1b, 1c) über das zumindest eine physische Netzwerk (N, N1, N2) auf das Vermittlungs-Computersystem (8) zugreifen können.
DE102016124383.3A 2016-10-18 2016-12-14 Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen Expired - Fee Related DE102016124383B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102016124383.3A DE102016124383B4 (de) 2016-10-18 2016-12-14 Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
PCT/EP2017/075980 WO2018073082A1 (de) 2016-10-18 2017-10-11 Computersystem-architektur sowie computernetz-infrastruktur, umfassend eine mehrzahl von solchen computersystem-architekturen
GB1817379.9A GB2565458A (en) 2016-10-18 2017-10-11 Computer system architecture and computer network infrastructure comprising a plurality of said type of computer system architectures
US16/098,286 US20190250938A1 (en) 2016-10-18 2017-10-11 Computer system architecture and computer network infrastructure including a plurality of such computer system architectures

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102016119802.1 2016-10-18
DE102016119802 2016-10-18
DE102016124383.3A DE102016124383B4 (de) 2016-10-18 2016-12-14 Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen

Publications (2)

Publication Number Publication Date
DE102016124383A1 true DE102016124383A1 (de) 2018-04-19
DE102016124383B4 DE102016124383B4 (de) 2018-05-09

Family

ID=76741478

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016124383.3A Expired - Fee Related DE102016124383B4 (de) 2016-10-18 2016-12-14 Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen

Country Status (4)

Country Link
US (1) US20190250938A1 (de)
DE (1) DE102016124383B4 (de)
GB (1) GB2565458A (de)
WO (1) WO2018073082A1 (de)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL238690B (en) 2015-05-07 2019-07-31 Mellanox Technologies Ltd Network-based computational accelerator
US11005771B2 (en) 2017-10-16 2021-05-11 Mellanox Technologies, Ltd. Computational accelerator for packet payload operations
US11502948B2 (en) 2017-10-16 2022-11-15 Mellanox Technologies, Ltd. Computational accelerator for storage operations
US10841243B2 (en) 2017-11-08 2020-11-17 Mellanox Technologies, Ltd. NIC with programmable pipeline
US10938784B2 (en) * 2017-12-05 2021-03-02 Assured Information Security, Inc. Dedicating hardware devices to virtual machines in a computer system
US10708240B2 (en) * 2017-12-14 2020-07-07 Mellanox Technologies, Ltd. Offloading communication security operations to a network interface controller
US10855587B2 (en) * 2018-10-19 2020-12-01 Oracle International Corporation Client connection failover
CN109522760B (zh) * 2018-10-29 2020-08-14 北京博衍思创信息科技有限公司 一种基于硬件控制逻辑的数据转发控制方法及系统
US10824469B2 (en) 2018-11-28 2020-11-03 Mellanox Technologies, Ltd. Reordering avoidance for flows during transition between slow-path handling and fast-path handling
CN114095153A (zh) 2020-08-05 2022-02-25 迈络思科技有限公司 密码数据通信装置
IL276538B2 (en) 2020-08-05 2023-08-01 Mellanox Technologies Ltd A cryptographic device for data communication
US11934333B2 (en) 2021-03-25 2024-03-19 Mellanox Technologies, Ltd. Storage protocol emulation in a peripheral device
US11934658B2 (en) 2021-03-25 2024-03-19 Mellanox Technologies, Ltd. Enhanced storage protocol emulation in a peripheral device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140281030A1 (en) * 2013-03-15 2014-09-18 Vmware, Inc. Virtual Network Flow Monitoring
DE112013003225T5 (de) * 2012-06-28 2015-03-26 International Business Machines Corporation Sicherer Zugriff auf gemeinsam genutzte Speicher-Ressourcen
US20160357591A1 (en) * 2013-03-18 2016-12-08 International Business Machines Corporation Scalable policy management in an edge virtual bridging (evb) environment

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160072787A1 (en) * 2002-08-19 2016-03-10 Igor V. Balabine Method for creating secure subnetworks on a general purpose network
EP2425341B1 (de) * 2009-05-01 2018-07-11 Citrix Systems, Inc. Systeme und verfahren zum einrichten einer cloud-brücke zwischen virtuellen speicherressourcen
US7953865B1 (en) * 2009-12-28 2011-05-31 Amazon Technologies, Inc. Using virtual networking devices to manage routing communications between connected computer networks
US7991859B1 (en) * 2009-12-28 2011-08-02 Amazon Technologies, Inc. Using virtual networking devices to connect managed computer networks
US9749291B2 (en) * 2011-07-15 2017-08-29 International Business Machines Corporation Securing applications on public facing systems
US9525564B2 (en) * 2013-02-26 2016-12-20 Zentera Systems, Inc. Secure virtual network platform for enterprise hybrid cloud computing environments
US9699034B2 (en) * 2013-02-26 2017-07-04 Zentera Systems, Inc. Secure cloud fabric to connect subnets in different network domains
US10348767B1 (en) * 2013-02-26 2019-07-09 Zentera Systems, Inc. Cloud over IP session layer network
US10263870B2 (en) * 2016-07-07 2019-04-16 International Business Machines Corporation Suspending and resuming virtual machines in a network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112013003225T5 (de) * 2012-06-28 2015-03-26 International Business Machines Corporation Sicherer Zugriff auf gemeinsam genutzte Speicher-Ressourcen
US20140281030A1 (en) * 2013-03-15 2014-09-18 Vmware, Inc. Virtual Network Flow Monitoring
US20160357591A1 (en) * 2013-03-18 2016-12-08 International Business Machines Corporation Scalable policy management in an edge virtual bridging (evb) environment

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Netzwerkforum,Tutorials, Virtuelle Netze mit VMware Server, Bridged Ntworking,© 2004-2015, network lab - we make your net work - aktualisiert am 22.03.2012 Gefunden im Internet am 24.01.2018 unter "http://www.nwlab.net/tutorials/VMware/" *
VMware Workstation 4, Bridged Networking,Gefunden im Internet am 24.01.2018 unter:"https://www.vmware.com/support/ws4/doc/net"work_bridged_ws.html *

Also Published As

Publication number Publication date
GB2565458A (en) 2019-02-13
DE102016124383B4 (de) 2018-05-09
GB2565458A9 (en) 2021-07-07
WO2018073082A1 (de) 2018-04-26
GB201817379D0 (en) 2018-12-12
US20190250938A1 (en) 2019-08-15

Similar Documents

Publication Publication Date Title
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
DE69836271T2 (de) Mehrstufiges firewall-system
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE60216218T2 (de) Persönlicher Firewall mit Platzabhängiger Funktionalität
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE112013004828T5 (de) Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr
DE60121755T2 (de) Ipsec-verarbeitung
DE202013012514U1 (de) Protokollstrukturierte Datenträgerverschlüsselung bei virtuellen Maschinen
EP3451624B1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
EP3479532B1 (de) Einheit zur weiterleitung von datenpaketen in softwaredefinierten netzwerken
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
CN110012016A (zh) 混合云环境中资源访问控制的方法及系统
DE102019112485A1 (de) Verfahren zum selektiven Ausführen eines Containers
DE69636513T2 (de) System zur sicherung des flusses und zur selektiven veränderung von paketen in einem rechnernetz
DE102014107793A1 (de) Verfahren zur Weiterleitung von Daten zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
EP3318033B1 (de) Anti-cracking verfahren mit hilfe eines vermittlungscomputer
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
CN100466599C (zh) 一种专用局域网的安全访问方法及用于该方法的装置
WO2015185507A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
EP3170295A1 (de) Verfahren zum freischalten externer computersysteme in einer computernetz-infrastruktur, verteiltes rechnernetz mit einer solchen computernetz-infrastruktur sowie computerprogramm-produkt
DE102014102627B3 (de) Arbeitsverfahren für ein System sowie System
DE10234562B4 (de) Sichere Netzwerkarchitektur
DE10138865C2 (de) Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee