WO2018073082A1 - Computersystem-architektur sowie computernetz-infrastruktur, umfassend eine mehrzahl von solchen computersystem-architekturen - Google Patents

Computersystem-architektur sowie computernetz-infrastruktur, umfassend eine mehrzahl von solchen computersystem-architekturen Download PDF

Info

Publication number
WO2018073082A1
WO2018073082A1 PCT/EP2017/075980 EP2017075980W WO2018073082A1 WO 2018073082 A1 WO2018073082 A1 WO 2018073082A1 EP 2017075980 W EP2017075980 W EP 2017075980W WO 2018073082 A1 WO2018073082 A1 WO 2018073082A1
Authority
WO
WIPO (PCT)
Prior art keywords
virtual
computer system
physical
network
communication
Prior art date
Application number
PCT/EP2017/075980
Other languages
English (en)
French (fr)
Inventor
Heinz-Josef CLAES
Robert Ferwagner
Original Assignee
Fujitsu Technology Solutions Intellectual Property Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Technology Solutions Intellectual Property Gmbh filed Critical Fujitsu Technology Solutions Intellectual Property Gmbh
Priority to US16/098,286 priority Critical patent/US20190250938A1/en
Priority to GB1817379.9A priority patent/GB2565458A/en
Publication of WO2018073082A1 publication Critical patent/WO2018073082A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5077Logical partitioning of resources; Management or configuration of virtualized resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Definitions

  • Computer system architecture and computer network infrastructure comprising a plurality of such computer system architectures
  • the invention relates to a computer system architecture comprising a physical computer system on which
  • the invention relates to a
  • Computer system infrastructure having a plurality of such computer system architectures.
  • Computer system architectures or in computer network infrastructures or IT networks comprising a plurality of such computer system architectures.
  • Vulnerabilities can exploit attackers from an external network to manipulate a
  • Operating system run from running application programs or data that are processed in the operating system or in the running application programs. Furthermore, attackers can error or Vulnerabilities also for unauthorized access to operating systems, application programs or data exploit.
  • Operating systems or application programs may be faulty or may be deliberately manipulated or set up or be manipulated by an external attacker that they perform a user unintentional connection to other external systems (referred to in the art as so-called "home calls”) Data or general
  • Firewall systems that are ideally switched between all systems and components or their interfaces in a computer network infrastructure to the
  • Network traffic of the operating systems or the running application programs and the connections between participating computer systems or other Network components eg routers, switches, etc.
  • firewall systems can also provide errors, backdoors or in general
  • Vulnerabilities or by users e.g.
  • hypervisor by means of a so-called hypervisor, can be controlled.
  • Such virtual environments are available
  • sandbox For example, to first test certain software packages in a secure environment (so-called sandbox), before appropriate programs within a larger one
  • the object of the present invention is therefore a
  • Computer system architecture and a computer network infrastructure with a plurality of such computer system architectures that allow increased security of the systems constructed thereby, have an improved robustness to the above-mentioned hazards and still offer the possibility of a flexible and
  • the computer system architecture includes a physical one
  • the virtual environment has at least one virtual machine and at least one virtual network bridge at least one virtual
  • the virtual machine can be a virtualized to operate
  • Virtual environment as an abstract from the basic operating system or from the hardware of the physical computer system and possibly isolated environment be understood.
  • the virtual machine and the virtual network bridge are controllable by means of the base operating system. Such control advantageously takes place via a hypervisor of the base operating system, which is set up to control the virtual machine and the virtual network bridge.
  • the virtual machine is attached to the virtual network bridge and configured to communicate with other virtual machines within the virtual communications subnet or other virtual communications subnets.
  • the virtual machine is further configured to establish a connection from the virtual machine to an external physical network outside the physical one
  • Basic operating system set up.
  • the basic operating system of the physical computer system controls one
  • the computer system architecture comprises a plurality of virtual machines, wherein a targeted connection to the outside for one or more
  • the network ports of the physical computer system are in the computer system architecture according to the one presented here Concept arranged such that a mediation of communication between the virtual machine and other virtual machines within the virtual
  • the network ports of the physical computer system are additionally configured such that one of the virtual
  • Communications subnet is prevented from independently connecting from the external physical network from outside the physical computer system to the physical computer system.
  • the network ports of the physical computer system are thus set up so that only a mediation of a communication within the virtual or the virtual
  • the network ports of the physical computer system therefore only allow a connection to be established via specially set up or enabled services, which only mediate communication within the virtual communication subnet (s). For all other services, the network ports are physical
  • Network ports are not running physical services Computer systems that would "listen” to the external network and allow an external connection to the physical computer system, rather, the network ports for such services are locked or unreachable or accessible from the outside.
  • the virtual machine is arranged such that a connection from the external physical network from outside the physical
  • the virtual machine may e.g. have their own IP address (independent of the physical computer system).
  • the virtual machine may further provide one or more services responsive to the external physical network (e.g., a web server service) at one or more dedicated network ports.
  • LAN Local Area Network
  • Internet World Wide Web
  • the physical computer system is configured as a server such that this server within one or more virtual communication subnets by means of one or more virtual machines (in which certain
  • Application programs are established) provides predetermined services, but without the physical computer system itself from the virtual
  • Network ports are provided to the outside in the physical external network.
  • Such a server can certainly provide complex functions and e.g. when
  • virtualized web, application or database server or as a combination thereof can be addressed externally from the external physical network, e.g. services specifically provided by these virtual machines (e.g., web server services).
  • Other virtual machines are advantageously not connected to the external physical network in this case.
  • These virtual machines can only by means of or the virtual
  • the basic operating system may be, for example, an open-source operating system in one
  • Basic operating system also a source code-level audit possible in order to understand the behavior of the base operating system and its components (such as drivers, service and system programs) transparent. It is also conceivable that the basic OS specifically for the here
  • connection setup from the external physical network (as explained above) to the physical computer system is possible, apart from mediated communication within the virtual communication subnet or networks communicated over the external physical network, the protection of the computer system architecture is also significantly increased.
  • This protection can be achieved, for example, by targeted port locks the network ports of the physical computer system are achieved, but are completely independent of the behavior of the systems to be operated within the virtual environment. This also contributes to a simplified handling of
  • the virtual environment further comprises at least one virtual
  • Memory interface by means of the basic operating system is controllable and set up is physical
  • the virtual machine is attached to the virtual storage interface and configured to communicate with the virtual storage components.
  • physical storage components may be provided as virtual storage components for the virtual machine. That is, the virtual machine sees only virtual
  • Storage components can be within the physical
  • Computer system or also be configured as external storage components. It is e.g. conceivable, physical
  • a storage subnet e.g., a so-called storage area network, SAN
  • a provision or logical "translation" of the physical memory components as or into the virtual memory components takes place by means of the virtual memory interface, which is transmitted by means of the basic operating system or by means of the hypervisor
  • the network ports of the physical computer system are additionally advantageously configured such that communication with external
  • Storage components within a storage subnet beyond the physical computer system beyond the external physical network are the network ports of the physical
  • Communication subnet generally prevents independent connection from the external physical network from outside the physical computer system to the physical computer system.
  • Memory components can access to store data.
  • the virtual memory components become physical through the virtual memory interface
  • Measures take place by means of the basic operating system, preferably via a hypervisor in the basic operating system.
  • the said measures also provide protection against manipulative access to the physical computer system or the virtual machine for obtaining data that is provided by the virtual machine in corresponding (virtual) memory components of a dedicated computer
  • Storage system are stored. An exchange of data between virtual machines and the virtual
  • Memory components are controlled exclusively via the virtual memory interface. A transfer of such data to be stored by the virtual machine to unauthorized external systems other than the
  • Distinguishing memory components is prevented by virtue of the fact that the virtual machine, as explained above, is set up in such a way that connection establishment into the external physical network, which differs in its configuration from the memory subnet, is prevented.
  • the base operating system and the virtual environment are configured to prevent connection from the virtual machine to the base operating system, but to establish a connection from the base operating system to the base operating system
  • Application program has no way to make a call to the base OS. That way is the
  • connection establishment from the virtual machine to the base operating system is advantageously prevented by the use of special firewall rules in the
  • Base operating system are set up and / or the console the virtual machine by means of the hypervisor of the
  • the base operating system is configured to encrypt data of the virtual machine that is conveyed outside the physical computer system via the external physical network. This means that any data coming from the virtual machine into the external physical
  • Basic operating system is prevented according to the above-described measures in a preferred embodiment, at least not directly determined in the operating system to be operated within the virtual machine that the data is encrypted at all.
  • Network can be shipped outside the physical computer system, by setting up a secure
  • Base operating system is set up to build one or more so-called virtual private network connections in an external physical network to other physical computer systems or other physical
  • VPN virtual private networks
  • the physical computer system for connection calls from the external physical network independent of a data communication within a virtual communication subnet and possibly independent of a data communication within a
  • the encryption of data may e.g. via a specially created encryption layer or a pseudo-device in the base operating system. For Unix or Linux systems this may e.g. via the so-called "Device Mapper".
  • Abusive effects are protected by vulnerabilities in external network components (such as routers, switches, etc.). Even if data about the external physical
  • the system is massively more difficult in that the network ports of the physical computer system, apart from connections within a virtual computer
  • the computer network infrastructure includes a plurality of such computer system architectures connected via at least one physical network (of the type discussed above).
  • Computer network infrastructure is at least a virtual one
  • Machine of the respective computer system architectures via at least one virtual communication subnet with at least one virtual machine of at least one other
  • the computer network infrastructure is set up so that a
  • Such a computer network infrastructure includes the
  • Computer systems of the respective computer system architectures are distributed and can communicate with each other within one or more virtual communication subnets.
  • virtual networks can be complex with
  • a major advantage of such a computer network infrastructure consists in the fact that despite complex functionality, complex and complex security rules or firewall rules are eliminated. In such a
  • Computer system architectures are controlled via the corresponding base operating systems in the physical computer systems. This control prevents a corresponding connection of the virtual machines in the external physical network. In this way, a very simple and yet effective safety control of
  • Communications subnets independently connect from the external physical network to their respective ones
  • a complex functionality can be realized via such a computer network infrastructure, which, however, is protected or encapsulated both from the inside outward and from the outside inward against manipulations or attacks.
  • Computer network infrastructure is simply not accessible from the outside via the physical external network.
  • Such a computer network infrastructure is easy to administrate from a security point of view and still allows a significantly higher level of security compared to conventionally constructed infrastructures.
  • the illustrated computer network infrastructure comprises physical storage components for storing data of the virtual machines of the computer system architectures.
  • the storage components are virtual
  • the storage components outside of the physical computer systems are configured as physical storage components (eg, within a so-called storage area network, SAN) and accessible via one or more storage subnets.
  • SAN storage area network
  • Such a computer network infrastructure also integrates storage of data that originates from the virtual machines and is to be stored. For example, this may be application-specific data,
  • Storage components are visible and responsive, is a data storage within the illustrated
  • the encryption is advantageously set up such that participating virtual machines have no access to the encryption.
  • the encryption is advantageously set up independently of the virtual machines in such a way that operating systems or applications within the virtual machines do not even have information that an encryption takes place outside the virtual machines at the base operating system level.
  • the virtual machines can address the virtual memory components, where technically at the level of basic operating systems, eg. B. by means of a hypervisor or furnished for this purpose
  • This switch is set up so that all the data about the
  • Computer network infrastructure also very robust against any manipulation of security devices of the physical storage components. Even with a manipulation of
  • Memory components for example, by intrusion of an external attacker in a suitably established
  • the entire computer network infrastructure is set up such that a communication within the at least one virtual communication subnet (and also
  • VPN Virtual Private Networks
  • Computer systems at least a first and a second
  • Virtual private network for mediating the at least one virtual communication subnet (and possibly for mediating the at least one memory subnet)
  • an addressable VPN service of the first virtual private network is set up on the one physical computer system and an addressable VPN service the second virtual private network on the other
  • the computer network infrastructure has several separate virtual ones
  • Each separate virtual communications subnet may have its own IP address space with predetermined private IP addresses of the participating virtual machines. In this way, within the computer network infrastructure several separate subnets are set up, wherein within the
  • Subnets communicate the virtual machines.
  • the communication can be application specific by security rules, e.g. For example, firewall rules.
  • the security rules are e.g. controlled via the base operating system.
  • a plurality of separate communication subnets is that security rules can be defined for each communication subnet independently of the other communication subnets.
  • security rules can be used to define and create the virtual components
  • the computer network infrastructure further includes, in addition to the illustrated components, an administration computer system and a switching computer system coupled to the at least one physical computer system
  • Networks are connected to the administration of one or
  • the network ports of the administrative computer system are closed to at least one physical network, so that a
  • the switch computer system has at least one open network port towards the at least one physical network and is configured such that both the
  • Computer systems of the computer system architectures to be administered can access the switching computer system via the at least one physical network.
  • Administration computer system and the switching computer system serve for the administration of one or
  • Computer network infrastructure adapted. As explained several times before, the network ports are the physical ones Computer systems of the corresponding computer system architectures are set up in such a way that a connection from the physical network outside the physical network, independent from the virtual communications subnet or, if appropriate, from the memory subnet, is established
  • the administration computer system and the switching computer system are provided.
  • Administration computer systems are closed, similar to the network ports of the physical computer systems of the computer system architectures within the computer network infrastructure, to prevent connection from the physical network to the administration computer system.
  • the switching computer system has at least one open network port, via which a connection setup from the physical network to the switching computer system is established.
  • the administration computer system or to the physical one are closed, similar to the network ports of the physical computer systems of the computer system architectures within the computer network infrastructure, to prevent connection from the physical network to the administration computer system.
  • the switching computer system has at least one open network port, via which a connection setup from the physical network to the switching computer system is established.
  • the administration computer system or to the physical one In contrast to the administration computer system or to the physical one
  • Computer systems of the respective computer system architectures can access the switching computer system and data from the switching computer system
  • Administration computer system itself or the computer system architecture physical computer systems have ongoing services on one or more network ports (so-called listening ports), which offer a threat or vulnerability to attacks via the external network.
  • Switching computer system established connection to the switching computer system and stored there. Thereupon, a process can be started in which one or more physical computer systems of the
  • Control data or data packets are executed. In this way, administrative indirect access to the corresponding computer system architectures is possible.
  • Figure 1 is a schematic representation of a particular
  • FIG. 2 is a schematic representation of another
  • Figure 3A is a schematic representation of a
  • FIG. 3B shows an equivalent circuit diagram of the functionality according to FIG.
  • Figure 3A is a schematic representation of another functionality of a computer system architecture within a computer network infrastructure
  • Figure 4 is a schematic overview of various
  • Figure 5A is a schematic representation of another
  • Embodiment of a computer network infrastructure in a first configuration Embodiment of a computer network infrastructure in a first configuration
  • FIG. 5B shows the embodiment according to FIG. 5A in a second embodiment
  • FIG. 6A shows another embodiment of a computer network infrastructure
  • FIG. 6B shows an equivalent circuit diagram of the functionality according to FIG. 6B
  • FIG. 7A shows a simplified representation of the embodiment according to FIG. 6A
  • FIG. 7B shows another embodiment of a computer network infrastructure
  • Figure 7C is a schematic representation of hedged
  • FIG. 8 shows a further embodiment of a computer network infrastructure.
  • Figure 1 shows a schematic representation of a
  • Computer network infrastructure comprising a physical
  • physical computer system 2 includes a virtual environment that is controllable via a base operating system on the physical computer system 2.
  • base operating system for example, conceivable in the base operating system
  • Hypervisor that hosts the virtual machine VMl
  • the virtual machine VM1 comprises, for example, an operating system to be operated and, if appropriate, an application program running on it.
  • the application program can provide application-specific functionality.
  • the physical computer system 2 has one or more
  • Network ports 4 which are shown schematically connected to an external physical network N.
  • the physical network N is thus set up outside the physical computer system 2 and includes a local area network
  • Network N may also extend to the public World Wide Web (Internet).
  • Internet World Wide Web
  • the physical computer system 2 in the external physical network N is possible, but a connection from the external physical network N to the physical computer system 2 is not possible.
  • a corresponding connection setup to the physical computer system 2 is prevented or blocked, for example, by blocked network ports 4 (eg by means of a firewall and / or a packet filter) or connection attempts are rejected.
  • the physical computer system 2 optionally has no running
  • the computer system architecture 1 in addition to the virtual machine VM1, also comprises a so-called virtual bridge br of a virtual communication subnet 3.
  • the virtual bridge br is schematized as a functionality and can be used, for example, via the Basic operating system within the virtual environment
  • the virtual bridge br works as a virtual network connection (interface) for connecting the virtual machine VM1 to the virtual communication subnet 3.
  • the virtual bridge br for example, within a protocol stack according to the so-called OSI layer model as a virtual hardware bridge with a functionality be set up according to layer 2 (link layer).
  • Communications subnet 3 set up for communication with other virtual machines. Otherwise, the
  • Computer system 2 configured basic operating system
  • Machine VM1 perform communication (i.e., call calls or switch acceptances) only via the virtual bridge br within the communications subnet 3.
  • the virtual machine VM1 is set up or controlled by the basic operating system and / or the hypervisor such that a call of the
  • virtual machine VM1 in the basic operating system of the physical computer system 2 is not allowed or not possible or is suppressed. This is For example, implemented by appropriate firewall rules in the base operating system. Alternatively or additionally, z. B. the hypervisor of the base operating system in
  • a running in the virtual machine VM1 operating system or an expiring application program which may generally have errors and / or vulnerabilities and are therefore considered potentially insecure, can not establish a data connection to the outside of the physical computer system 2 via the network N, because such functionality by the basic operating system running on the physical computer system 2 (which ideally should be considered safe from
  • Computer system architecture 1 is a security barrier against errors or security vulnerabilities of a program that runs within the virtual machine VM1.
  • the virtual machine VM1 is connected via the virtual network bridge br to the communication subnet 3 and can be used with other virtual machines for the realization and
  • virtual machine VM1 can (temporarily) use the
  • Network N connects to an external system
  • Network N directly connects to the virtual machine VM1.
  • an external connection to the physical computer system 2 is prevented by the appropriately configured network ports 4, as explained above.
  • the physical computer system 2 is protected against unauthorized connection calls to the physical computer system 2 over the network N due to the outwardly closed network ports 4. This is the physical
  • Computer system 2 accordingly robust against attacks from the network N, because on the physical computer system 2, as explained, no running services are set up at the network ports 4, which would offer a conventional attack possibility.
  • FIG. 2 shows an embodiment of a computer system architecture 1, wherein another functionality
  • the computer system architecture 1 according to
  • FIG. 2 can in principle be constructed in accordance with the explanations of a computer system architecture 1 according to FIG. In a slight modification according to Figure 2, the
  • Machines VM1 and VM2 which are set up in a corresponding virtual environment on the physical computer system 2 and a base operating system
  • Figure 2 illustrates a mechanism for storing data to be stored from the virtual machines VM1 and VM2 on storage components.
  • VM2 can access these virtual memory components that are physical over a storage subnet 5
  • Memory components LI or L2 are connected.
  • the storage subnet 5 is controlled via the base operating system or the hypervisor.
  • the virtual machines VM1 and VM2 can only address virtual memory components (not shown) that are visible to them.
  • the virtual memory components may be adapted to particular functionalities or applications within the virtual machines VM1 or VM2.
  • the latter can be created, for example, in a Linux system via the Device Mapper.
  • the virtual machines VM1 or VM2 address the virtual memory components and can then transfer data to the virtual memory components and store them there (store).
  • the virtual memory components become physical
  • Base operating system on a corresponding connection via the memory subnet 5 to the memory components LI and L2 and can then store the data to the Send memory components LI and L2, so that the data is stored there.
  • Such data storage via the base operating system of the physical computer system 2 becomes out of physical
  • Memory components outside of the physical computer system 2 set up are part of a memory system, eg. As a so-called storage area network (SAN).
  • SAN storage area network
  • Memory components are e.g. as a disk array via LUN (Logical Unit Number) addressing in one
  • LUN Logical Unit Number
  • the memory components LI and L2 can, for. B. redundant hard disk storage, distributed data storage, etc. be.
  • the memory components LI and L2 can also be set up as physical memory components within the physical computer system 2. In this case, an exchange takes place via the basic operating system
  • the encryption may be implemented by a specially-adapted
  • Encryption layer or a dedicated interface e.g. a pseudo-device (see above)
  • the virtual machines VM1 or VM2 have no influence or no access to this encryption.
  • the virtual machines VM1 or VM2 are set up in this way or are used via the
  • Base operating system controlled such that the virtual machines VMl or VM2 receive no information that is encrypted at the level of the basic operating system.
  • data from the virtual machines VM1 and VM2 are communicated over the physical network N (or a dedicated storage network) to the outside of the physical computer system 2 only in encrypted form.
  • the data can be stored in the physical memory components or in the
  • Memory subnet 5 additionally encrypted. An access to unencrypted data from the virtual
  • machines VM1 and VM2 are not possible outside the physical computer system 2. Due to the fact that a connection from the physical network N to the physical computer system 2 by means of the network ports 4 is not allowed, an attack on existing within the physical computer system 2 Klaroire (before encryption) is very difficult to achieve. As such, the likelihood of a successful attack on information within the physical computer system 2 is greatly reduced. In addition, a communication of data from the virtual machines VM1 or VM2 via the base operating system
  • Communications subnet 3 (see Figure 1) is allowed. Consequently becomes an operating system or a
  • Figure 3A shows a schematic representation of a
  • Computer network infrastructure comprising two computer system architectures la and lb, each one physical
  • Computer system 2a and 2b include. Within a virtual environment of the physical computer system 2a run two virtual machines VM1 and VM2. Within a virtual environment of the physical computer system 2b, two virtual machines VM3 and VM4 are running. The physical
  • Computer systems 2a and 2b are physically external via respective network ports 4a and 4b
  • the physical computer systems 2a and 2b are set up in particular according to the explanations for FIGS. 1 and 2.
  • the virtual machines VM1, VM2, VM3 and VM4 are physical in the respective virtual environments
  • Computer systems 2a and 2b via various virtual network bridges br to two communication subnets 3a and 3b
  • FIG. 3A shows such a topology as an equivalent circuit diagram
  • the virtual machines VM1 and VM2 communicate via the virtual communications subnet 3a only within the physical computer system 2a, except for any use of protocols such as broadcast, multicast, or protocols with similar behavior.
  • mediation of communication between the virtual machines takes place by means of the external physical network N.
  • VPN connections between the physical computer systems 2a and 2b established (see lock symbols of the schematized connections of the communication subnets 3a and 3b between the physical computer systems 2a and 2b).
  • data is transmitted between the physical computer systems 2a and 2b in encrypted form over the network N and mediates communication between the virtual machines. More specifically, communication between the virtual machines within the virtual communication subnets 3a and 3b by means of the base operating systems or their hypervisors on the physical computer systems 2a and 2b is translated into physical transport within the VPN connections along the network N. In this way, the virtual
  • Machines VM1 to VM4 within appropriately structured communication subnets 3a and 3b communicate with each other.
  • the network ports 4a and 4b are the
  • a computer network infrastructure is set up between the physical computer systems 2a and 2b, with virtual machines VM1 through VM4 having two virtual machines
  • Markings LAN1 and LAN2 in Figure 3B can communicate. All virtual machines VM1 to VM4 are encapsulated in terms of safety according to the
  • machines VM1 to VM4 have no interface into the external physical network N.
  • VPN connections are via the respective base operating systems or their
  • Hypervisor controlled An impact of a system failure or vulnerability within one or more virtual machines VM1 through VM4 is limited only to the virtual communications subnets 3a and 3b and is effectively encased within the communications subnets 3a and 3b. In that sense it is the virtual one
  • Machines VM1 to VM4 are not able to read data in a readable form via unwanted network connections to one unauthorized third-party computer system over the network N to transfer. In addition, is over appropriately configured
  • Network ports 4a and 4b of the physical computer systems 2a and 2b extremely difficult to attack from the network N to the physical computer systems 2a and 2b.
  • FIG. 3C shows a schematic representation of FIG
  • Computer network infrastructure according to Figure 3C shows a
  • Computer system architecture 1 comprising a physical
  • the physical computer system 2 is connected to an external physical network N.
  • an administration computer system 7 and a switching computer system 8 are connected to the network N.
  • Both the network ports 4 of the physical computer system 2 and the network ports 14 of the administration computer system 7 are set up such that a connection setup from the network N to the physical computer system 2 or the administration computer system 7 is prevented. It is therefore not readily possible to have an external one
  • firewall rules of the base operating system or by controlling the consoles it by means of a hypervisor of the Base operating system suppressed.
  • hypervisor of the Base operating system suppressed.
  • the following process can be carried out.
  • connection to the switching computer system 8 are constructed.
  • the switching computer system 8 in contrast to the administration computer system 7
  • Computer system 2 via the network N connect to the switching computer system 8 to the there
  • control data can be transferred to the physical computer system 2 without actively establishing a connection from outside via the network N to the physical computer system 2, which would conventionally be a typical external attack opportunity.
  • Transferred data packets may be further processed in the base operating system of the physical computer system 2.
  • a specific task may be performed so that the base operating system is based on the transmitted
  • Data packets provide controlled access to the virtual environment, more specifically to the virtual machines VM1 Operating state VM2, performs. This is through a
  • Base operating system to connect to the console it or other interface used for this purpose a virtual machine VM1 and VM2, with a corresponding control of the virtual machines VM1 and VM2 via
  • Control data can be performed. However, it is also conceivable for control data, scripts or programs corresponding to a virtual machine VM1 and VM2 to be imported into the virtual machine VM1 or VM2, so that an operating system running in the virtual machine VM1 or VM2 contains the corresponding control data, scripts or execute programs, so that virtually a remote control of the virtual machines VM1 and VM2 is achieved. In this way, a secured administrative access is indirect from the administration computer system 7 to the physical via the switching computer system 8
  • Computer system 2 or in the virtual environment on the physical computer system 2 allows. All processes can be done via corresponding signatures within the
  • Computer system 2 are hedged.
  • communication takes place via the network N exclusively in encrypted form.
  • Control data to enable access to the virtual machines VM1 or VM2 by means of the base operating system could access the virtual machines VM1 or VM2 in a controlled manner in this way, that, for example, a port forwarding or a tunnel in the base operating system to the desired virtual machine VM1 or VM2 are enabled. This turns off one
  • a virtual machine VM1 or VM2 provides a selectively open network port to the outside in the network N, so that a selective access to the virtual machine VM1 or VM2 is possible.
  • this should be done by special security mechanisms, such. B. temporary unlock, Check accordingly
  • Authentication packages, checking a match of authentication mechanisms, source ports, destination ports, etc. be secured. It is also conceivable in this context to provide a multi-eye principle of security personnel.
  • Figure 4 shows a schematic representation of a
  • Networks N1 and N2. These can be separate networks, but also alternatively parts of an overall network or an entire network per se.
  • Figure 4 illustrates the complexity of implementing a corresponding computer network infrastructure. A major advantage of such infrastructure in the
  • Machines VM1 to VM4 can not establish a connection to the external networks N1 and N2.
  • the physical computer systems 2a and 2b are secured by their network ports 4a and 4b against attack from the networks N1 and N2.
  • FIG. 5A shows a computer network infrastructure which is constructed analogously to that of FIG. 4, with the difference that in the computer network infrastructure according to FIG. 5A only three virtual machines are used. Two virtual ones
  • Machines VM1 and VM2 are set up on the physical computer system 2a with a virtual machine VM4 set up on the physical computer system 2b.
  • Figure 5A shows a first configuration of the computer network infrastructure.
  • the virtual machine VM2 on the physical computer system 2a is now to be moved to the physical computer system 2b.
  • a move can be done via the measures an administrative access to the virtual machines, for example, by means of the administration computer system 7 and a switching computer system 8 as explained above in particular to Figure 3C.
  • the administration computer system 7 and a switching computer system 8 as explained above in particular to Figure 3C.
  • OS or it can be a live migration of the VM2 be performed. All necessary steps can be controlled via control data initiated by means of the administration computer system 7 and by means of the switching computer system 8 to the physical computer system 2a or the physical computer system 2b (or in their basic operating systems).
  • Computer system 2b and in the virtual machine VM2 can be processed.
  • Such control data inter alia encryption at the level of
  • Storage subnet 5 in turn to be able to connect to memory components.
  • a connection to a corresponding communication subnetwork 3a or 3b must also be set up on the physical computer system 2b.
  • a virtual network bridge br is required for the connection of the virtual machine VM2 after its transfer into the virtual environment of the physical computer system 2b.
  • the communication subnetwork 3a or 3b to which the virtual machine VM2 on the physical Computer system 2b to be connected either can be assigned dynamically (on demand) or already preconfigured static in the virtual environment on the physical computer system 2b.
  • a corresponding communication of a communication from the virtual environment of the physical computer system 2b via the basic operating system into a physical external network is likewise to be correspondingly adapted via the basic operating system of the physical computer system 2b.
  • the data transfer for a live migration can either be realized via existing encrypted connections (eg VPN connections between the participating physical computer systems 2 a and 2 b) or, alternatively, within exclusive dedicated ones
  • connection set up specifically for a live migration is depicted in Figure 5A as an additional bridged network connection between the two physical computer systems 2a and 2b (see Figs.
  • Network ports 4a and 4b can be temporarily enabled for a dedicated live migration connection.
  • Computer system 2b made available and via a
  • a response of the virtual machine VM2 is carried out before the move by corresponding control data or data packets that a controlled call from the
  • the data packets are transferred from the administration ⁇ computer system 7 to the switching computer system. 8 Subsequently, a connection from
  • physical computer system 2a is constructed on the switching computer system 8 so that the data packets can be transferred to the physical computer system 2a.
  • the routing information can be processed in the data packets and the virtual machine VM2 can be addressed via its console interface.
  • VM-IP IP address
  • VMlphys IP address
  • the virtual machine VM2 can after
  • FIG. 5A shows the topology according to FIG. 5A by live migration.
  • FIG. 5B shows the corresponding configuration of the computer network infrastructure after a move of the computer network
  • the virtual machine VM2 in the physical computer system 2b.
  • the virtual machine VM2 is over several virtual machines
  • Network bridges br are connected to both the communications subnet 3a and the communications subnet 3b. Encryption of data from the virtual machine VM2 into the storage subnet 5 on storage components L2 is established via the base operating system.
  • an encryption of other data from the virtual machine VM2 realized by the basic operating system of the physical computer system 2b, which are exchanged within the virtual communication subnets 3a and 3b to other virtual machines and on
  • Such encryption of data may be via the basic operating system of the physical
  • Computer system 2a take place.
  • a response of the virtual machine VM2 after moving to the physical computer system 2b also takes place via data packets containing routing information.
  • data packets can, as explained above, on the
  • corresponding routing information can address the virtual machine VM2.
  • the virtual machine VM2 In order for the virtual machine VM2 to be reachable also on the physical computer system 2b by routing from the administration computer system 7, it must be possible according to a
  • Virtual machine VM2 be replaced in the physical computer system 2b, if the network identity (VM2phys) of the virtual machine VM2 has changed in the new virtual environment on the physical computer system 2b.
  • VM2phys network identity
  • Another, more convenient option is to set up a responsiveness of the physical computer systems 2a and 2b or the virtual machine VM2 via a so-called IP aliasing.
  • IP aliasing One or more alias IP addresses can then be used in a routing, which are transferred from the physical computer system 2 a to the physical computer system 2 b during the movement of the virtual machine VM 2, where they are assigned to the network interface or interfaces accordingly.
  • the advantage of this is that routing from the administration computer system 7 does not have to be changed, but alias IP addresses can still be considered as the destination, with an assignment of the alias IP addresses to the actual end points (physical computer system 2b or virtual machine VM2 in the physical
  • Computer system 2b takes place. In this way, it is easily and conveniently possible to migrate virtual machines between physical computer systems within the indicated computer network infrastructure.
  • FIG. 6A shows a further embodiment of a
  • the networks N1 and N2 may be separate networks or components of a network.
  • the computer network infrastructure corresponds to
  • the virtual machines are specifically web servers, application servers
  • the two virtualized web servers webl and web2 can communicate via a communication subnet 3c in accordance with the measures explained above.
  • the two web servers webl and web2 can be externally directly (directly) accessible from the external network, eg from the network N2, eg via IP addresses independent of the physical computer systems 2a and 2b. In this way, these provide externally accessible virtual web server. Nevertheless, a connection from the external network (N1 or N2) to the physical computer systems 2a and 2b is via the network ports 4a and 4b blocked, as already explained above to Figure 1.
  • two virtualized application servers appl and app2 are installed on the physical computer systems 2a and 2b, respectively, with each other or with the
  • Web servers webl and web2 via a second
  • Communication subnet 3b communicate.
  • two virtualized database servers dbl and db2 are also installed on the physical computer system 2a and the physical computer system 2b, respectively, with each other and with the application servers appl and app2 via a third one
  • Communication subnet 3a communicate.
  • neither the application servers appl and app2 nor the database servers dbl and db2 are connected to the external network (N1 or N2).
  • N1 or N2 the external network
  • Computer systems 2a and 2b act as a kind of host server for providing the illustrated network services, which, however, apart from any external access to the web servers webl and web2 - as explained above - can communicate fully encapsulated via separate communication subnets 3a to 3c.
  • security rules can be specifically defined at the level of the basic operating system or hypervisor for the individual virtual machines.
  • H. Firewall rules are assigned to FW. In this way, a fine granularity of security settings is possible between the different applications.
  • separate security rules can be set for each communication subnet, which are advantageously independent of others
  • Safety rules can be. In particular, it is not necessary to specifically protect the virtualized applications externally via firewalls.
  • a security barrier in the networks N1 and N2 is given by the virtualization, whereby the hypervisors on the host servers 2a and 2b block connection setup from the virtual machines into the networks N1 and N2, respectively.
  • the computer network infrastructure according to FIG. 6A is very structured and flexible in implementation and
  • FIG. 6B An equivalent circuit diagram of the topology according to FIG. 6A is shown in FIG. 6B. Here are the individual
  • FIG. 7A shows the topology according to FIG. 6A in one
  • FIG. 7B shows an extended embodiment of a computer network infrastructure of the type described. There are three physical host servers 2a, 2b and 2c set up, corresponding ones
  • Computer system architectures la with different virtual structures include.
  • a first virtual structure VM-Struct.l is established on the physical host servers 2a and 2b and communicates over one or more
  • a second VM-Struct.2 virtual structure is established on the physical host servers 2b and 2c and communicates over one or more
  • a third structure VM-Struct.3 is established on the three physical host servers 2a, 2b and 2c and communicates over one or more virtual communication subnets 33.
  • the computer network infrastructure of Figure 7B illustrates flexible extensibility of virtualized subnetworks into the explained computer system architectures, so that very complex application scenarios are feasible despite a very high security of the computer network infrastructure.
  • Figure 7C shows a topology of VPN connections between the individual physical host servers 2a, 2b and 2c, which may be established according to the infrastructure of Figure 7B.
  • the VPN connections serve to mediate the communications along the individual communication subnetworks (compare Figures 31, 32 and 33 of Figure 7B).
  • a first VPN connection 13a and a second VPN connection 13b are set up between in each case two host servers.
  • the physical host server 2a provides a VPN service 12a on the first VPN connection to the physical host server 2b.
  • the physical host server 2b on the second VPN connection 13b towards the physical host server 2a provides a VPN service 12b.
  • 12a and 12b can
  • VPN daemons for example, so-called VPN daemons.
  • the two VPN connections 13a and 13b can be established between the two physical host servers 2a and 2b.
  • An analog topology is between each of the two physical host servers 2a and 2c
  • Each of the physical host servers provides a VPN service that can be accessed from outside to establish a VPN connection. In this way are two
  • All VPN connections between each physical system can be set up as bonded, aggregated connections. In this way, a highly available VPN connection between each physical host server of a computer network infrastructure of the type described
  • FIG. 8 shows a further embodiment of a
  • Zone 1 Safety zones Zone 1 and Zone 2. Each zone contains computer system architectures
  • zone 1 three physical host servers 2a, 2b and 2c are set up, with a first virtual structure VM-Struct.l being implemented on the physical host servers 2a and 2b and communicating via virtual communication subnets 31. Further, in zone 1, a virtual structure VM-Struct.2 implemented on the three physical host servers 2a, 2b and 2c is established, and virtual
  • Communication subnets 32 is connected.
  • three physical host servers 2d, 2e and 2f are also set up with two virtual structures VM struct 3 between the physical host servers 2e and 2f and VM struct 4 between all three physical host servers 2d, 2e and 2f.
  • the virtual structure VM-Struct.3 communicates over virtual communication subnets 33, while the
  • Intranet is a forwarding 11 (possibly with IP address translation, so-called network address translation, AT) or a routing to the intersections (eg web server, see Figure 6A) of the individual communication subnets 31, 32, 33 and 34 set up.
  • the forwarding 11 may be established via one or more virtualized routers within the virtual environments of the physical host servers 2a to 2f. It is also conceivable to realize a corresponding forwarding via one or more basic operating systems of the physical host servers 2a to 2f. Another possibility would be forwarding via an external physical router.
  • An intermediation of the forwarding 11 to the communications subnets 31, 32, 33, and 34 may be via one or both of two external networks NI and NU. Again, as are the others
  • Embodiments already explained several times, advantageous to provide VPN connections, so that data is exchanged over the external networks NI and NU only encrypted.
  • Security zones or even as a connection between two structures within a security zone is a
  • Relay system 10 ("zone connect") is set up to virtual virtual bridges
  • the relay system 10 may be a bridge or a router, possibly in
  • the relay system 10 is connected, for example, to the virtual bridges br of the virtual communication subnets 32 in zone 1 and 33 in zone 2. That way, the two can
  • Communication subnets 32 and 33 are virtually connected to a virtual communication subnet. In this way it is very easy to transfer information between individual virtual machines of individual virtual structures bridged network connections by means of the relay system 10 exchange. On a virtual level, individual virtual machines of different virtual structures can thus be addressed in a simple manner. For example, as shown in FIG. 8, virtual machines from the virtual structure VM-Struct.2 in zone 1 may be virtual immediately
  • Switching the connection between the two security zones Zone 1 and Zone 2 via the relay system 10 can take place by means of one or both of the external networks NI and NU.
  • connection structure differs from a pure communication between the virtual machines of different physical computer systems.
  • Computer systems as physical host servers, provide virtualized application-specific functionalities that are very complex across virtualized communication subnets
  • Illustrated embodiments are exemplary only. In embodiments not shown, it would also be conceivable to house virtual machines (VM guest) in host virtual machines (VM host), the measures of the kind explained being used in conjunction with physical ones
  • VM guest in the host virtual machines (VM Host) or for the host virtual machines (VM Host) themselves.
  • VM Host host virtual machines
  • VM Host host virtual machines
  • Encapsulation of virtual machines within virtual communication subnets of the type described will be applied to host virtual machines (VM Host) as well as to hosted virtual machines (VM Guest).
  • VM Host host virtual machines
  • VM Guest hosted virtual machines
  • Communications subnet is prevented from independently connecting from an external physical network from outside a physical computer system to the physical computer system.
  • the physical benefits become advantageous

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft eine Computersystem-Architektur (1) umfassend eine virtuelle Umgebung, wobei die virtuelle Umgebung zumindest eine virtuelle Maschine (VM) und zumindest eine virtuelle Netzwerk-Bridge (br) zumindest eines virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) aufweist. Die virtuelle Maschine (VM) kann mit weiteren virtuellen Maschinen (VM) innerhalb des virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) kommunizieren, wobei jedoch ein Verbindungsaufbau von der virtuellen Maschine (VM) in ein externes physisches Netzwerk (N, N1, N2), welches sich von dem virtuellen Kommunikationssubnetz (3, 31, 32, 33, 34) unterscheidet, verhindert wird. Netzwerk-Ports (4) des physischen Computersystems (2), auf dem die virtuelle Umgebung eingerichtet ist, lassen eine Vermittlung einer Kommunikation innerhalb des virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) vermittels des externen physischen Netzwerks (N, N1, N2) zu, verbieten jedoch einen vom virtuellen Kommunikationssubnetz (3, 31, 32, 33, 34) unabhängigen Verbindungsaufbau aus dem externen physischen Netzwerk (N, N1, N2) zum physischen Computersystem (2).

Description

Beschreibung
Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem- Architekturen
Die Erfindung betrifft eine Computersystem-Architektur, umfassend ein physisches Computersystem, auf dem ein
Basisbetriebssystem sowie eine virtuelle Umgebung
eingerichtet sind. Ferner betrifft die Erfindung eine
Computersystem-Infrastruktur mit einer Mehrzahl derartiger Computersystem-Architekturen .
Der sichere Betrieb von Betriebssystemen sowie darauf
ablaufenden Anwendungsprogrammen beziehungsweise
Anwendungsprogrammen ist stets ein technisches Problem beziehungsweise eine Herausforderung in modernen
Computersystem-Architekturen beziehungsweise in Computernetz- Infrastrukturen oder IT-Netzen, die eine Mehrzahl derartiger Computersystem-Architekturen umfassen .
Ein großes Problem bei der Sicherheit von Computersystem- Architekturen oder ganzen Computernetz-Infrastrukturen ist das Auftreten bzw. Ausnutzen von Fehlern, von so genannten Backdoors, Zero-Day-Exploits oder sonstigen Sicherheitslücken in den zu betreibenden Betriebssystemen oder den auf diesen ablaufenden Anwendungsprogrammen. Derartige Fehler
beziehungsweise Sicherheitslücken können Angreifer aus einem externen Netzwerk ausnutzen, um eine Manipulation eines
Betriebssystems, von darauf ablaufenden Anwendungsprogrammen bzw. von Daten durchzuführen, die im Betriebssystem oder in den darauf ablaufenden Anwendungsprogrammen verarbeitet werden. Ferner können Angreifer Fehler beziehungsweise Sicherheitslücken auch für einen unberechtigten Zugriff auf Betriebssysteme, Anwendungsprobramme bzw. Daten ausnutzen.
Ein weiteres Problem im Zusammenhang mit der Sicherheit von IT-Systemen besteht darin, dass von Dritten beziehbare
Betriebssysteme oder Anwendungsprogramme fehlerhaft sein können oder bewusst derart manipuliert beziehungsweise eingerichtet sein können oder durch einen externen Angreifer manipuliert werden, dass diese einen für einen Benutzer ungewollten Verbindungsaufbau auf andere externe Systeme durchführen (in Fachkreisen als so genanntes „Nach Hause Telefonieren" bezeichnet) , um Daten oder allgemein
Informationen an Dritte (zum Beispiel Kriminelle)
weiterzugeben. Ein Benutzer hat oftmals gar keine Kenntnis oder überhaupt die Möglichkeit einer Kenntnis von derartigen Vorgängen. Es ist auch bekannt, dass derartige Vorgänge gezielt verschleiert werden, um möglichst nicht oder nur sehr schwer aufzufallen. Vor dem Hintergrund einer streng zu fordernden
Systemsicherheit müssen Betriebssysteme und darauf laufende Anwendungsprogramme daher prinzipiell als „potentiell unsicher" eingestuft werden. Entsprechendes gilt für sonstige Hardware- und Software-Komponenten, die in IT-Netzen
eingesetzt werden.
Herkömmliche Sicherheitslösungen sehen den Einsatz von
Firewall-Systemen vor, die idealerweise zwischen sämtliche Systeme und Komponenten bzw. deren Schnittstellen in einer Computernetz-Infrastruktur geschaltet werden, um den
Netzwerkverkehr der Betriebssysteme beziehungsweise der darauf laufenden Anwendungsprogramme und die Verbindungen zwischen beteiligten Computersystemen bzw. sonstigen Netzwerkkomponenten (z.B. Router, Switches, usw.) zu
kontrollieren und zu beschränken und somit die Gefahr eines missbräuchlichen Datenverkehrs über ungewollte
Netzwerkverbindungen möglichst zu reduzieren.
Ein Nachteil dieser bisherigen Ansätze besteht jedoch darin, dass prinzipiell für jedes Betriebssystem beziehungsweise für jedes darauf laufende Anwendungsprogramm eine Vielzahl von Sicherheitsregeln eingerichtet werden müssen, um das
Computersystem möglichst robust gegen Angriffe aus dem Netz beziehungsweise gegen einen ungewollten Abzug von Daten auf ein externes System zu machen. Bei einer Vielzahl von
Anwendungsprogrammen innerhalb einer komplexen Computernetz- Infrastruktur (z.B. Unternehmens- oder Konzernnetzwerk) wird ein Sicherheitsmanagement über Firewall-Einstellungen daher schnell unübersichtlich und fehleranfällig. Auch ist eine Administration von Firewall-Systemen sehr zeit- und
kostenaufwendig, weil die Firewall-Einstellungen nach
Software-Updates kontinuierlich nachgepflegt, d.h. überprüft, revidiert und eventuell nachgebessert werden müssen, um den Gefahren der oben erläuterten Art zu begegnen. Ferner können auch Firewall-Systeme Fehler, Backdoors oder allgemein
Sicherheitslücken aufweisen bzw. von Benutzern (z.B.
Administratoren) für missbräuchliche Zugriffe auf zu
schützende Daten manipuliert werden.
Es ist weiterhin bekannt, Betriebssysteme oder
Anwendungsprogramme innerhalb einer virtuellen Umgebung einzurichten, die über ein Basisbetriebssystem, z.B.
vermittels eines sogenannten Hypervisors, gesteuert werden können. Derartige virtuelle Umgebungen bieten sich
beispielsweise an, um bestimmte Software-Pakete zunächst in einer abgesicherten Umgebung (sogenannte Sandbox) zu testen, bevor entsprechende Programme innerhalb eines größeren
Netzwerks eingesetzt werden. Solche Sandbox-Umgebungen dienen jedoch lediglich zum Testen von Software und sind für eine Realisierung komplexer IT-Netze unbrauchbar.
Andererseits können Virtualisierungslösungen dafür eingesetzt werden, auf flexible und einfache Art und Weise
unterschiedlichste Systeme miteinander zu vernetzen, wobei Einschränkungen durch physische Hardware klein gehalten werden können. Dabei werden virtualisierte Systeme innerhalb von virtuellen Maschinen in virtuellen Umgebungen auf ein oder mehrere physische Computersysteme aufgesetzt. Doch auch bei einem Einsatz derart virtualisierter Systeme in IT-Netzen ergeben sich aufgrund einer Anbindung der virtuellen Systeme an ein oder mehrere physische Netzwerke die Gefahren der oben erläuterten Art.
Die Aufgabe der vorliegenden Erfindung ist daher, eine
Computersystem-Architektur sowie eine Computernetz- Infrastruktur mit einer Mehrzahl solcher Computersystem- Architekturen aufzuzeigen, die eine erhöhte Sicherheit der hierdurch aufgebauten Systeme ermöglichen, eine verbesserte Robustheit gegenüber den oben aufgezeigten Gefahren aufweisen und dennoch die Möglichkeit bieten, eine flexible und
anwendungsorientierte Infrastruktur insbesondere in größeren Netzwerken einzurichten.
Diese Aufgabe wird durch eine Computersystem-Architektur gemäß Anspruch 1 gelöst.
Die Computersystem-Architektur umfasst ein physisches
Computersystem, auf dem ein Basisbetriebssystem sowie eine virtuelle Umgebung eingerichtet sind. Die virtuelle Umgebung weist zumindest eine virtuelle Maschine und zumindest eine virtuelle Netzwerk-Bridge zumindest eines virtuellen
Kommunikationssubnetzes auf. Die virtuelle Maschine kann beispielsweise ein virtualisiertes zu betreibendes
Betriebssystem beziehungsweise ein oder mehrere darauf ablaufende virtualisierte Anwendungsprogramme umfassen.
Allgemein soll der Begriff „virtuelle Maschine" bzw.
„virtuelle Umgebung" als eine vom Basisbetriebssystem bzw. von der Hardware des physischen Computersystems abstrahierte und ggf. abgeschottete Umgebung verstanden sein.
Die virtuelle Maschine und die virtuelle Netzwerk-Bridge sind vermittels des Basisbetriebssystems steuerbar. Eine derartige Steuerung erfolgt vorteilhaft über einen Hypervisor des Basisbetriebssystems, der eingerichtet ist, die virtuelle Maschine und die virtuelle Netzwerk-Bridge zu steuern. Die virtuelle Maschine ist an die virtuelle Netzwerk-Bridge angebunden und für eine Kommunikation mit weiteren virtuellen Maschinen innerhalb des virtuellen Kommunikationssubnetzes oder anderer virtueller Kommunikationssubnetze eingerichtet.
Die virtuelle Maschine ist ferner derart eingerichtet, dass ein Verbindungsaufbau von der virtuellen Maschine in ein externes physisches Netzwerk außerhalb des physischen
Computersystems, welches sich in seiner Konfiguration von dem virtuellen Kommunikationssubnetz unterscheidet, verhindert wird. Das bedeutet, dass die virtuelle Maschine lediglich innerhalb des oder der virtuellen Kommunikationssubnetze, gegebenenfalls auch über unterschiedliche virtuelle
Kommunikationssubnetze hinweg kommunizieren kann, also
Verbindungen von anderen virtuellen Maschinen annehmen kann oder Verbindungen zu anderen virtuellen Maschinen aufbauen kann, jedoch keine Verbindung beziehungsweise keine Schnittstelle in ein externes physisches Netzwerk außerhalb des physischen Computersystems aufweist. Eine entsprechende Steuerung der virtuellen Maschine ist vorteilhaft über das Basisbetriebssystem beziehungsweise den Hypervisor im
Basisbetriebssystem eingerichtet. Somit kontrolliert das Basisbetriebssystem des physischen Computersystems eine
Beschränkung der Kommunikation der virtuellen Maschine, so dass die virtuelle Maschine ausschließlich auf virtueller Ebene, das heißt insbesondere innerhalb zumindest eines eingerichteten virtuellen Kommunikationssubnetzes mit anderen virtuellen Maschinen kommunizieren kann. Verbindungen der virtuellen Maschine in ein externes physisches Netzwerk werden dabei (standardmäßig) verhindert beziehungsweise unterdrückt. Diese Eigenschaft wird vorteilhaft dadurch erzielt, dass die virtuelle Maschine keinen Netzwerk-Port mit Verbindung in ein externes physisches Netzwerk aufweist beziehungsweise entsprechende Netzwerk-Ports vermittels des Basisbetriebssystems blockiert werden. In speziellen
Situationen (z.B. zur Einrichtung bzw. Konfiguration des erläuterten Verfahrens oder für eine spezielle Kommunikation mit einem autorisierten externen System) wäre jedoch denkbar, einen gezielten (temporären) Verbindungsaufbau von der virtuellen Maschine nach außen zu gestatten. In einer
denkbaren Ausführungsform umfasst die Computersystem- Architektur mehrere virtuelle Maschinen, wobei ein gezielter Verbindungsaufbau nach außen für eine oder mehrere,
ausgewählte virtuelle Maschinen (die eine spezielle
Funktionalität, z.B. das Abholen von Daten von einem externen Dienst, realisieren) eingerichtet ist und für andere
virtuelle Maschinen dauerhaft verhindert/unterdrückt wird.
Die Netzwerk-Ports des physischen Computersystems sind bei der Computersystem-Architektur gemäß dem hier vorgestellten Konzept derart eingerichtet, dass eine Vermittlung einer Kommunikation zwischen der virtuellen Maschine und anderen virtuellen Maschinen innerhalb des virtuellen
Kommunikationssubnetzes oder gegebenenfalls innerhalb
mehrerer virtueller Kommunikationssubnetze über das physische Computersystem hinaus vermittels des externen physischen Netzwerks im gewünschten Maße zugelassen wird. Ferner sind die Netzwerk-Ports des physischen Computersystems jedoch zusätzlich derart eingerichtet, dass ein vom virtuellen
Kommunikationssubnetz unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk von außerhalb des physischen Computersystems zum physischen Computersystem verhindert wird . Die Netzwerk-Ports des physischen Computersystems sind somit derart eingerichtet, dass lediglich eine Vermittlung einer Kommunikation innerhalb des oder der virtuellen
Kommunikationssubnetze zwischen virtuellen Maschinen über ein externes physisches Netzwerk vermittelbar sind, jedoch sonstige Verbindungsversuche eines externen Systems aus dem externen physischen Netzwerk auf das physische
Computersystem, die unabhängig von dem oder den virtuellen Kommunikationssubnetzen erfolgen, blockiert oder verworfen werden. Die Netzwerk-Ports des physischen Computersystems erlauben daher lediglich einen Verbindungsaufbau über speziell eingerichtete bzw. freigeschaltete Dienste, die ausschließlich eine Kommunikation innerhalb des oder der virtuellen Kommunikationssubnetze vermitteln. Für alle anderen Dienste sind die Netzwerk-Ports des physischen
Computersystems vorteilhaft geschlossen. Im letzteren Fall sind die Netzwerk-Ports daher keine passiv geöffneten Ports (so genannte „Listening"-Ports ) , das heißt an diesen
Netzwerk-Ports sitzen keine laufenden Dienste des physischen Computersystems, die ins externe Netzwerk „horchen" und einen Verbindungsaufbau von außen auf das physische Computersystem ermöglichen würden. Vielmehr sind die Netzwerk-Ports für derartige Dienste gesperrt bzw. von außen nicht erreichbar oder ansprechbar.
Es ist allerdings denkbar, dass die virtuelle Maschine derart eingerichtet ist, dass ein Verbindungsaufbau aus dem externen physischen Netzwerk von außerhalb des physischen
Computersystems direkt hin zur virtuellen Maschine möglich ist. In diesem Fall kann die virtuelle Maschine z.B. eine eigene (vom physischen Computersystem unabhängige) IP-Adresse aufweisen. Die virtuelle Maschine kann ferner einen oder mehrere aus dem externen physischen Netzwerk ansprechbare Dienste (z.B. einen Web-Server-Dienst) an einem oder mehreren hierfür eingerichteten Netzwerk-Ports bereitstellen.
Allerdings ist - wie oben erläutert - dennoch bevorzugt ein Verbindungsaufbau von der virtuellen Maschine in das externe physische Netzwerk, abgesehen von denkbaren speziellen
Situationen, generell verhindert.
Der Begriff des „externen physischen Netzwerks" umfasst
Netzwerk-Infrastrukturen eines oder mehrerer lokalen
Netzwerke (LAN) und/oder Netzwerk-Infrastrukturen eines öffentlich erreichbaren Netzes (World Wide Web, Internet) . Das bedeutet, dass die Netzwerk-Ports des physischen
Computersystems derart eingerichtet sind (siehe obige
Erläuterungen) , dass sowohl Verbindungsversuche von anderen physischen Computersystemen aus einem lokalen Netzwerk als auch aus einem öffentlichen Netz unterdrückt werden, welche unabhängig von einer über die Netzwerk-Infrastruktur
vermittelten Kommunikation innerhalb der virtuellen
Kommunikationssubnetze sind. Vorteilhaft ist das physische Computersystem als Server eingerichtet derart, dass dieser Server innerhalb eines oder mehrerer virtueller Kommunikationssubnetze vermittels einer oder mehrerer virtueller Maschinen (in denen bestimmte
Anwendungsprogramme eingerichtet sind) vorbestimmte Dienste zur Verfügung stellt, ohne dass jedoch durch das physische Computersystem selbst von den virtuellen
Kommunikationssubnetzen unabhängige Dienste über die
Netzwerk-Ports nach außen in das physische externe Netzwerk bereitgestellt werden. Ein derartiger Server kann durchaus komplexe Funktionen bereitstellen und z.B. als
virtualisierter Web-, Anwendungs- oder Datenbank-Server oder als eine Kombination davon eingerichtet sein. Es ist denkbar, dass insbesondere bei einer Mehrzahl von virtuellen Maschinen einzelne virtuelle Maschinen von extern aus dem externen physischen Netzwerk ansprechbar sind, um z.B. von diesen virtuellen Maschinen speziell bereitgestellte Dienste (z.B. Web-Server-Dienste) anzusprechen. Andere virtuelle Maschinen sind in diesem Fall vorteilhaft generell nicht an das externe physische Netzwerk angebunden. Diese virtuellen Maschinen können nur vermittels des oder der virtuellen
Kommunikationssubnetze kommunizieren . Das Konzept einer oben erläuterten Computersystem-Architektur hat gegenüber herkömmlichen Lösungen einen synergetischen Effekt. Dieser zeichnet sich zum einen dadurch aus, dass eine vollständige Kapselung von Betriebssystemen beziehungsweise darauf laufenden Anwendungsprogrammen, die als potentiell unsicher eingestuft werden, innerhalb einer virtuellen
Maschine erfolgt, wobei weder eine Datenverbindung aus der virtuellen Maschine in das externe physische Netzwerk noch aus dem externen physischen Netzwerk auf das physische Computersystem (und dadurch gegebenenfalls in die virtuelle Maschine hinein) möglich ist. Somit ist eine Kapselung sowohl gegen ein Eindringen in das physische Computersystem aus dem externen physischen Netzwerk als auch gegen einen ungewollten Verbindungsaufbau aus der virtuellen Maschine bzw. aus dem physischen Computersystem in das externe Netzwerk realisiert.
Zum anderen ist das Einrichten von einem oder mehreren virtuellen Kommunikationssubnetzen zwischen einer Vielzahl von virtuellen Maschinen, die gegebenenfalls auf einer
Vielzahl physischer Computersysteme eingerichtet sind, möglich und durch die dargestellte Computersystem-Architektur vorbereitet, so dass auch größere virtualisierte Netzwerke oder IT-Netze durch eine Zusammenschaltung einer Mehrzahl derartige Computersystem-Architekturen eingerichtet werden können .
Die Computersystem-Architektur gemäß dem vorgestellten
Konzept verbindet somit Vorzüge herkömmlicher Einzellösungen zu einem neuartigen Konzept mit dem Effekt, dass eine erhöhte Sicherheit sowohl gegen Angriffe durch externe Schadsysteme in das physische Computersystem beziehungsweise in die virtuelle Maschine als auch gegen einen manipulierten
ungewollten Datenabzug aus der virtuellen Maschine in das externe physische Netzwerk gewährleistet ist. Potentiell unsicher bewertete Software kann daher mit einer gegenüber bisherigen Ansätzen deutlich gesteigerten Sicherheit
betrieben werden und dennoch komplexe Infrastrukturen
realisiert werden.
Das hier dargestellte Konzept beruht auf den Überlegungen, dass in Computernetz-Infrastrukturen eingesetzte
Basisbetriebssysteme beziehungsweise darauf laufende Anwendungsprogramme unsicher sein können in dem oben
erläuterten Sinne, dass die Basisbetriebssysteme
beziehungsweise Anwendungsprogramme von außen angreifbar sind beziehungsweise durch manipulative Fehler oder sonstige
Sicherheitslücken gewollt oder ungewollt Daten nach außen in ein externes Netzwerk an ungewollte Dritte weitergeben.
Derartige unsichere Systeme können innerhalb der virtuellen Maschine der Computersystem-Architektur der erläuterten Art betrieben werden, wobei eine Steuerung über das
Basisbetriebssystem des physischen Computersystems erfolgt, welches vorteilhaft als sicher gegenüber dem zu betreibenden Betriebssystem beziehungsweise den zu betreibenden
Anwendungsprogrammen gilt. Das Basisbetriebssystem kann zum Beispiel ein Open-Source-Betriebssystem in einer
international entwickelten Distribution sein, die nicht bestimmten Interessen oder Zwängen einzelner Organisationen unterworfen ist. Idealerweise ist bei einem derartigen
Basisbetriebssystem auch ein Audit auf Source Code-Ebene möglich, um das Verhalten des Basisbetriebssystems und seiner Komponenten (z.B. Treiber, Dienst- und Systemprogramme) transparent nachvollziehen zu können. Es ist auch denkbar, dass das Basisbetriebssystem speziell für die hier
vorgesehene Aufgabe entwickelt und/oder gehärtet ist und lediglich die notwendigen Funktionalitäten bereitstellt, ohne unüberschaubare und überbordende Funktionalitäten zu
enthalten .
Durch eine Kapselung der potentiell als unsicher geltenden Systeme in der virtuellen Maschine der Computersystem- Architektur entfällt die Notwendigkeit, umfangreiche
Sicherheitsregeln beziehungsweise Firewall-Einstellungen für die zu betreibenden Betriebssysteme beziehungsweise
Anwendungsprogramme zur Abschottung zu anderen Systemen vornehmen zu müssen. Denn das Basisbetriebssystem unterdrückt, wie oben erläutert, einen Verbindungsaufbau aus der virtuellen Maschine in ein externes physisches Netzwerk außerhalb des physischen Computersystems, abgesehen von speziell konfigurierten Verbindungen innerhalb eines oder mehrerer virtueller Kommunikationssubnetze zur
anwendungsspezifischen Kommunikation zwischen einer Mehrzahl virtueller Maschinen zur Realisierung einer speziellen
Funktionalität der Computersystem-Architektur. Durch Einsatz einer Virtualisierung in Verbindung mit der Nicht-Existenz von Netzwerkschnittstellen (Netzwerkinterfacen) an den virtuellen Maschinen, die mit der physischen Welt verbunden wären, wird somit der vorteilhafte Effekt erzielt, dass ein ungewünschter Verbindungsaufbau aus der virtuellen Umgebung in das externe physische Netzwerk unterdrückt wird, ohne dass es einer umfangreichen kontinuierlichen
Sicherheitsadministration der zu betreibenden Betriebssysteme durch Firewall-Regeln bedarf. Die Computersystem-Architektur gemäß dem vorgestellten Konzept ist somit deutlich einfacher in der Handhabung und gleichzeitig auch robuster, weil eine
Fehleranfälligkeit komplizierter Firewall-Regeln für jegliche Betriebssysteme beziehungsweise darauf laufende
Anwendungsprogramme entfallen. Durch eine gleichzeitige Abschottung des physischen
Computersystems nach außen, derart, dass kein
Verbindungsaufbau aus dem externen physischen Netzwerk (wie oben erläutert) auf das physische Computersystem möglich ist, abgesehen von einer vermittelten Kommunikation innerhalb des oder der virtuellen Kommunikationssubnetze, die über das externe physische Netzwerk vermittelt wird, wird der Schutz der Computersystem-Architektur zusätzlich deutlich erhöht. Dieser Schutz kann zum Beispiel durch gezielte Port-Sperren der Netzwerk-Ports des physischen Computersystems erzielt werden, die jedoch völlig unabhängig sind vom Verhalten der zu betreibenden Systeme innerhalb der virtuellen Umgebung. Auch dies trägt zu einem vereinfachten Handling der
Computersystem-Architektur bei. Zudem wird durch den Schutz des physischen Computersystems gegen Verbindungen von außen erreicht, dass kein manipulativer Angriff auf das physische Computersystem, geschweige denn auf die virtuelle Umgebung innerhalb des physischen Computersystems, möglich ist. Auf diese Weise ist es einem Angreifer nicht oder nur sehr schwer möglich, manipulativen Zugriff auf das physische
Computersystem zu erhalten, um Daten innerhalb des physischen Computersystems abzugreifen beziehungsweise eine erweiterte Kontrolle der virtuellen Umgebung und der darin ablaufenden Systeme zu erlangen. Selbst wenn ein Angreifer Zugang zu einem physischen Computersystem innerhalb einer Computernetz- Infrastruktur erlangen würde, ist ein weiteres Eindringen bzw. ein weiterer Vorstoß auf andere physische
Computersysteme innerhalb der Computernetz-Infrastruktur äußerst erschwert.
Alles in allem verbindet das hier dargestellte Konzept der Computersystem-Architektur somit verschiedenste Maßnahmen zu einem synergetischen Sicherheitskonzept gegen
Datenmissbrauch, das einfach handzuhaben ist und dennoch eine flexible Einrichtung einer Netzwerk-Topologie über virtuelle Kommunikationssubnetze ermöglicht, so dass auch komplexe Computernetz-Infrastrukturen aufgebaut werden können.
In einer Ausführungsform der Computersystem-Architektur weist die virtuelle Umgebung ferner zumindest eine virtuelle
Speicherschnittstelle auf, wobei die virtuelle
Speicherschnittstelle vermittels des Basisbetriebssystems steuerbar ist und eingerichtet ist physische
Speicherkomponenten als virtuelle Speicherkomponenten für die virtuelle Maschine bereitzustellen. Die virtuelle Maschine ist an die virtuelle Speicherschnittstelle angebunden und für eine Kommunikation mit den virtuellen Speicherkomponenten eingerichtet. In dieser Ausführungsform können physische Speicherkomponenten als virtuelle Speicherkomponenten für die virtuelle Maschine bereitgestellt sein. Das heißt, die virtuelle Maschine sieht lediglich virtuelle
Speicherkomponenten und kann nur diese einbinden. Die
physischen Speicherkomponenten sind in diesem Fall für die virtuelle Maschine vorteilhaft nicht sichtbar bzw. nicht erreichbar oder ansprechbar. Die physischen
Speicherkomponenten können innerhalb des physischen
Computersystems oder auch als externe Speicherkomponenten eingerichtet sein. Es ist z.B. denkbar, physische
Speicherkomponenten innerhalb eines Speichersubnetzes (z.B. ein sogenanntes Storage Area Network, SAN) an das physische Computersystem anzubinden. Eine Bereitstellung bzw. logische „Übersetzung" der physischen Speicherkomponenten als bzw. in die virtuellen Speicherkomponenten erfolgt vermittels der virtuellen Speicherschnittstelle. Diese wird vermittels des Basisbetriebssystems bzw. vermittels des Hypervisors
gesteuert. Es ist jedoch auch denkbar, eine vom Hypervisor getrennte Schnittstelle (z.B. in Form eines Pseudo-Devices oder ähnlichem) hierfür vorzusehen.
In dieser Ausführungsform sind die Netzwerk-Ports des physischen Computersystems zusätzlich vorteilhaft derart eingerichtet, dass eine Kommunikation mit externen
Speicherkomponenten innerhalb eines Speichersubnetzes über das physische Computersystem hinaus vermittels des externen physischen Netzwerks zugelassen wird. In einer denkbaren Konfiguration sind die Netzwerk-Ports des physischen
Computersystems bzw. die virtuelle Maschine vorteilhaft derart eingerichtet, dass ausschließlich ein
Verbindungsaufbau des physischen Computersystems hin zu den externen Speicherkomponenten innerhalb des Speichersubnetzes ermöglicht ist, jedoch weder ein Verbindungsaufbau aus dem Speichersubnetz zum physischen Computersystem noch zur virtuellen Maschine möglich ist. Entsprechende
Verbindungsversuche werden blockiert, verworfen oder sind schlichtweg nicht möglich. Vorteilhaft wird ein vom
Speichersubnetz (und wie oben erläutert vom virtuellen
Kommunikationssubnetz) unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk von außerhalb des physischen Computersystems zum physischen Computersystem generell verhindert.
Die Computersystem-Architektur ist daher vorteilhaft
eingerichtet, dass die virtuelle Maschine auf virtuelle
Speicherkomponenten zugreifen kann, um Daten zu speichern. Die virtuellen Speicherkomponenten werden vermittels der virtuellen Speicherschnittstelle auf physische
Speicherkomponenten übersetzt. Eine Steuerung dieser
Maßnahmen erfolgt vermittels des Basisbetriebssystems, vorzugsweise über einen Hypervisor im Basisbetriebssystem.
Durch die genannten Maßnahmen wird auch ein Schutz gegen ein manipulatives Zugreifen auf das physische Computersystem bzw. die virtuelle Maschine zur Erlangung von Daten erzielt, die von der virtuellen Maschine in entsprechenden (virtuellen) Speicherkomponenten eines hierfür vorgesehenen
Speichersystems abgelegt werden. Ein Austausch von Daten zwischen virtuellen Maschinen und den virtuellen
Speicherkomponenten erfolgt ausschließlich gesteuert über die virtuelle Speicherschnittstelle. Eine Weitergabe derartiger zu speichernder Daten durch die virtuelle Maschine an nicht autorisierte externe Systeme, die sich von den
Speicherkomponenten unterscheiden, ist dadurch unterbunden, dass die virtuelle Maschine, wie oben erläutert, derart eingerichtet ist, dass ein Verbindungsaufbau in das externe physische Netzwerk, welches sich in seiner Konfiguration von dem Speichersubnetz unterscheidet, verhindert wird. In einer Ausführungsform der Computersystem-Architektur sind das Basisbetriebssystem und die virtuelle Umgebung derart eingerichtet, dass ein Verbindungsaufbau von der virtuellen Maschine in das Basisbetriebssystem verhindert wird, jedoch ein Verbindungsaufbau vom Basisbetriebssystem in die
virtuelle Maschine zugelassen wird. Durch derartige Maßnahmen wird die Sicherheit der Computersystem-Architektur weiter erhöht. Ein potenziell als unsicher eingestuftes
Betriebssystem beziehungsweise ein darauf laufendes
Anwendungsprogramm hat keine Möglichkeit, einen Aufruf in das Basisbetriebssystem durchzuführen. Auf diese Weise ist die
Computersystem-Architektur gegen eine Manipulation von innen durch Fehler, Sicherheitslücken oder gezielte Manipulationen in den Betriebssystemen oder Anwendungsprogrammen geschützt, die in der virtuellen Maschine betrieben werden. Somit ist es einer potenziellen Schad-Software innerhalb der virtuellen
Maschine nicht möglich, zum Beispiel Sicherheitseinstellungen oder eine sonstige Funktionsweise des Basisbetriebssystems zu manipulieren . In dieser Ausführungsform ist ein Verbindungsaufbau von der virtuellen Maschine in das Basisbetriebssystem vorteilhaft dadurch verhindert, dass spezielle Firewall-Regeln im
Basisbetriebssystem eingerichtet sind und/oder die Konsole der virtuellen Maschine vermittels des Hypervisors des
Basisbetriebssystems entsprechend konfiguriert
beziehungsweise blockiert ist. In einer Ausführungsform der Computersystem-Architektur ist das Basisbetriebssystem eingerichtet, Daten der virtuellen Maschine, welche vermittels des externen physischen Netzwerks nach außerhalb des physischen Computersystems vermittelt werden, zu verschlüsseln. Das bedeutet, dass jegliche Daten, die aus der virtuellen Maschine in das externe physische
Netzwerk außerhalb des physischen Computersystems versendet werden sollen, noch innerhalb des physischen Computersystems vermittels des Basisbetriebssystems verschlüsselt werden. Die Verschlüsselung erfolgt ausschließlich durch Mechanismen innerhalb des Basisbetriebssystems. Dies hat den Vorteil, dass etwaige Manipulationen, Fehler oder Sicherheitslücken der Betriebssysteme oder Anwendungsprogramme innerhalb der virtuellen Maschine keinen Einfluss oder auch nur Zugriff auf die Verschlüsselung der Daten haben. Dadurch, dass ein
Verbindungsaufbau von der virtuellen Maschine in das
Basisbetriebssystem gemäß den oben erläuterten Maßnahmen in einer bevorzugten Ausführung verhindert wird, ist im zu betreibenden Betriebssystem innerhalb der virtuellen Maschine zumindest nicht direkt ermittelbar, dass die Daten überhaupt verschlüsselt werden.
Eine verschlüsselte Versendung der Daten, insbesondere der Daten, die über ein oder mehrere virtuelle
Kommunikationssubnetze und/oder ein oder mehrere
Speichersubnetze der obigen Art in das externe physische
Netzwerk außerhalb des physischen Computersystems versendet werden, kann durch Einrichten einer abgesicherten,
verschlüsselten Verbindung erzielt werden. Dies kann beispielweise dadurch erzielt werden, dass das
Basisbetriebssystem eingerichtet ist, ein oder mehrere so genannte Virtual-Private-Netzwerkverbindungen in ein externes physisches Netzwerk auf andere physische Computersysteme aufzubauen beziehungsweise von anderen physischen
Computersystemen über das externe physische Netzwerk
entsprechende Verbindungen anzunehmen. Innerhalb der so hergestellten Virtual-Private-Netzwerke (VPN) werden die Daten ausschließlich in verschlüsselter Form ausgetauscht. Die Netzwerk-Ports des physischen Computersystems sind somit vorteilhaft derart eingerichtet, dass ein entsprechender Datenaustausch über speziell hierfür eingerichtete VPN- Verbindungen erlaubt ist, z.B. speziell konfigurierte VPN- Dienste eingerichtet sind. Andere Verbindungen von außerhalb des physischen Computersystems auf das physische
Computersystem werden, wie oben erläutert, blockiert
beziehungsweise verworfen. Das bedeutet, dass das physische Computersystem für Verbindungsaufrufe aus dem externen physischen Netzwerk unabhängig von einer Datenkommunikation innerhalb eines virtuellen Kommunikationssubnetzes und ggf. unabhängig von einer Datenkommunikation innerhalb eines
Speichersubnetzes der oben erläuterten Art nicht ansprechbar ist . Die Verschlüsselung von Daten kann z.B. über eine speziell hierfür eingerichtete Verschlüsselungsschicht oder einen Pseudo-Device im Basisbetriebssystem erfolgen. Bei Unix- bzw. Linux-Systemen kann dies z.B. über den sogenannten „Device Mapper" erfolgen.
Durch eine Verschlüsselung der Daten kann außerhalb des physischen Computersystems vermittels des externen physischen Netzwerks nicht auf Klardaten zugegriffen werden. Durch derartige Maßnahmen werden die Daten auch vor
missbräuchlichen Auswirkungen durch Sicherheitslücken in externen Netzwerkkomponenten (z. B. Router, Switches, usw.) geschützt. Selbst wenn Daten über das externe physische
Netzwerk auf Systeme unbefugter Dritter weitergeleitet werden oder z.B. von Administratoren in einem Speichersubnetz missbräuchlich abgegriffen werden, erhalten diese lediglich verschlüsselte Inhalte. Eine Umgehung der Verschlüsselung im Basisbetriebssystem durch einen Angriff eines externen
Systems ist, wie oben erläutert, dadurch massiv erschwert, dass die Netzwerk-Ports des physischen Computersystems, abgesehen von Verbindungen innerhalb eines virtuellen
Kommunikationssubnetzes beziehungsweise eines
Speichersubnetzes, jegliche Verbindungsversuche aus dem externen physischen Netzwerk verhindern beziehungsweise blockieren. Optional kann zur weiteren Erhöhung der
Sicherheit auch eine Mehrfachauthentifizierung oder eine Mehrfachverschlüsselung eingerichtet werden. Nachfolgend wird eine vorteilhafte Computernetz-Infrastruktur unter Einsatz einer Mehrzahl von Computersystem-Architekturen der oben erläuterten Art dargestellt. Die Computernetz- Infrastruktur umfasst eine Mehrzahl solcher Computersystem- Architekturen, die über zumindest ein physisches Netzwerk (der oben erläuterten Art) verbunden sind. In der
Computernetz-Infrastruktur ist zumindest eine virtuelle
Maschine der jeweiligen Computersystem-Architekturen über zumindest ein virtuelles Kommunikationssubnetz mit zumindest einer virtuellen Maschine zumindest einer anderen
Computersystem-Architektur verbunden. Die Computernetz- Infrastruktur ist derart eingerichtet, dass eine
Kommunikation innerhalb des zumindest einen virtuellen
Kommunikationssubnetzes zwischen den physischen Computersystemen vermittels des zumindest einen physischen Netzwerks vermittelt wird.
Eine derartige Computernetz-Infrastruktur umfasst die
Vorteile, wie sie im Zusammenhang mit einer Computersystem- Architektur der oben dargestellten Art erläutert worden sind. In einer derartigen Computernetz-Infrastruktur ist eine
Vielzahl von virtuellen Maschinen vernetzt, wobei die
virtuellen Maschinen auf die Mehrzahl der physischen
Computersysteme der jeweiligen Computersystem-Architekturen verteilt sind und innerhalb eines oder mehrerer virtuellen Kommunikationssubnetze miteinander kommunizieren können. Auf diese Weise können virtuelle Netzwerke mit komplexem
Funktionsumfang realisiert werden. So ist es denkbar, durch eine derartige Computernetz-Infrastruktur komplexe Server- Funktionalitäten, z. B. umfassend Web-, Anwendungs- und/oder Datenbank-Funktionalitäten, bereitzustellen.
Ein großer Vorteil einer derartigen Computernetz- Infrastruktur besteht dabei darin, dass trotz einer komplexen Funktionalität umfangreiche und komplexe Sicherheitsregeln oder Firewall-Regeln entfallen. In einer derartigen
Infrastruktur müssen nicht für jede Anwendung in jedem
Computersystem global gültige Firewall-Regeln eingestellt werden, die in einer großen Infrastruktur zu
unübersichtlichen Einstellungen führen würden. Vielmehr ist eine Absicherung der Infrastruktur dadurch gegeben, dass Betriebssysteme und Anwendungen innerhalb der virtuellen Maschinen der jeweiligen Computersystem-Architekturen
eingekapselt sind und nicht über komplexe Firewall-Regeln gesteuert werden müssen. Dadurch, dass es einer jeden
virtuellen Maschine verboten ist, eine Verbindung in das externe physische Netzwerk aufzubauen (siehe obige Erläuterungen) , wird in einer derartigen Infrastruktur verhindert, dass sensible beziehungsweise vertrauliche Daten über ungewollte Netzwerk-Verbindungen nach außerhalb der Infrastruktur gelangen. Insofern haben Fehler und
Sicherheitslücken der Betriebssysteme beziehungsweise
Anwendungen innerhalb der virtuellen Maschinen keine oder nur sehr erschwert Auswirkung.
Die jeweiligen virtuellen Maschinen der jeweiligen
Computersystem-Architekturen werden über die entsprechenden Basisbetriebssysteme in den physischen Computersystemen gesteuert. Diese Steuerung verhindert einen entsprechenden Verbindungsaufbau der virtuellen Maschinen in das externe physische Netzwerk. Auf diese Weise ist eine sehr einfache und dennoch wirkungsvolle Sicherheitssteuerung der
Computernetz-Infrastruktur gewährleistet. Innerhalb der virtuellen Maschinen können unterschiedlichste Anwendungen beziehungsweise Systeme zur Realisierung bestimmter
anwendungsspezifischer Funktionalitäten eingerichtet sein. Somit ist die Computernetz-Infrastruktur dennoch sehr
flexibel in der Einrichtung anwendungsorientierter
Funktionalitäten .
Zusätzlich zu einem Schutz einer Datenmanipulation von innerhalb der virtuellen Maschinen nach außerhalb der
Computernetz-Infrastruktur bietet die Computernetz- Infrastruktur zudem einen wirksamen Schutz gegen ein
Eindringen von außen. Denn, wie im Zusammenhang mit einer einzelnen Computersystem-Architektur oben dargestellt, sind sämtliche Netzwerk-Ports der jeweiligen physischen
Computersysteme der Computernetz-Infrastruktur derart
eingerichtet, dass lediglich eine Vermittlung einer (ggf. verschlüsselten) Kommunikation innerhalb des beziehungsweise der virtuellen Kommunikationssubnetze zwischen den physischen Computersystemen vermittels des externen physischen Netzwerks zugelassen wird, jedoch ein von dem oder den virtuellen
Kommunikationssubnetzen unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk auf die jeweiligen
physisches Computersysteme verhindert wird.
Mit anderen Worten kann über eine derartige Computernetz- Infrastruktur eine komplexe Funktionalität realisiert werden, die jedoch sowohl von innen nach außen, als auch von außen nach innen gegen Manipulationen beziehungsweise Angriffe geschützt beziehungsweise eingekapselt ist.
Manipulationsversuche von außen sind extrem erschwert
beziehungsweise deren Auswirkungen auf ein bestmögliches Minimum reduziert. Die physischen Computersysteme der
Computernetz-Infrastruktur sind schlichtweg von außen über das physische externe Netzwerk nicht ansprechbar.
Verbindungen, die unabhängig von Kommunikationen über das oder die virtuellen Kommunikationssubnetze sind, werden vollständig ignoriert. Andererseits ist die Computernetz- Infrastruktur abgesichert gegen Datenabzug durch Fehler oder Sicherheitslücken in Betriebssystemen oder
Anwendungsprogrammen, die innerhalb der virtuellen Maschinen der jeweiligen Computersystem-Architekturen laufen. Aufgrund der Virtualisierung ist eine sicherheitstechnische Barriere geschaffen, die es einem System oder einer Anwendung
innerhalb einer virtuellen Maschine verbietet, überhaupt eine (ungewollte) Verbindung nach außen aufbauen zu können.
Jegliche Kommunikation der beteiligten Systeme ist innerhalb des oder der virtuellen Kommunikationssubnetze
eingeschlossen . Eine derartige Computernetz-Infrastruktur ist aus Sicherheitssicht einfach zu administrieren und erlaubt dennoch ein deutlich höheres Maß an Sicherheit im Vergleich zu herkömmlich aufgebauten Infrastrukturen.
Vorteilhaft weist die dargestellte Computernetz-Infrastruktur physische Speicherkomponenten zur Speicherung von Daten der virtuellen Maschinen der Computersystem-Architekturen auf. Die Speicherkomponenten sind als virtuelle
Speicherkomponenten von zumindest einem Teil der virtuellen Maschinen ansprechbar. In einer Ausführungsform sind die Speicherkomponenten außerhalb der physischen Computersysteme als physische Speicherkomponenten (z. B. innerhalb eines so genannten Storage Area-Netzwerks , SAN) eingerichtet und über ein oder mehrere Speichersubnetze ansprechbar. Die
Computernetz-Infrastruktur ist in dieser Ausführungsform derart eingerichtet, dass eine Kommunikation innerhalb der Speichersubnetze außerhalb der physischen Computersysteme vermittels des zumindest einen physischen Netzwerks
vermittelt wird. Wie bereits oben zu einer einzelnen
Computersystem-Architektur beschrieben, ist bei einer
derartigen Ausführung einer Computernetz-Infrastruktur auch eine Speicherung von Daten integriert, die aus den virtuellen Maschinen stammen und gespeichert werden sollen. Hierbei kann es sich beispielsweise um anwendungsspezifische Daten,
Benutzerdaten, Systemdaten, usw. handeln.
Durch eine Anbindung der virtuellen Maschinen über ein oder mehrere Speichersubnetze an die Speicherkomponenten, welche von den virtuellen Maschinen lediglich als virtuelle
Speicherkomponenten sichtbar und ansprechbar sind, ist eine Datenspeicherung innerhalb des dargestellten
Sicherheitskonzeptes der Computernetz-Infrastruktur auf einfache Weise realisiert. Sämtliche Daten werden ausschließlich eingekapselt innerhalb des oder der
Speichersubnetze zwischen den Teilkomponenten der
Infrastruktur ausgetauscht. Wie bereits oben zu einer
einzelnen Computersystem-Architektur erläutert, werden Daten außerhalb eines physischen Computersystems vorteilhaft nur verschlüsselt übertragen. Eine entsprechende Verschlüsselung von Daten aus den virtuellen Maschinen erfolgt auf der Ebene des Basisbetriebssystems eines jeweiligen physischen
Computersystems.
Die Verschlüsselung ist vorteilhaft derart eingerichtet, dass beteiligte virtuelle Maschinen keinerlei Zugriff auf die Verschlüsselung haben. Vorteilhaft ist die Verschlüsselung derart unabhängig von den virtuellen Maschinen eingerichtet, dass Betriebssysteme beziehungsweise Anwendungen innerhalb der virtuellen Maschinen nicht einmal Informationen vorliegen haben, dass eine Verschlüsselung außerhalb der virtuellen Maschinen auf Basisbetriebssystem-Ebene erfolgt. Zur
Speicherung von Daten können die virtuellen Maschinen die virtuellen Speicherkomponenten ansprechen, wobei technisch auf der Ebene der Basisbetriebssysteme, z. B. vermittels eines Hypervisors oder einer hierfür eingerichteten
Schnittstelle (z.B. eines Pseudo-Devices) , eine Vermittlung dieser Kommunikation vermittels des zumindest einen
physischen Netzwerks auf die tatsächlich vorliegenden
physischen Speicherkomponenten erfolgt. Diese Vermittlung ist derart eingerichtet, dass sämtliche Daten über das
Basisbetriebssystem verschlüsselt werden, bevor sie das physische Computersystem verlassen. Auf diese Weise sind die Daten innerhalb des physischen Netzwerks, d.h. auch innerhalb eines physischen Storage-Netzwerks , ausschließlich in
verschlüsselter Form verfügbar. Derartige Maßnahmen sind auch unabhängig von etwaigen zusätzlichen Sicherheitseinrichtungen innerhalb der Speicherkomponenten beziehungsweise innerhalb eines physischen Storage-Netzwerks . Insofern ist die
Computernetz-Infrastruktur auch sehr robust gegen etwaige Manipulationen von Sicherheitseinrichtungen der physischen Speicherkomponenten. Selbst bei einer Manipulation von
Speicherkomponenten, zum Beispiel durch Eindringen eines externen Angreifers in ein entsprechend eingerichtetes
Storage-Area-Network, sind die Daten bereits durch das
Basisbetriebssystem der jeweiligen physischen Computersysteme verschlüsselt, so dass ein Angriff auf die
Speicherkomponenten diesbezüglich aus Sicherheitssicht erfolglos bleibt. Vorteilhaft ist die gesamte Computernetz-Infrastruktur derart eingerichtet, dass eine Kommunikation innerhalb des zumindest einen virtuellen Kommunikationssubnetzes (und auch
gegebenenfalls innerhalb des zumindest einen
Speichersubnetzes) zwischen den physischen Computersystemen über ein oder mehrere Virtual-Private-Netzwerke (VPN) vermittelt wird. Hierdurch ergeben sich die bereits oben im Zusammenhang mit einer entsprechenden VPN-Verbindung
dargestellten Vorteile. In einer vorteilhaften Ausführungsform der Computernetz- Infrastruktur sind zwischen jeweils zwei physischen
Computersystemen zumindest ein erstes und ein zweites
Virtual-Private-Netzwerk zur Vermittlung des zumindest einen virtuellen Kommunikationssubnetzes (und gegebenenfalls zur Vermittlung des zumindest einen Speichersubnetzes)
eingerichtet. Dabei ist ein ansprechbarer VPN-Dienst des ersten Virtual-Private-Netzwerks auf dem einen physischen Computersystem eingerichtet und ein ansprechbarer VPN-Dienst des zweiten Virtual-Private-Netzwerks auf dem anderen
physischen Computersystem eingerichtet. Das bedeutet, dass bei einer derartigen Konfiguration zwischen jeweils zwei physischen Computersystemen auf beiden Computersystemen zumindest jeweils ein VPN-Dienst zur Bereitstellung einer Verbindungsmöglichkeit über ein Virtual-Private-Netzwerk eingerichtet ist. Auf diese Art sind zumindest zwei VPNs zwischen jeweils zwei physischen Computersystemen nutzbar. Fällt ein VPN-Dienst auf einem der Computersysteme aus, so kann dennoch eine VPN-Verbindung zwischen den beteiligten Computersystemen über den VPN-Dienst des anderen
Computersystems aufgebaut werden. Auf diese Weise ist die Computernetz-Infrastruktur besonders ausfallsicher
hinsichtlich eingerichteter VPN-Verbindungen zwischen den physischen Computersystemen.
Es ist auch denkbar, mehr als zwei mögliche VPN-Verbindungen zwischen jeweils zwei physischen Computersystemen vorzusehen, indem mehr als zwei VPN-Dienste auf den entsprechenden physischen Computersystemen eingerichtet sind. Dies erhöht die Ausfallsicherheit und erlaubt eine Hochverfügbarkeit der VPN-Verbindungen zwischen den beteiligten physischen
Computersystemen. Sämtliche zwischen jeweils zwei physischen Computersystemen eingerichtete VPN-Verbindungen können über ein so genanntes VPN-Bonding beziehungsweise VPN-Teaming zu einer redundanten Verbindung zusammengefasst werden. Dies hat auch den Vorteil, dass die gesamte Bandbreite der
aggregierten Einzelverbindungen erhöht werden kann. Im Falle des Ausfalls einer Verbindung bestehen die eine oder die mehreren verbleibenden Verbindungen, wie erläutert, als redundante Verbindungen bestehen. In einer vorteilhaften Ausführungsform sind in der Computernetz-Infrastruktur mehrere separate virtuelle
Kommunikationssubnetze eingerichtet, wobei für jedes
virtuelle Kommunikationssubnetz separate Sicherheitsregeln für die beteiligten virtuellen Maschinen vorgegeben sind. Jedes separate virtuelle Kommunikationssubnetz kann einen eigenen IP-Adressraum mit vorbestimmten privaten IP-Adressen der beteiligten virtuellen Maschinen aufweisen. Auf diese Weise sind innerhalb der Computernetz-Infrastruktur mehrere separate Teilnetze eingerichtet, wobei innerhalb der
Teilnetze die virtuellen Maschinen kommunizieren. Innerhalb eines jeden Kommunikationssubnetzes kann die Kommunikation anwendungsspezifisch durch Sicherheitsregeln, z. B. Firewall- Regeln, definiert werden. Die Sicherheitsregeln werden z.B. über das Basisbetriebssystem gesteuert. Der Vorteil der
Mehrzahl getrennter Kommunikationssubnetze besteht darin, dass für jedes Kommunikationssubnetz unabhängig von den anderen Kommunikationssubnetzen Sicherheitsregeln definiert werden können. Insbesondere können Sicherheitsregeln mit der Definition und Erzeugung der virtuellen Komponenten
(virtuelle Maschinen, Bridges, Interfaces, usw.) verknüpft werden und so automatisch mitinstalliert, umgezogen oder entfernt werden. Auf diese Weise ist eine Verwaltung
sämtlicher Kommunikationssubnetze aus Sicherheitssicht sehr einfach handzuhaben. Dennoch können innerhalb der einzelnen Kommunikationssubnetze diverse auf eine jeweilige Anwendung fein abgestimmte Sicherheitsregeln eingestellt werden. Somit erlaubt die Computernetz-Infrastruktur eine vernetzte
Struktur mit einfach handzuhabenden Sicherheitseinstellungen, die jedoch sehr fein auf die entsprechenden
anwendungsspezifischen Funktionalitäten abstimmbar sind. Es ist keine globale Sicherheitsinstanz (globales Firewall- System) notwendig, die für jede Anwendung in einer jeden virtuellen Maschine spezielle Firewall-Regeln zur Kontrolle einer Verbindung nach außen vorsehen muss. Eine
Verbindungsmöglichkeit in das externe physische Netzwerk ist durch die Virtualisierung generell verboten, wie oben
mehrfach erläutert.
In einer Ausführungsform umfasst die Computernetz- Infrastruktur neben den erläuterten Komponenten ferner ein Administrations-Computersystem und ein Vermittlungs- Computersystem, die mit dem zumindest einen physischen
Netzwerk verbunden sind zur Administration eines oder
mehrerer Computersystem-Architekturen. Die Netzwerk-Ports des Administrations-Computersystems sind zum zumindest einen physischen Netzwerk hin geschlossen, so dass ein
Verbindungsaufbau aus dem zumindest einen physischen Netzwerk von außerhalb des Administrations-Computersystems zum
Administrations-Computersystem verhindert wird. Das
Vermittlungs-Computersystem weist jedoch zumindest einen offenen Netzwerk-Port zum zumindest einen physischen Netzwerk hin auf und ist derart eingerichtet, dass sowohl das
Administrations-Computersystem als auch die physischen
Computersysteme der zu administrierenden Computersystem- Architekturen über das zumindest eine physische Netzwerk auf das Vermittlungs-Computersystem zugreifen können.
Die hier zusätzlich vorgesehenen Systeme, nämlich das
Administrations-Computersystem und das Vermittlungs- Computersystem, dienen zur Administration eines oder
mehrerer, vorteilhaft aller, Computersystem-Architekturen innerhalb der Computernetz-Infrastruktur. Diese beiden
Systeme sind speziell an das Sicherheitskonzept der
Computernetz-Infrastruktur angepasst. Wie bereits mehrfach erläutert, sind die Netzwerk-Ports der physischen Computersysteme der entsprechenden Computersystem- Architekturen derart eingerichtet, dass ein vom virtuellen Kommunikationssubnetz beziehungsweise gegebenenfalls ein vom Speichersubnetz unabhängiger Verbindungsaufbau aus dem physischen Netzwerk von außerhalb der physischen
Computersysteme verhindert wird. Das bedeutet, dass kein Computersystem, welches sich von einer virtuellen Maschine unterscheidet und außerhalb des einen oder der mehreren virtuellen Kommunikationssubnetze mit den physischen
Computersystemen kommunizieren möchte, einen
Verbindungsaufbau zu den physischen Computersystemen aufbauen kann. Vielmehr wird ein derartiger Verbindungsaufbau
blockiert beziehungsweise verworfen. Andererseits soll aber auch ein administrativer Zugang zu den Computersystem- Architekturen der Computernetz-Infrastruktur gewährleistet bleiben beziehungsweise ist ein derartiger administrativer Zugang oftmals erforderlich.
Für einen derartigen kontrollierten administrativen Zugang sind das Administrations-Computersystem und das Vermittlungs- Computersystem vorgesehen. Die Netzwerk-Ports des
Administrations-Computersystems sind analog zu den Netzwerk- Port der physischen Computersysteme der Computersystem- Architekturen innerhalb der Computernetz-Infrastruktur derart geschlossen, dass ein Verbindungsaufbau aus dem physischen Netzwerk zum Administrations-Computersystem verhindert wird. Dagegen weist das Vermittlungs-Computersystem zumindest einen offenen Netzwerk-Port auf, über den ein Verbindungsaufbau aus dem physischen Netzwerk auf das Vermittlungs-Computersystem eingerichtet ist. Im Gegensatz zum Administrations- Computersystem beziehungsweise zu den physischen
Computersystemen der Computersystem-Architekturen ist das Vermittlungs-Computersystem daher ein „offenes" Computersystem. Das bedeutet, dass sowohl das
Administrations-Computersystem als auch die physischen
Computersysteme der entsprechenden Computersystem- Architekturen auf das Vermittlungs-Computersystem zugreifen können und vom Vermittlungs-Computersystem Daten
beziehungsweise Daten-Pakete über eine entsprechend
aufgebaute Verbindung abrufen können. Über entsprechende Daten beziehungsweise Daten-Pakete ist somit ein Prozess zum Austausch von Steuerdaten für eine administrative Steuerung der Computersystem-Architekturen vermittels des
Administrations-Computersystems möglich, ohne dass das
Administrations-Computersystem selbst beziehungsweise die physischen Computersysteme der Computersystem-Architekturen laufende Dienste an einem oder mehreren Netzwerk-Ports besitzen (so genannte Listening-Ports ) , die eine Gefahr beziehungsweise Anfälligkeit für Angriffe über das externe Netzwerk bieten.
Insbesondere ist es denkbar, dass über das Administrations- Computersystem bestimmte Steuerdaten beziehungsweise Daten- Pakete zur Steuerung, Administration oder Konfiguration eines oder mehrerer Computersystem-Architekturen (also der
physischen Computersysteme und/oder der virtuellen Maschinen innerhalb der physischen Computersysteme) über eine zum
Vermittlungs-Computersystem hin aufgebaute Verbindung an das Vermittlungs-Computersystem übergeben und dort abgelegt werden. Daraufhin kann ein Prozess gestartet werden, bei dem ein oder mehrere physische Computersysteme der
Computersystem-Architekturen eine Verbindung zum
Vermittlungs-Computersystem hin aufbauen und vom
Vermittlungs-Computersystem die entsprechenden Steuerdaten beziehungsweise Daten-Pakete abholen und zu sich
transferieren. In den physischen Computersystemen beziehungsweise in den virtuellen Maschinen auf den physischen Computersystemen (unter Umständen vermittels des Basisbetriebssystems beziehungsweise des Hypervisors) können dann bestimmte Tasks in Abhängigkeit der übertragenen
Steuerdaten beziehungsweise Daten-Pakete ausgeführt werden. Auf diese Weise ist ein administrativer mittelbarer Zugang zu den entsprechenden Computersystem-Architekturen möglich.
Weitere vorteilhafte Ausführungsformen beziehungsweise weitere Aspekte sind in den Unteransprüchen beziehungsweise in der nachfolgenden Figurenbeschreibung offenbart.
Die Erfindung wird nachfolgend unter Zuhilfenahme mehrerer Figuren anhand diverser Ausführungsbeispiele näher erläutert.
Es zeigen:
Figur 1 eine schematisierte Darstellung einer bestimmten
Funktionalität einer Computersystem-Architektur zum Einsatz in einer Computernetz-Infrastruktur,
Figur 2 eine schematisierte Darstellung einer weiteren
Funktionalität einer Computersystem-Architektur,
Figur 3A eine schematisierte Darstellung einer
Ausführungsform einer Computernetz-Infrastruktur mit zwei Computersystem-Architekturen,
Figur 3B ein Ersatzschaltbild der Funktionalität gemäß Figur
3A, Figur 3C eine schematisierte Darstellung einer weiteren Funktionalität einer Computersystem-Architektur innerhalb einer Computernetz-Infrastruktur, Figur 4 eine schematisierte Gesamtübersicht verschiedener
Funktionalitäten der Computersystem-Architekturen innerhalb einer Computernetz-Infrastruktur gemäß Figur 3A, Figur 5A eine schematisierte Darstellung einer weiteren
Ausführungsform einer Computernetz-Infrastruktur in einer ersten Konfiguration,
Figur 5B die Ausführungsform gemäß Figur 5A in einer zweiten
Konfiguration,
Figur 6A eine weitere Ausführungsform einer Computernetz- Infrastruktur,
Figur 6B ein Ersatzschaltbild der Funktionalität gemäß Figu
6A,
Figur 7A eine vereinfachte Darstellung der Ausführungsform gemäß Figur 6A,
Figur 7B eine weitere Ausführungsform einer Computernetz- Infrastruktur,
Figur 7C eine schematisierte Darstellung abgesicherter
Verbindungen zwischen physischen Computersystemen in einer Computernetz-Infrastruktur, Figur 8 eine weitere Ausführungsform einer Computernetz- Infrastruktur .
Figur 1 zeigt eine schematisierte Darstellung einer
Computernetz-Infrastruktur 1, umfassend ein physisches
Computersystem 2 sowie eine virtuelle Maschine VMl, die auf dem physischen Computersystem 2 installiert ist. Das
physische Computersystem 2 weist hierzu zum Beispiel eine virtuelle Umgebung auf, die über ein Basisbetriebssystem auf dem physischen Computersystem 2 steuerbar ist. Hierzu ist beispielsweise denkbar, im Basisbetriebssystem einen
Hypervisor vorzusehen, der die virtuelle Maschine VMl
verwaltet und eine Vermittlung einer Kommunikation zwischen der virtuellen Umgebung und einer physischen Infrastruktur ermöglicht. Hier sind gängige Implementierungen denkbar.
Die virtuelle Maschine VMl umfasst beispielsweise ein zu betreibendes Betriebssystem und gegebenenfalls ein darauf ablaufendes Anwendungsprogramm. Das Anwendungsprogramm kann eine anwendungsspezifische Funktionalität bereitstellen. Es ist natürlich auch denkbar, innerhalb der virtuellen Maschine VMl eine Mehrzahl von Betriebssystemen parallel einzurichten beziehungsweise eine Vielzahl von Anwendungsprogrammen laufen zu lassen.
Das physische Computersystem 2 weist einen oder mehrere
Netzwerk-Ports 4 auf, die schematisiert dargestellt mit einem externen physischen Netzwerk N verbunden sind. Das physische Netzwerk N ist somit außerhalb des physischen Computersystems 2 eingerichtet und umfasst ein lokales Netzwerk einer
Computernetz-Infrastruktur. Ferner kann sich das Netzwerk N auch in das öffentliche World Wide Web (Internet) erstrecken. Die Netzwerk-Ports 4 des physischen Computersystems 2 sind derart eingerichtet, dass ein Verbindungsaufbau vom
physischen Computersystem 2 in das externe physische Netzwerk N möglich ist, jedoch ein Verbindungsaufbau aus dem externen physischen Netzwerk N auf das physische Computersystem 2 nicht möglich ist. Ein entsprechender Verbindungsaufbau auf das physische Computersystem 2 wird beispielsweise durch gesperrte Netzwerk-Ports 4 (z. B. vermittels einer Firewall und/oder eines Paketfilters) verhindert beziehungsweise blockiert oder Verbindungsversuche verworfen. Zusätzlich hat das physische Computersystem 2 optional keine laufenden
Dienste an den Netzwerk-Ports 4, die nach außen auf externe Verbindungsversuche hin lauschen. Derartige so genannte
Listening-Netzwerk-Ports sind in physischen Computersystemen 2 bewusst nicht eingerichtet. Somit verhält sich das
physische Computersystem 2 allgemein hinsichtlich externer Verbindungsanfragen aus dem externen physischen Netzwerk N als geschlossenes System. Es ist beispielsweise nicht
möglich, dass sich ein Administrator über ein entferntes Computersystem vermittels des Netzwerks N an einem Dienst im physischen Computersystem 2 vermittels spezieller hierfür geöffneter Netzwerk-Ports 4 anmeldet. Allerdings stellt das physische Computersystem 2 dennoch eine Vermittlung einer Kommunikation der virtuellen Maschine VM1 zu anderen
virtuellen Maschinen außerhalb des physischen Computersystems 2 vermittels des Netzwerks N zur Verfügung, wie später erläutert wird.
Neben der virtuellen Maschine VM1 umfasst die Computersystem- Architektur 1 gemäß Figur 1 auch eine so genannte virtuelle Bridge br eines virtuellen Kommunikationssubnetzes 3. Die virtuelle Bridge br ist als Funktionalität schematisiert dargestellt und kann beispielsweise über das Basisbetriebssystem innerhalb der virtuellen Umgebung
bereitgestellt sein.
Vorteilhaft arbeitet die virtuelle Bridge br als virtuelle Netzwerk-Verbindung (Interface) zur Anbindung der virtuellen Maschine VM1 an das virtuelle Kommunikationssubnetz 3. Die virtuelle Bridge br kann beispielsweise innerhalb eines Protokollstapels gemäß dem so genannten OSI-Schichtenmodell als virtuelle Hardware-Bridge mit einer Funktionalität gemäß Schicht 2 (Sicherungsschicht) eingerichtet sein.
Auf diese Weise ist die virtuelle Maschine VM1 an das
Kommunikationssubnetz 3 für eine Kommunikation mit anderen virtuellen Maschinen eingerichtet. Ansonsten wird die
virtuelle Maschine VM1 durch ein auf dem physischen
Computersystem 2 eingerichtetes Basisbetriebssystem
beziehungsweise den entsprechenden Hypervisor derart
gesteuert, dass ein Verbindungsaufbau von der virtuellen Maschine VM1 in das externe physische Netzwerk N unterbunden wird. Das bedeutet, dass die virtuelle Maschine VM1 kein externes Interface für eine Anbindung an das externe
physische Netzwerk N aufweist. Somit kann die virtuelle
Maschine VM1 eine Kommunikation (d. h. Verbindungsaufrufe beziehungsweise Vermittlungsannahmen) lediglich über die virtuelle Bridge br innerhalb des Kommunikationssubnetzes 3 durchführen .
Zusätzlich ist die virtuelle Maschine VM1 derart eingerichtet beziehungsweise wird durch das Basisbetriebssystem und/oder den Hypervisor derart gesteuert, dass ein Aufruf der
virtuelle Maschine VM1 in das Basisbetriebssystem des physischen Computersystems 2 nicht erlaubt beziehungsweise nicht möglich ist oder unterdrückt wird. Dies ist beispielsweise durch geeignete Firewall-Regeln im Basisbetriebssystem implementiert. Alternativ oder ergänzend kann z. B. der Hypervisor des Basisbetriebssystems im
physischen Computersystem 2 eine Konsole oder eine andere Kontrolleinrichtung der virtuellen Maschine VM1 derart steuern, dass aus der Konsole bzw. der Kontrolleinrichtung der virtuellen Maschine VM1 kein Aufruf in das
Basisbetriebssystem möglich ist. Aufgrund der genannten Sicherheitsmechanismen ist die
Computersystem-Architektur 1 gemäß Figur 1 daher eine
vollkommen eingekapselte Struktur. Ein in der virtuellen Maschine VM1 laufendes Betriebssystem beziehungsweise ein darauf ablaufendes Anwendungsprogramm, welche generell Fehler und/oder Sicherheitslücken aufweisen können und somit als potentiell unsicher gelten, können keine Datenverbindung nach außerhalb des physischen Computersystems 2 über das Netzwerk N aufbauen, weil eine derartige Funktionalität durch das auf dem physischen Computersystem 2 laufende Basisbetriebssystem (welches idealerweise als sicher gegenüber dem zu
betreibenden Betriebssystem innerhalb der virtuellen Maschine VM1 gilt) beziehungsweise durch den Hypervisor unterbunden wird. Insofern stellt die Virtualisierung innerhalb der
Computersystem-Architektur 1 eine Sicherheitsbarriere gegen Fehler oder Sicherheitslücken eines Programms dar, das innerhalb der virtuellen Maschine VM1 abläuft.
Um jedoch eine anwendungsspezifische und auch komplexe
Computernetz-Infrastruktur realisieren zu können, ist die virtuelle Maschine VM1 über die virtuelle Netzwerk-Bridge br an das Kommunikationssubnetz 3 angebunden und kann mit anderen virtuellen Maschinen zur Realisierung und
Bereitstellung einer entsprechenden Funktionalität kommunizieren. In speziellen Anwendungsfällen kann von der virtuellen Maschine VM1 (temporär) über das
Kommunikationssubnetz 3 (vermittelt über das physische
Netzwerk N) eine Verbindung zu einem externen System
aufgebaut werden. Dies stellt jedoch einen Spezialfall dar. Ferner ist denkbar, dass ein externes System über das
Kommunikationssubnetz 3 (vermittelt über das physische
Netzwerk N) direkt eine Verbindung zur virtuellen Maschine VM1 aufbaut. Eine Verbindung von extern auf das physische Computersystem 2 wird jedoch - wie oben erläutert - durch die entsprechend konfigurierten Netzwerk-Ports 4 verhindert.
Zusätzlich ist das physische Computersystem 2 aufgrund der nach außen geschlossen Netzwerk-Ports 4 gegen unerlaubte Verbindungsaufrufe auf das physische Computersystem 2 über das Netzwerk N geschützt. Dadurch ist das physische
Computersystem 2 entsprechend robust gegen Angriffe aus dem Netzwerk N, weil auf dem physischen Computersystem 2, wie erläutert, keine laufenden Dienste an den Netzwerk-Ports 4 eingerichtet sind, die eine herkömmliche Angriffsmöglichkeit bieten würden.
Figur 2 zeigt eine Ausführungsform einer Computersystem- Architektur 1, wobei eine weitere Funktionalität
veranschaulicht ist. Die Computersystem-Architektur 1 gemäß
Figur 2 kann prinzipiell entsprechend den Erläuterungen einer Computersystem-Architektur 1 gemäß Figur 1 aufgebaut sein. In einer leichten Abwandlung gemäß Figur 2 weist die
Computersystem-Architektur 1 allerdings zwei virtuelle
Maschinen VM1 und VM2 auf, die in einer entsprechenden virtuellen Umgebung auf dem physischen Computersystem 2 eingerichtet sind und über ein Basisbetriebssystem
beziehungsweise einen Hypervisor steuerbar sind. Figur 2 veranschaulicht einen Mechanismus zur Speicherung von Daten, die aus den virtuellen Maschinen VMl beziehungsweise VM2 auf Speicherkomponenten abgelegt werden sollen. Zur
Speicherung von Daten aus den virtuellen Maschinen VMl und
VM2 können diese auf virtuelle Speicherkomponenten zugreifen, die über ein Speichersubnetz 5 als physische
Speicherkomponenten LI beziehungsweise L2 angebunden sind. Das Speichersubnetz 5 wird über das Basisbetriebssystem oder den Hypervisor angesteuert. Die virtuellen Maschinen VMl beziehungsweise VM2 können lediglich für sie sichtbare virtuelle Speicherkomponenten (nicht dargestellt) ansprechen. Die virtuellen Speicherkomponenten können beispielsweise an bestimmte Funktionalitäten oder Anwendungen innerhalb der virtuellen Maschinen VMl oder VM2 angepasst sein. Eine logische Übersetzung von den für die virtuellen Maschinen VMl und VM2 sichtbaren virtuellen Speicherkomponenten auf die physischen Speicherkomponenten LI und L2 erfolgt über das Basisbetriebssystem, genauer über dessen Hypervisor oder eine speziell eingerichtete Schnittstelle, z.B. einen Pseudo¬ Device. Letzterer kann z.B. in einem Linux-System über den Device Mapper erstellt werden.
Zur Speicherung von Daten sprechen die virtuellen Maschinen VMl beziehungsweise VM2 die virtuellen Speicherkomponenten an und können dann Daten an die virtuellen Speicherkomponenten übergeben und dort abgelegen (speichern) . Auf der Ebene des Basisbetriebssystems des physischen Computersystems 2 werden die virtuellen Speicherkomponenten in die physischen
Speicherkomponenten LI und L2 übersetzt. Ferner baut das
Basisbetriebssystem eine entsprechende Verbindung über das Speichersubnetz 5 zu den Speicherkomponenten LI und L2 auf und kann dann die zu speichernden Daten an die Speicherkomponenten LI und L2 senden, so dass die Daten dort abgelegt werden. Auf physischer Ebene wird eine derartige Datenspeicherung über das Basisbetriebssystem des physischen Computersystems 2 nach außerhalb des physischen
Computersystems 2, z. B. vermittels des in Figur 1
dargestellten Netzwerks N oder durch ein speziell
eingerichtetes physisches Speichernetzwerk vermittelt. Denn in der Ausführungsform gemäß Figur 2 sind die
Speicherkomponenten LI und L2 in Form von physischen
Speicherkomponenten außerhalb des physischen Computersystems 2 eingerichtet. Beispielsweise sind die Speicherkomponenten LI und L2 Bestandteil eines Speichersystems, z. B. eines so genannten Storage-Area-Networks (SAN) . Die
Speicherkomponenten sind z.B. als ein Disk-Array über eine LUN-Adressierung (LUN = Logical Unit Number) in einem
Storage-Area-Network ansprechbar. Die Speicherkomponenten LI und L2 können z. B. redundante Festplattenspeicher, verteilte Datenspeicher, usw. sein. Alternativ zu der in Figur 2 dargestellten Ausführung können die Speicherkomponenten LI und L2 auch als physische Speicherkomponenten innerhalb des physischen Computersystems 2 eingerichtet sein. Hierbei erfolgt eine Vermittlung über das Basisbetriebssystem
lediglich innerhalb des physischen Computersystems 2. Gemäß Figur 2 erfolgt in jedem Fall eine Verschlüsselung der Daten aus den virtuellen Maschinen VM1 und VM2 auf Ebene des als sicher eingestuften Basisbetriebssystems. Dieser Vorgang ist in Figur 2 mit „Verschlüsselungl" beziehungsweise
„Verschlüsselung2" dargestellt. Die Verschlüsselung kann z.B. durch eine speziell hierfür eingerichtete
Verschlüsselungsschicht bzw. eine speziell eingerichtete Schnittstelle, z.B. einen Pseudo-Device (siehe oben)
erfolgen. Ein zu betreibendes Betriebssystem mit seinen Anwendungsprogrammen in den virtuellen Maschinen VMl
beziehungsweise VM2 hat keinen Einfluss beziehungsweise keinen Zugriff auf diese Verschlüsselung. Idealerweise sind die virtuellen Maschinen VMl beziehungsweise VM2 derart eingerichtet beziehungsweise werden über das
Basisbetriebssystem derart gesteuert, dass die virtuellen Maschinen VMl beziehungsweise VM2 gar keine Informationen darüber erhalten, dass auf der Ebene des Basisbetriebssystems überhaupt verschlüsselt wird. Auf diese Weise werden Daten aus den virtuellen Maschinen VMl und VM2 über das physische Netzwerk N (oder ein dediziertes Speichernetzwerk) nach außerhalb des physischen Computersystems 2 lediglich in verschlüsselter Form kommuniziert. Die Daten können in den physischen Speicherkomponenten beziehungsweise im
Speichersubnetz 5 zusätzlich weiter verschlüsselt werden. Ein Zugriff auf unverschlüsselte Daten aus den virtuellen
Maschinen VMl und VM2 ist jedoch außerhalb des physischen Computersystems 2 nicht möglich. Aufgrund der Tatsache, dass ein Verbindungsaufbau aus dem physischen Netzwerk N auf das physische Computersystem 2 vermittels der Netzwerk-Ports 4 nicht erlaubt ist, ist auch ein Angriff auf innerhalb des physischen Computersystems 2 vorliegende Klardaten (vor einer Verschlüsselung) nur sehr schwer zu erzielen. Insofern ist die Wahrscheinlichkeit eines erfolgreichen Angriffs auf Informationen innerhalb des physischen Computersystems 2 stark reduziert. Zusätzlich wird eine Kommunikation von Daten aus den virtuellen Maschinen VMl beziehungsweise VM2 über das Basisbetriebssystem
beziehungsweise dessen Hypervisor derart gezielt gesteuert, dass eine Kommunikation lediglich innerhalb des
Speichersubnetzes 5 beziehungsweise innerhalb eines
Kommunikationssubnetzes 3 (vgl. Figur 1) erlaubt ist. Somit wird ein Betriebssystem beziehungsweise ein
Anwendungsprogramm, das innerhalb einer virtuellen Maschine VM1 oder VM2 läuft, an einem ungewollten Verbindungsaufbau in das externe physische Netzwerk N gehindert. Auf diese Weise ist zusätzlich auch die erfolgreiche Ausnutzung einer
Backdoor oder sonstigen Sicherheitslücke in einem zu
betreibenden Betriebssystem beziehungsweise einem zu
betreibenden Anwendungsprogramm innerhalb der virtuellen Maschinen VM1 oder VM2 extrem unwahrscheinlich.
Figur 3A zeigt eine schematisierte Darstellung einer
Computernetz-Infrastruktur, umfassend zwei Computersystem- Architekturen la und lb, die jeweils ein physisches
Computersystem 2a beziehungsweise 2b umfassen. Innerhalb einer virtuellen Umgebung des physischen Computersystems 2a laufen zwei virtuelle Maschinen VM1 und VM2. Innerhalb einer virtuellen Umgebung des physischen Computersystems 2b laufen zwei virtuelle Maschinen VM3 und VM4. Die physischen
Computersysteme 2a und 2b sind vermittels entsprechender Netzwerk-Ports 4a und 4b über ein physisches externes
Netzwerk N verbunden. Die physischen Computersysteme 2a und 2b sind insbesondere gemäß den Erläuterungen zu Figur 1 und 2 eingerichtet . Die virtuellen Maschinen VM1, VM2, VM3 und VM4 sind in den jeweiligen virtuellen Umgebungen der physischen
Computersysteme 2a und 2b über diverse virtuelle Netzwerk- Bridges br an zwei Kommunikationssubnetze 3a und 3b
angebunden. Insbesondere sind gemäß Figur 3A die virtuellen Maschinen VM1, VM2 und VM3 über virtuelle Netzwerk-Bridges br innerhalb eines Kommunikationssubnetzes 3a (LAN1) verbunden, während die virtuellen Maschinen VM2 und VM4 über virtuelle Netzwerk-Bridges br innerhalb eines weiteren Kommunikationssubnetzes 3b (LAN2) verbunden sind. Figur 3b stellt eine derartige Topologie als Ersatzschaltbild
vereinfacht dar. Die virtuellen Maschinen VM1 und VM2 kommunizieren über das virtuelle Kommunikationssubnetz 3a lediglich innerhalb des physischen Computersystems 2a, abgesehen von einer etwaigen Verwendung von Protokollen wie Broadcast, Multicast oder von Protokollen mit ähnlichem Verhalten. Eine Kommunikation von VM1 beziehungsweise VM2 zu VM3 und umgekehrt beziehungsweise zwischen VM2 und VM4 und umgekehrt, erfolgt über die Grenzen der physischen Computersysteme 2a beziehungsweise 2b hinweg. Eine Vermittlung einer Kommunikation zwischen den virtuellen Maschinen erfolgt in dieser Hinsicht vermittels des externen physischen Netzwerks N. Hierzu sind ein oder mehrere
verschlüsselte Verbindungen, beispielsweise im folgenden VPN- Verbindungen zwischen den physischen Computersystemen 2a und 2b eingerichtet (siehe Schloss-Symbole der schematisiert dargestellten Verbindungen der Kommunikationssubnetze 3a und 3b zwischen den physischen Computersystemen 2a und 2b) . Über die VPN-Verbindungen werden Daten zwischen den physischen Computersystemen 2a und 2b in verschlüsselter Form über das Netzwerk N übertragen und vermitteln eine Kommunikation zwischen den virtuellen Maschinen. Genauer gesagt wird eine Kommunikation zwischen den virtuellen Maschinen innerhalb der virtuellen Kommunikationssubnetze 3a und 3b vermittels der Basisbetriebssysteme beziehungsweise deren Hypervisors auf den physischen Computersystemen 2a und 2b umgesetzt in einen physischen Transport innerhalb der VPN-Verbindungen entlang des Netzwerks N. Auf diese Weise können die virtuellen
Maschinen VM1 bis VM4 innerhalb entsprechend aufgebauter Kommunikationssubnetze 3a und 3b miteinander kommunizieren. Für eine Vermittlung einer entsprechenden Kommunikation über das Netzwerk N sind die Netzwerk-Ports 4a und 4b der
physischen Computersysteme 2a und 2b entsprechend
eingerichtet. Zwar sind die Netzwerk-Ports 4a und 4b für Verbindungsanfragen aus dem Netzwerk N von außerhalb der physischen Computersysteme 2a und 2b entsprechend blockiert (wie oben erläutert) . Dies gilt jedoch für
Verbindungsanfragen, die unabhängig von einer Kommunikation vermittels der virtuellen Kommunikationssubnetze 3a und 3b sind. Das bedeutet, dass die Netzwerk-Ports 4a und 4b dennoch speziell eingerichtete VPN-Verbindungen zwischen den
physischen Computersystemen 2a und 2b erlauben. Hierzu sind in den physischen Computersystemen 2a und 2b entsprechende VPN-Dienste eingerichtet, so dass ein Verbindungsaufbau über VPN-Verbindungen zwischen den physischen Computersystemen 2a und 2b möglich ist. Andere Verbindungsversuche von außerhalb der physischen Computersysteme 2a und 2b über das Netzwerk N werden jedoch an den Netzwerk-Ports 4a beziehungsweise 4b ignoriert, blockiert oder verworfen. Eine Implementierung erfolgt vorteilhaft über entsprechende Firewall-Regeln oder sonstige Konfigurationen mit vergleichbarem Resultat
innerhalb der physischen Computersysteme 2a und 2b.
Auf diese Weise ist eine Computernetz-Infrastruktur zwischen den physischen Computersystemen 2a und 2b eingerichtet, wobei virtuelle Maschinen VM1 bis VM4 über zwei virtuelle
Kommunikationssubnetze 3a und 3b (vergleiche die
Kennzeichnungen LAN1 und LAN2 in Figur 3B) kommunizieren können. Sämtliche virtuellen Maschinen VM1 bis VM4 sind sicherheitstechnisch eingekapselt entsprechend den
Erläuterungen zu Figuren 1 und 2. Gleichzeitig sind die physische Computersysteme 2a und 2b gemäß den obigen
Erläuterungen gegen Angriffe aus dem physischen externen Netzwerk N an den Netzwerk-Ports 4a und 4b abgesichert. Durch eine derartige Topologie einer Computernetz-Infrastruktur ist eine komplexe Netzwerk-Topologie zur Realisierung
anwendungsspezifischer Funktionalitäten ermöglicht. Auf diese Weise können virtualisierte Serverstrukturen und komplexe
Dienste über die virtuellen Maschinen VM1 bis VM4 abgebildet werden, wobei eine Kommunikation über gebridgte
Kommunikationssubnetze 3a und 3b erfolgt. Entscheidend ist, dass ein Verbindungsaufbau von den
einzelnen virtuellen Maschinen VM1 bis VM4 direkt in das physische externe Netzwerk N unterdrückt bzw. erst gar nicht „geschaltet" oder „verdrahtet" wird. Insofern können die virtuellen Maschinen VM1 bis VM4 keine Verbindung in einen öffentlichen IP-Adressraum durchführen. Die virtuellen
Maschinen VM1 bis VM4 besitzen hierzu keine Schnittstelle (Interface) in das externe physische Netzwerk N. Die
virtuellen Maschinen VM1 bis VM4 sehen sich lediglich
gegenseitig als entsprechende Rechnerkomponenten innerhalb der virtuellen Kommunikationssubnetze 3a und 3b und können sich gegenseitig ansprechen und erreichen. Eine entsprechende Vermittlung einer Kommunikation erfolgt, wie erläutert, über VPN-Verbindungen der physischen Computersysteme 2a und 2b entlang des Netzwerks N. Die VPN-Verbindungen werden über die jeweiligen Basisbetriebssysteme beziehungsweise deren
Hypervisor gesteuert. Eine Auswirkung eines Fehlers oder einer Sicherheitslücke eines Systems innerhalb einer oder mehreren virtuellen Maschinen VM1 bis VM4 beschränkt sich lediglich auf die virtuellen Kommunikationssubnetze 3a und 3b und ist gewissermaßen innerhalb der Kommunikationssubnetze 3a und 3b eingeschlossen. Insofern ist es den virtuellen
Maschinen VM1 bis VM4 nicht möglich, Daten in einer lesbaren Form über ungewollte Netzwerk-Verbindungen zu einem unbefugten Dritt-Computersystem über das Netzwerk N zu übertragen. Zudem ist über entsprechend konfigurierte
Netzwerk-Ports 4a und 4b der physischen Computersysteme 2a und 2b ein Angriff aus dem Netzwerk N auf die physischen Computersysteme 2a und 2b extrem erschwert.
Figur 3C zeigt eine schematisierte Darstellung von
Komponenten einer Computernetz-Infrastruktur zur
Veranschaulichung einer weiteren Funktionalität. Die
Computernetz-Infrastruktur gemäß Figur 3C zeigt eine
Computersystem-Architektur 1, umfassend ein physisches
Computersystem 2 und zwei virtuelle Maschinen VM1 und VM2. Über Netzwerk-Ports 4 ist das physische Computersystem 2 mit einem externen physischen Netzwerk N verbunden. Ferner sind ein Administrations-Computersystem 7 sowie ein Vermittlungs- Computersystem 8 mit dem Netzwerk N verbunden. Sowohl die Netzwerk-Ports 4 des physischen Computersystems 2 als auch die Netzwerk-Ports 14 des Administrations-Computersystems 7 sind derart eingerichtet, dass ein Verbindungsaufbau aus dem Netzwerk N auf das physische Computersystem 2 beziehungsweise das Administrations-Computersystem 7 unterbunden wird. Es ist daher nicht ohne weiteres möglich, über ein externes
Computersystem (nicht dargestellt) vermittels des Netzwerks N und den Netzwerk-Ports 4 einen administrativen Zugang zu den virtuellen Maschinen VM1 und VM2 innerhalb des physischen
Computersystems 2 zu erlangen. Umgekehrt haben die virtuellen Maschinen VM1 und VM2, wie oben erläutert, keine
Schnittstelle in das physische Netzwerk N. Auch ein
Verbindungsaufruf aus den virtuellen Maschinen VM1 und VM2 über deren Konsolen es in das Basisbetriebssystem des physischen Computersystems 2 wird durch Firewall-Regeln des Basisbetriebssystems beziehungsweise durch eine Steuerung der Konsolen es vermittels eines Hypervisors des Basisbetriebssystems unterdrückt. Damit jedoch ein administrativer Zugang beziehungsweise eine Steuerung der virtuellen Umgebung, insbesondere der virtuellen Maschinen VM1 und VM2, innerhalb des physischen Computersystems 2 gewährleistet ist, kann folgender Prozess durchgeführt werden .
Über das Administrations-Computersystem 7 kann eine
Verbindung zum Vermittlungs-Computersystem 8 aufgebaut werden. Hierzu weist das Vermittlungs-Computersystem 8, im Gegensatz zum Administrations-Computersystem 7
beziehungsweise zum physischen Computersystem 2, wenigstens einen ansprechbaren, offenen Netzwerk-Port 24 auf. Auf diese Weise kann das Administrations-Computersystem 7 eine
Verbindung zum Vermittlungs-Computersystem 8 aufbauen und im Vermittlungs-Computersystem 8 ein oder mehrere Daten-Pakete mit Steuerdaten ablegen. Daraufhin kann das physische
Computersystem 2 über das Netzwerk N eine Verbindung zum Vermittlungs-Computersystem 8 aufbauen, um die dort
abgelegten Daten-Pakete des Administrations-Computersystems zu sich zu übertragen. Auf diese Weise können Steuerdaten auf das physische Computersystem 2 transferiert werden, ohne dass eine Verbindung aktiv von außen über das Netzwerk N auf das physische Computersystem 2 aufgebaut wird, was herkömmlich eine typische Angriffsmöglichkeit von außen darstellen würde.
Die auf das physische Computersystem 2 entsprechend
transferierten Daten-Pakete können im Basisbetriebssystem des physischen Computersystems 2 weiter verarbeitet werden.
Beispielsweise kann ein bestimmter Task durchgeführt werden, so dass das Basisbetriebssystem anhand der übertragenen
Daten-Pakete einen gesteuerten Zugriff auf die virtuelle Umgebung, genauer auf die virtuellen Maschinen VM1 Betriebszustand VM2, durchführt. Dies ist durch eine
spezielle Instanz 6 des Basisbetriebssystems durchführbar. Beispielsweise erfolgt durch die Instanz 6 des
Basisbetriebssystems ein Verbindungsaufbau zur Konsole es oder einer anderen hierfür verwendeten Schnittstelle einer virtuellen Maschine VM1 und VM2, wobei eine entsprechende Steuerung der virtuellen Maschinen VM1 und VM2 über
Steuerdaten durchgeführt werden kann. Es ist jedoch auch denkbar, dass über die Konsole es einer virtuellen Maschine VM1 und VM2 entsprechende Steuerdaten, Skripte oder Programme in die virtuelle Maschine VM1 oder VM2 eingespielt werden, so dass ein in der virtuellen Maschine VM1 beziehungsweise VM2 laufendes Betriebssystem die entsprechenden Steuerdaten, Skripte oder Programme ausführen kann, so dass quasi eine Fernsteuerung der virtuellen Maschinen VM1 und VM2 erzielt wird. Auf diese Weise ist ein gesicherter administrativer Zugang mittelbar vom Administrations-Computersystem 7 über das Vermittlungs-Computersystem 8 zum physischen
Computersystem 2 bzw. in die virtuelle Umgebung auf dem physischen Computersystem 2 ermöglicht. Sämtliche Prozesse können über entsprechende Signaturen innerhalb des
Administrations-Computersystems 7, des Vermittlungs- Computersystems 8 beziehungsweise des physischen
Computersystems 2 abgesichert werden. Vorteilhaft erfolgt eine Kommunikation über das Netzwerk N ausschließlich in verschlüsselter Form.
Es ist alternativ oder ergänzend auch denkbar, über ein entsprechendes Skript, beziehungsweise entsprechende
Steuerdaten, einen Zugriff auf die virtuellen Maschinen VM1 oder VM2 vermittels des Basisbetriebssystems freizuschalten. Hierbei könnte das Basisbetriebssystem derart steuernd auf die virtuellen Maschinen VM1 beziehungsweise VM2 zugreifen, dass beispielsweise ein Port-Forwarding oder ein Tunnel im Basisbetriebssystem zur gewünschten virtuellen Maschine VM1 oder VM2 freigeschaltet werden. Dies stellt einen aus
sicherheitstechnischer Sicht hochspeziellen Einzelfall dar, wobei eine virtuelle Maschine VM1 beziehungsweise VM2 einen selektiv geöffneten Netzwerk-Port nach außen in das Netzwerk N zur Verfügung stellt, so dass ein selektiver Zugriff auf die virtuelle Maschine VM1 oder VM2 ermöglicht ist. Dies sollte jedoch durch spezielle Sicherheitsmechanismen, wie z. B. temporäres Freischalten, Überprüfen entsprechender
Sicherheitsskripte beziehungsweise entsprechender
Authentifizierungspakete, Überprüfen einer Übereinstimmung von Authentifizierungsmechanismen, Quell-Ports, Ziel-Ports, usw. abgesichert sein. Ebenfalls ist in diesem Zusammenhang denkbar, ein Mehr-Augen-Prinzip eines Sicherheitspersonals vorzusehen .
Figur 4 zeigt eine schematisierte Darstellung einer
kombinierten Übersicht über die gemäß den Figuren 1 bis 3C dargestellten Funktionalitäten innerhalb einer Computernetz- Infrastruktur, die über mehrere Computersystem-Architekturen la beziehungsweise lb aufgebaut ist. Eine Vermittlung einer Kommunikation zwischen den einzelnen Computersystemen erfolgt gemäß der Konfiguration in Figur 4 über die physischen
Netzwerke Nl und N2. Diese können getrennte Netzwerke, aber auch alternativ Teile eines Gesamt-Netzwerks oder ein Gesamt- Netzwerk an sich sein.
Figur 4 macht die Komplexität einer Implementierung einer entsprechenden Computernetz-Infrastruktur deutlich. Ein wesentlicher Vorteil einer derartigen Infrastruktur im
Vergleich zu herkömmlichen Lösungen besteht, wie oben
mehrfach erläutert, darin, dass aufgrund einer Virtualisierung von Betriebssystemen beziehungsweise
Anwendungsprogrammen innerhalb von virtuellen Maschinen VMl bis VM4 eine Einkapselung möglicher schadhafter Programme innerhalb der virtuellen Umgebungen der physischen
Computersysteme 2a und 2b erreicht wird. Die virtuellen
Maschinen VMl bis VM4 können keine Verbindung in die externen Netzwerke Nl beziehungsweise N2 aufbauen. Gleichzeitig sind die physischen Computersysteme 2a und 2b durch ihre Netzwerk- Ports 4a und 4b gegen einen Angriff aus den Netzwerken Nl und N2 abgesichert.
Die innerhalb der virtuellen Maschinen VMl bis VM4 laufenden Betriebssysteme oder Anwendungsprogramme müssen auf diese Weise nicht über spezielle Firewall-Regeln nach außen zu den physischen Netzwerken Nl und N2 abgesichert werden. Eine entsprechende Sicherheitsblockade ergibt sich rein durch die Virtualisierung innerhalb der physischen Computersysteme 2a und 2b. Durch eine derartige Virtualisierung ist ein
Verbindungsaufbau aus den virtuellen Maschinen VMl bis VM4 in das physische Netz Nl beziehungsweise N2 nicht vorgesehen. Somit entfällt eine Anpassung und Administration einer komplexen Firewall-Architektur für N Anwendungsprogramme auf m-physischen Computersystemen innerhalb einer entsprechenden Computernetz-Infrastruktur. Durch eine sicherheitstechnische Einkapselung der in den virtuellen Maschinen laufenden
Betriebssysteme nach außen, kombiniert mit einer Abschottung der physischen Computersysteme hin zu den externen physischen Netzen Nl und N2 gegen einen Angriff aus den Netzen Nl und N2, wird eine besonders hohe Sicherheit der Computernetz- Infrastruktur erzielt. Dennoch ist eine einfach
Administration einer entsprechenden Computernetz- Infrastruktur ermöglicht. Zudem können über die virtuellen Maschinen und deren Kommunikationsmöglichkeiten über gebridgte Kommunikationssubnetze 3a und 3b (siehe beispielhaft in Figur 4) komplette anwendungsspezifische Funktionalitäten implementiert werden. Gemäß Figur 4 sind die physischen Computersysteme 2a und 2b zudem zusätzlich in Hochsicherheitsracks 9a und 9b gegen physische Manipulationen abgesichert. Auch hierdurch ergeben sich weitere Sicherheitsvorteile. Eine Kommunikation zwischen den physischen Computersystemen 2a und 2b zur Vermittlung einer Kommunikation zwischen den virtuellen Maschinen VM1 bis VM4 erfolgt ausschließlich über verschlüsselte VPN-Verbindungen, wie oben erläutert. Daten aus den virtuellen Maschinen VM1 bis VM4 können über
entsprechende Speichersubnetze 5 in virtuellen ansprechbaren Speicherkomponenten LI bis L4 gespeichert werden. Eine
Administration der entsprechenden Computersystem- Architekturen la und lb erfolgt über ein Administrations¬ computersystem 7 unter Zuhilfenahme eines Vermittlungs- Computersystems 8 gemäß den Erläuterungen zu Figur 3C.
Figur 5A zeigt eine Computernetz-Infrastruktur, die analog zu der aus Figur 4 aufgebaut ist, mit dem Unterschied, dass in der Computernetz-Infrastruktur gemäß Figur 5A lediglich drei virtuelle Maschinen eingesetzt werden. Zwei virtuelle
Maschinen VM1 und VM2 sind auf dem physischen Computersystem 2a eingerichtet, wobei eine virtuelle Maschine VM4 auf dem physischen Computersystem 2b eingerichtet ist. Figur 5A zeigt eine erste Konfiguration der Computernetz-Infrastruktur.
Beispielhaft soll nun die virtuelle Maschine VM2 auf dem physischen Computersystem 2a auf das physische Computersystem 2b umgezogen werden. Ein Umzug kann dabei über die Maßnahmen eines administrativen Zugangs zu den virtuellen Maschinen z.B. vermittels des Administrations-Computersystems 7 und eines Vermittlungs-Computersystems 8 wie oben insbesondere zu Figur 3C erläutert gesteuert werden. Für den Umzug der virtuellen Maschine VM2 kann das in der VM2 laufende
Betriebssystem heruntergefahren werden oder es kann eine Live-Migration der VM2 durchgeführt werden. Alle notwendigen Schritte können über Steuerdaten gesteuert werden, die vermittels des Administrations-Computersystems 7 initiiert und vermittels des Vermittlungs-Computersystems 8 auf das physische Computersystem 2a oder das physische Computersystem 2b (beziehungsweise in deren Basisbetriebssysteme)
beziehungsweise schließlich in die virtuelle Maschine VM2 transportiert und an entsprechender Stelle, d. h. in dem Basisbetriebssystem des physischen Computersystems 2a
und/oder im Basisbetriebssystem des physischen
Computersystems 2b beziehungsweise in der virtuellen Maschine VM2, verarbeitet werden können. Über derartige Steuerdaten wird unter anderem eine Verschlüsselung auf Ebene des
Basisbetriebssystems im physischen Computersystem 2b
etabliert, um die virtuelle Maschine VM2 nach Umzug auf das physische Computersystem 2b über ein entsprechendes
Speichersubnetz 5 wiederum an Speicherkomponenten anbinden zu können .
Für einen Umzug der virtuellen Maschine VM2 muss ferner auf dem physischen Computersystem 2b eine Anbindung an ein entsprechendes Kommunikationssubnetz 3a oder 3b eingerichtet sein. Hierzu ist insbesondere eine virtuelle Netzwerk-Bridge br zur Anbindung der virtuellen Maschine VM2 nach deren Umzug in die virtuelle Umgebung des physischen Computersystems 2b erforderlich. Das oder die Kommunikationssubnetze 3a oder 3b, an die die virtuelle Maschine VM2 auf dem physischen Computersystem 2b angebunden werden soll, können entweder dynamisch zugeordnet werden (on demand) oder schon statisch in der virtuellen Umgebung auf dem physischen Computersystem 2b vorkonfiguriert sein. Eine entsprechende Vermittlung einer Kommunikation aus der virtuellen Umgebung des physischen Computersystems 2b über das Basisbetriebssystem in ein physisches externes Netzwerk (vgl. Nl beziehungsweise N2) ist über das Basisbetriebssystem des physischen Computersystems 2b ebenfalls entsprechend anzupassen.
Bei einem Umzug über eine Live-Migration ist eine vorteilhaft verschlüsselte Netzwerk-Verbindung zwischen den beiden beteiligten Basisbetriebssystemen auf den physischen
Computersystemen 2a und 2b zur Übertragung der Daten
notwendig. Der Datentransfer für eine Live-Migration kann dabei entweder über bestehende verschlüsselte Verbindungen (z. B. VPN-Verbindungen zwischen den beteiligten physischen Computersystemen 2a und 2b) realisiert werden oder alternativ innerhalb von hierzu speziell eingerichteten exklusiven
Verbindungen erfolgen. Eine speziell für eine Live-Migration eingerichtete Verbindung ist in Figur 5A als zusätzliche gebridgte Netzwerk-Verbindung zwischen den beiden physischen Computersystemen 2a und 2b abgebildet (vgl. die
schematisierte Darstellung der untersten verschlüsselten Verbindung zwischen den beiden Systemen) . Netzwerk-Ports 4a und 4b können für eine speziell eingerichtete Verbindung zur Live-Migration temporär freigeschaltet werden.
Ferner müssen gegebenenfalls benötigte Speicherkomponenten über das Basisbetriebssystem auf dem physischen
Computersystem 2b verfügbar gemacht und über eine
entsprechende Verschlüsselung im Basisbetriebssystem an die virtuelle Umgebung, insbesondere an die virtuelle Maschine VM2 angebunden werden.
Ein Ansprechen der virtuellen Maschine VM2 erfolgt vor dem Umzug durch entsprechende Steuerdaten beziehungsweise Daten- Pakete, die einen gesteuerten Aufruf aus dem
Basisbetriebssystem hin zur virtuellen Maschine VM2
beinhalten. Die Daten-Pakete werden vom Administrations¬ computersystem 7 auf das Vermittlungs-Computersystem 8 transferiert. Anschließend wird eine Verbindung vom
physischen Computersystem 2a auf das Vermittlungs- Computersystem 8 aufgebaut, so dass die Daten-Pakete auf das physische Computersystem 2a transferiert werden können.
Vermittels des Basisbetriebssystems können die Routing- Informationen in den Daten-Paketen verarbeitet werden und die virtuelle Maschine VM2 über deren Konsolenschnittstelle es angesprochen werden.
Wie in Figur 5A gekennzeichnet, können die virtuellen
Maschinen über IP-Adressen (VM-IP) angesprochen werden. Der virtuellen Maschine VM1 ist die IP-Adresse VMlphys
zugeordnet. Entsprechendes gilt für die virtuellen Maschinen VM2 und VM4, denen die IP-Adressen VM2phys beziehungsweise VM4phys zugeordnet sind. Auf diese Weise ist der Aufbau einer Kommunikation hin zu den virtuellen Maschinen möglich.
Gemäß Figur 5A kann die virtuelle Maschine VM2 nach
Etablieren und Bereitstellen sämtlicher notwendiger
Komponenten gemäß den obigen Erläuterungen über eine hierfür speziell eingerichtete Verbindung (vgl. Figur 5A) vom
physischen Computersystem 2a in die virtuelle Umgebung auf dem physischen Computersystem 2b transferiert werden. Dies geschieht in der Topologie gemäß Figur 5A per Live-Migration . Figur 5B zeigt schließlich die entsprechende Konfiguration der Computernetz-Infrastruktur nach einem Umzug der
virtuellen Maschine VM2 in das physische Computersystem 2b. Die virtuelle Maschine VM2 ist über mehrere virtuelle
Netzwerk-Bridges br sowohl an das Kommunikationssubnetz 3a als auch an das Kommunikationssubnetz 3b angebunden. Über das Basisbetriebssystem ist eine Verschlüsselung von Daten aus der virtuellen Maschine VM2 in das Speichersubnetz 5 auf Speicherkomponenten L2 eingerichtet. Ergänzend ist
vorteilhaft auch eine Verschlüsselung sonstiger Daten aus der virtuellen Maschine VM2 durch das Basisbetriebssystem des physischen Computersystems 2b realisiert, welche innerhalb der virtuellen Kommunikationssubnetze 3a und 3b zu anderen virtuellen Maschinen hin ausgetauscht werden und auf
physischer Ebene über das externe Netzwerk Nl beziehungsweise N2 vermittelt werden. Eine derartige Verschlüsselung von Daten kann über das Basisbetriebssystem des physischen
Computersystems 2b durch VPN-Verbindungen zu anderen
physischen Computersystemen (in Figur 5B das physische
Computersystem 2a) erfolgen.
Ein Ansprechen der virtuellen Maschine VM2 erfolgt nach dem Umzug auf das physische Computersystem 2b ebenfalls über Daten-Pakete, die Routing-Informationen enthalten. Derartige Daten-Pakete können, wie oben erläutert, über das
Administrations-Computersystem 7 vermittels des Vermittlungs- Computersystems 8 auf das physische Computersystem 2b
übertragen werden, wobei das Basisbetriebssystem über
entsprechende Routing-Informationen die virtuelle Maschine VM2 ansprechen kann. Damit die virtuelle Maschine VM2 durch ein Routing ausgehend vom Administrations-Computersystem 7 auch auf dem physischen Computersystem 2b erreichbar ist, muss gemäß einer
Möglichkeit das Routing ausgehend vom Administrations- Computersystem 7 geändert werden, das heißt, die
ursprüngliche Ziel-IP-Adresse (Host-IP) der Schnittstelle des physischen Computersystems 2a in die Ziel-IP-Adresse (Host- IP) der Schnittstelle des physischen Computersystems 2b geändert werden beziehungsweise die ursprüngliche IP-Adresse (VM2phys) der virtuellen Maschine VM2 im physischen
Computersystem 2a durch eine IP-Adresse (VM2phys) der
virtuellen Maschine VM2 im physischen Computersystem 2b ersetzt werden, falls sich die Netzwerk-Identität (VM2phys) der virtuellen Maschine VM2 in der neuen virtuellen Umgebung auf dem physischen Computersystem 2b geändert hat.
Eine andere, komfortablere Möglichkeit besteht darin, eine Ansprechbarkeit der physischen Computersysteme 2a und 2b beziehungsweise der virtuellen Maschine VM2 über ein so genanntes IP-Aliasing einzurichten. In einem Routing können dann eine oder mehrere Alias-IP-Adressen verwendet werden, die während des Umzuges der virtuellen Maschine VM2 vom physischen Computersystem 2a auf das physische Computersystem 2b mittransferiert und dort der oder den Netzwerk- Schnittstellen entsprechend zugeordnet werden. Der Vorteil dabei ist, dass ein Routing vom Administrations- Computersystem 7 aus nicht umgeändert werden muss, sondern weiterhin Alias-IP-Adressen als Ziel berücksichtigt werden können, wobei eine Zuordnung der Alias-IP-Adressen zu den tatsächlichen Endpunkten (physisches Computersystem 2b beziehungsweise virtuelle Maschine VM2 im physischen
Computersystem 2b gemäß Figur 5B) erfolgt. Auf diese Weise ist es einfach und komfortabel möglich, virtuelle Maschinen zwischen physischen Computersystemen innerhalb der aufgezeigten Computernetz-Infrastruktur zu migrieren .
Figur 6A zeigt eine weitere Ausführungsform einer
Computernetz-Infrastruktur, umfassend zwei physische
Computersysteme 2a und 2b, die über physische Netzwerke Nl und N2 verbunden sind. Ferner ist ein Administrations- Computersystem 7 sowie ein Vermittlungs-Computersystem 8 im Netzwerk Nl vorgesehen. Die Netzwerke Nl und N2 können getrennte Netzwerke oder Bestandteile eines Netzwerks sein. Insofern entspricht die Computernetz-Infrastruktur im
Wesentlichen dem Aufbau gemäß der Ausführungsform in Figur 4. Allerdings ist die Topologie der virtuellen Maschinen im
Vergleich zur Infrastruktur gemäß Figur 4 unterschiedlich.
In der Ausführungsform gemäß Figur 6A sind die virtuellen Maschinen speziell als Webserver, Anwendungsserver
beziehungsweise Datenbankserver eingerichtet. Zwei virtuelle Maschinen webl und web2 stellen Webserver-Funktionalitäten bereit, webl ist auf dem physischen Computersystem 2a
installiert und web2 auf dem physischen Computersystem 2b. Die beiden virtualisierten Webserver webl und web2 können über ein Kommunikationssubnetz 3c entsprechend den oben erläuterten Maßnahmen kommunizieren. Die beiden Webserver webl und web2 können aus dem externen Netzwerk, z.B. aus dem Netzwerk N2, von außen direkt (unmittelbar) ansprechbar sein, z.B. über von den physischen Computersystemen 2a und 2b unabhängige IP-Adressen. Auf diese Weise stellen diese von extern erreichbare virtuelle Webserver da. Dennoch ist eine Verbindung aus dem externen Netzwerk (Nl oder N2) auf die physischen Computersysteme 2a und 2b über die Netzwerk-Ports 4a und 4b geblockt, wie oben bereits zu Figur 1 erläutert. Ferner sind zwei virtualisierte Anwendungsserver appl und app2 auf den physischen Computersystemen 2a beziehungsweise 2b installiert, die miteinander beziehungsweise mit den
Webservern webl und web2 über ein zweites
Kommunikationssubnetz 3b kommunizieren. Schließlich sind auch zwei virtualisierte Datenbankserver dbl und db2 auf dem physischen Computersystem 2a beziehungsweise dem physischen Computersystem 2b installiert, die untereinander und mit den Anwendungsservern appl und app2 über ein drittes
Kommunikationssubnetz 3a kommunizieren. Bevorzugt sind weder die Anwendungsserver appl und app2 noch die Datenbankserver dbl und db2 an das externe Netzwerk (Nl oder N2) angebunden. Auf diese Weise kann über eine derartige Computernetz- Infrastruktur eine komplexe virtualisierte Netzwerk- Funktionalität realisiert werden. Die beiden physischen
Computersysteme 2a und 2b fungieren gewissermaßen als Host- Server zur Bereitstellung der dargestellten Netzwerk-Dienste, welche jedoch, abgesehen von einem etwaigen Zugriff von extern auf die Webserver webl und web2 - wie oben erläutert, vollständig eingekapselt über separate Kommunikationssubnetze 3a bis 3c kommunizieren können. Die über die
Kommunikationssubnetze 3a bis 3c ausgetauschten Daten werden über die physischen Netzwerke Nl beziehungsweise N2
ausschließlich in verschlüsselter Form mittels VPN- Verbindungen vermittelt. Verbindungsversuche aus den externen Netzwerken Nl und N2 unmittelbar auf die physischen Host- Server 2a und 2b, die von einer Vermittlung der
Kommunikationen zwischen den virtualisierten Systemen
unabhängig sind, werden an den Netzwerk-Ports 4a
beziehungsweise 4b der physischen Host-Server 2a und 2b unterbunden. Auf diese Weise sind die Host-Server 2a und 2b zu den Netzwerken Nl und N2 hin ebenfalls abgeschottet.
Bezüglich der virtualisierten Anwendungen können auf der Ebene des Basisbetriebssystems bzw. Hypervisors für die einzelnen virtuellen Maschinen gezielt Sicherheitsregeln, d. h. Firewall-Regeln FW vergeben werden. Auf diese Weise ist eine feine Granularität von Sicherheitseinstellungen zwischen den verschiedenen Anwendungen möglich. Somit können für jedes Kommunikationssubnetz separate Sicherheitsregeln eingestellt werden, die vorteilhaft unabhängig von anderen
Sicherheitsregeln sein können. Insbesondere ist es nicht notwendig, die virtualisierten Anwendungen nach außen hin über Firewalls speziell abzusichern. Eine Sicherheitsbarriere in die Netzwerke Nl und N2 ist durch die Virtualisierung gegeben, wobei die Hypervisor auf den Host-Servern 2a und 2b einen Verbindungsaufbau aus den virtuellen Maschinen in die Netzwerke Nl beziehungsweise N2 blockieren. Auf diese Weise ist die Computernetz-Infrastruktur gemäß Figur 6A sehr strukturiert und flexibel in der Implementierung und
Anpassung an bestimmte anwendungsspezifische Funktionalitäten und bietet dennoch eine einfache Administration aus Sicht einer Systemsicherheit. Ein Ersatzschaltbild der Topologie gemäß Figur 6A ist in Figur 6B dargestellt. Hierin sind die einzelnen
Kommunikationssubnetze mit LAN0 bis LAN2 bezeichnet.
Figur 7A zeigt die Topologie gemäß Figur 6A in einer
vereinfachten Darstellung. Hierbei sind die einzelnen
virtuellen Maschinen auf den physischen Host-Servern 2a und 2b als virtuelle Strukturen VMStruct. zusammengefasst und kommunizieren zwischen den physischen Host-Servern 2a und 2b über gebridgte Kommunikationssubnetze 31. Figur 7B zeigt eine erweiterte Ausführungsform einer Computernetz-Infrastruktur der erläuterten Art. Dabei sind drei physische Host-Server 2a, 2b und 2c eingerichtet, welche entsprechende
Computersystem-Architekturen la mit verschiedenen virtuellen Strukturen umfassen. Eine erste virtuelle Struktur VM- Struct.l ist auf den physischen Host-Servern 2a und 2b eingerichtet und kommuniziert über ein oder mehrere
Kommunikationssubnetze 31. Eine zweite virtuelle Struktur VM- Struct.2 ist auf den physischen Host-Servern 2b und 2c eingerichtet und kommuniziert über ein oder mehrere
Kommunikationssubnetze 32. Eine dritte Struktur VM-Struct.3 ist auf den drei physischen Host-Servern 2a, 2b und 2c eingerichtet und kommuniziert über ein oder mehrere virtuelle Kommunikationssubnetze 33. Die Computernetz-Infrastruktur gemäß Figur 7B verdeutlicht eine flexible Erweiterbarkeit virtualisierter Teilnetze in den erläuterten Computersystem- Architekturen, so dass sehr komplexe Anwendungsszenarien trotz einer sehr hohen Sicherheit der Computernetz- Infrastruktur realisierbar sind.
Figur 7C zeigt eine Topologie von VPN-Verbindungen zwischen den einzelnen physischen Host-Servern 2a, 2b und 2c, die gemäß der Infrastruktur aus Figur 7B eingerichtet sein können. Zwischen jeweils zwei physischen Host-Servern sind jeweils zwei VPN-Verbindungen eingerichtet. Die VPN- Verbindungen dienen zur Vermittlung der Kommunikationen entlang der einzelnen Kommunikationssubnetze (vgl. 31, 32 und 33 gemäß Figur 7B) . In Figur 7C ist jeweils eine erste VPN- Verbindung 13a und eine zweite VPN-Verbindung 13b zwischen jeweils zwei Host-Servern eingerichtet. Der physische Host- Server 2a stellt auf der ersten VPN-Verbindung zum physischen Host-Server 2b hin einen VPN-Dienst 12a zur Verfügung. Umgekehrt stellt der physische Host-Server 2b auf der zweiten VPN-Verbindung 13b hin zum physischen Host-Server 2a einen VPN-Dienst 12b zur Verfügung. 12a und 12b können
beispielsweise so genannte VPN-Daemons sein. Über die VPN- Daemons 12a und 12b können zwischen den beiden physischen Host-Servern 2a und 2b die beiden VPN-Verbindungen 13a und 13b hergestellt werden. Eine analoge Topologie ist jeweils zwischen den beiden physischen Host-Servern 2a und 2c
beziehungsweise 2b und 2c eingerichtet. Jeder der physischen Host-Server stellt jeweils einen VPN-Dienst zur Verfügung, auf den von außen zugegriffen werden kann, um eine VPN- Verbindung zu etablieren. Auf diese Weise sind zwei
redundante VPN-Verbindungen zwischen jeweils zwei physischen Host-Servern realisiert. Fällt beispielsweise ein VPN-Dienst auf einem physischen Host-Server aus, so kann weiterhin die andere VPN-Verbindung zwischen beteiligten physischen Host- Servern herangezogen werden. Es ist natürlich denkbar, mehr (oder auch weniger) als zwei VPN-Verbindungen zwischen jeweils zwei physischen Host-Servern bereitzustellen.
Sämtliche VPN-Verbindungen zwischen den einzelnen physischen Systemen können als gebondete, aggregierte Verbindungen eingerichtet sein. Auf diese Weise ist eine hoch verfügbare VPN-Verbindung zwischen den einzelnen physischen Host-Servern einer Computernetz-Infrastruktur der erläuterten Art
realisierbar.
Figur 8 zeigt eine weitere Ausführungsform einer
Computernetz-Infrastruktur, welche gemäß einer Systematik der Ausführungsform gemäß Figur 7B eingerichtet ist. Allerdings ist in der Topologie gemäß Figur 8 zwischen zwei
Sicherheitszonen Zone 1 und Zone 2 unterschieden. In jeder Zone befinden sich Computersystem-Architekturen mit
physischen Host-Servern, auf denen virtuelle Strukturen zur Realisierung virtueller anwendungsspezifischer
Funktionalitäten eingerichtet sind. Zwischen verschiedenen physischen Host-Servern kommunizieren die virtuellen
Strukturen über entsprechend eingerichtete virtuelle
Kommunikationssubnetze. Die Verwendung von unterschiedlichen physischen Host-Servern kann beispielsweise dazu dienen, die Sicherheitszonen Zone 1 und Zone 2, die z.B.
unterschiedlichen Kunden eines Rechenzentrums zur Verfügung gestellt werden können, durch getrennte Hardware abzubilden.
In Zone 1 sind drei physische Host-Server 2a, 2b und 2c eingerichtet, wobei eine erste virtuelle Struktur VM-Struct.l auf den physischen Host-Servern 2a und 2b implementiert ist und über virtuelle Kommunikationssubnetze 31 kommuniziert. Ferner ist in Zone 1 eine virtuelle Struktur VM-Struct.2 eingerichtet, die auf den drei physischen Host-Servern 2a, 2b und 2c implementiert ist und über virtuelle
Kommunikationssubnetze 32 verbunden ist. In Zone 2 sind ebenfalls drei physische Host-Server 2d, 2e und 2f eingerichtet mit zwei virtuellen Strukturen VM- Struct.3 zwischen den physischen Host-Servern 2e und 2f und VM-Struct.4 zwischen allen drei physischen Host-Servern 2d, 2e und 2f. Die virtuelle Struktur VM-Struct.3 kommuniziert über virtuelle Kommunikationssubnetze 33, während die
virtuelle Struktur VM-Struct.4 über virtuelle
Kommunikationssubnetze 34 kommuniziert.
Damit die verschiedenen virtuellen Strukturen ggf. von extern, also beispielsweise über das Internet oder ein
Intranet (wenn gewünscht und eingerichtet, vgl. Erläuterungen zu Figur 6A) erreichbar sind, ist ein Forwarding 11 (ggf. mit IP-Adressumsetzung, sogenannte Network-Adress-Translation, AT) oder ein Routing auf die Schnittpunkte (z.B. Webserver, vgl. Figur 6A) der einzelnen Kommunikationssubnetze 31, 32, 33 und 34 eingerichtet. Das Forwarding 11 kann beispielsweise über einen oder mehrere virtualisierte Router innerhalb der virtuellen Umgebungen der physischen Host-Server 2a bis 2f eingerichtet sein. Es ist auch denkbar, ein entsprechendes Forwarding über ein oder mehrere Basisbetriebssysteme der physischen Host-Server 2a bis 2f zu realisieren. Als weitere Möglichkeit wäre auch ein Forwarding über einen externen physischen Router denkbar. Eine Vermittlung des Forwardings 11 zu den Kommunikationssubnetzen 31, 32, 33 und 34 kann vermittels eines oder beider von zwei externen Netzwerken NI und NU erfolgen. Auch hier sind, wie zu den anderen
Ausführungsformen bereits mehrfach erläutert, vorteilhaft VPN-Verbindungen vorzusehen, so dass Daten über die externen Netze NI und NU ausschließlich verschlüsselt ausgetauscht werden .
Zur Verbindung verschiedener Strukturen über die
Sicherheitszonen hinweg oder auch als Verbindung zwischen zwei Strukturen innerhalb einer Sicherheitszone ist ein
Relay-System 10 („Zone Connect") eingerichtet, das über virtuelle Bridges br in einzelne virtuelle
Kommunikationssubnetze eingebunden werden kann. Das Relay- System 10 kann eine Bridge oder ein Router, ggf. in
Kombination mit einer Firewall, sein. In Figur 8 ist das Relay-System 10 beispielhaft an die virtuellen Bridges br der virtuellen Kommunikationssubnetze 32 in Zone 1 und 33 in Zone 2 angebunden. Auf diese Weise können die beiden
Kommunikationssubnetze 32 und 33 quasi zu einem virtuellen Kommunikationssubnetz verbunden werden. Auf diese Weise ist es sehr leicht möglich, Informationen zwischen einzelnen virtuellen Maschinen einzelner virtueller Strukturen über gebridgte Netzwerkverbindungen vermittels des Relay-Systems 10 auszutauschen. Auf virtueller Ebene können sich einzelne virtuelle Maschinen verschiedener virtueller Strukturen somit auf einfache Weise ansprechen. Beispielsweise können, wie in Figur 8 dargestellt, virtuelle Maschinen aus der virtuellen Struktur VM-Struct.2 in Zone 1 unmittelbar virtuelle
Maschinen in der virtuellen Struktur VM-Struct.3 in Zone 2 ansprechen. Vorteilhaft ist die Verbindung zwischen den beiden Sicherheitszonen Zone 1 und Zone 2 über das Relay- System 10 durch spezielle Firewall-Regeln, Paketfilter, usw. abgesichert. Eine Vermittlung der Verbindung zwischen den beiden Sicherheitszonen Zone 1 und Zone 2 über das Relay- System 10 kann vermittels eines oder beider der externen Netzwerke NI und NU erfolgen. Auch hier sind, wie zu den anderen Ausführungsformen bereits mehrfach erläutert, vorteilhaft VPN-Verbindungen vorzusehen, so dass Daten über die externen Netze NI und NU ausschließlich verschlüsselt ausgetauscht werden. Die erläuterten Computersystem-Architekturen beziehungsweise Computernetz-Infrastrukturen aus einer Mehrzahl solcher
Computersystem-Architekturen kombinieren verschiedene
Systematiken, wie sie zum Teil aus herkömmlichen Lösungen bekannt sind, zu einer völlig neuen Gesamtlösung. Dadurch wird eine Einkapselung potenziell unsicherer Betriebssysteme beziehungsweise darauf laufender potenziell unsicherer
Anwendungsprogramme in virtuelle Maschinen beziehungsweise virtuelle Strukturen erzielt. Auf diese Weise wird ein ungewollter Verbindungsaufbau aus potenziell unsicheren
Systemen innerhalb der virtuellen Maschinen in externe
Netzwerke verhindert, ohne dass für jegliches Betriebssystem oder jegliches Anwendungsprogramm innerhalb der virtuellen Strukturen globale Firewall-Regeln eingerichtet und administriert werden müssen. Gleichzeitig sind die physischen Computersysteme, auf denen die virtuellen Maschinen
beziehungsweise virtuellen Strukturen implementiert sind, gegen einen Verbindungsaufbau auf das physische
Computersystem aus den externen physischen Netzwerken
abgesichert, soweit sich ein derartiger Verbindungsaufbau von einer reinen Vermittlung einer Kommunikation zwischen den virtuellen Maschinen verschiedener physischer Computersysteme unterscheidet .
Auf diese Weise ist eine Computersystem-Architektur
beziehungsweise eine daraus aufgebaute Computernetz- Infrastruktur auch speziell abgesichert gegen Angriffe von außen. Dennoch stellen die einzelnen physischen
Computersysteme als physische Host-Server virtualisierte anwendungsspezifische Funktionalitäten bereit, die über virtualisierte Kommunikationssubnetze zu sehr komplexen
Netzwerken zusammengeschlossen werden können. Eine
Vermittlung einer Kommunikation zwischen derartigen
virtuellen Kommunikationssubnetzen erfolgt vermittels externer physischer Netzwerke, insbesondere vorteilhaft abgesichert über verschlüsselte VPN-Verbindungen .
Insbesondere finden redundante, gebondete VPN-Verbindungen Anwendung .
Sämtliche Topologien der erläuterten Ausführungsformen können mit Merkmalen anderer Topologien ergänzt, erweitert oder verändert werden. Strukturell gleiche oder ähnliche Merkmale der verschiedenen Ausführungsformen können in anderen
Ausführungsformen entsprechend Anwendung finden. Die
dargestellten Ausführungsformen sind lediglich beispielhaft. In nicht dargestellten Ausführungsformen wäre auch denkbar, virtuelle Maschinen (VM-Gast) in gastgebenden virtuellen Maschinen (VM-Host) zu beherbergen, wobei die Maßnahmen der erläuterten Art in Zusammenspiel mit physischen
Computersystemen analog für die beherbergten virtuellen
Maschinen (VM-Gast) in den gastgebenden virtuellen Maschinen (VM-Host) bzw. für die gastgebenden virtuellen Maschinen (VM- Host) selbst Anwendung finden. Insbesondere kann eine
Kapselung von virtuellen Maschinen innerhalb von virtuellen Kommunikationssubnetzen der erläuterten Art auf gastgebende virtuelle Maschinen (VM-Host) sowie auf beherbergte virtuelle Maschinen (VM-Gast) angewendet werden. Die physischen
Computersysteme sind auch hier, wie erläutert, derart
abgesichert, dass ein von einem virtuellen
Kommunikationssubnetz unabhängiger Verbindungsaufbau aus einem externen physischen Netzwerk von außerhalb eines physischen Computersystems zum physischen Computersystem verhindert wird. Vorteilhaft werden im Allgemeinen die physischen
Computersysteme in Hochsicherheitsracks gegen physische
Manipulationen abgesichert. Ferner ist es vorteilhaft, jeglichen Zugriff auf Software oder Hardware durch
Administratoren über ein Mehr-Augen-Prinzip abzusichern.
Bezugs zeichenliste
1, la bis lf Computersystem-Architektur
2, 2a bis 2f physisches Computersystem
3, 3a bis 3c virtuelle Kommunikationssubnetze
31, 32, 33 ,34 virtuelle Kommunikationssubnetze 4, 4a bis 4f Netzwerk-Ports
14, 24 Netzwerk-Ports
5 virtuelles Speichersubnetz
6 Instanz eines Basisbetriebssystems 7 Administrations-ComputerSystem 8 Vermittlungs-ComputerSystem
9a, 9b Hochsicherheits-Rack
10 Relay-System
11 Routing
12a, 12b VPN-Dienst
13a, 13b VPN-Verbindungen
VM1 bis VM4 virtuelle Maschine
br virtuelle Netzwerk-Bridge
N, Nl, N2 physisches Netzwerk
NI, NU physisches Netzwerk
es Konsole einer virtuellen Maschine FW Firewall
webl, web2 Web-Server
appl, app2 Anwendungs-Server
dbl, db2 Datenbank-Server
VM-Struct . virtuelle Struktur
LI bis L4 Speicherkomponenten

Claims

Patentansprüche
1. Computersystem-Architektur (1) umfassend ein physisches Computersystem (2), auf dem ein Basisbetriebssystem sowie eine virtuelle Umgebung eingerichtet sind, wobei die
virtuelle Umgebung zumindest eine virtuelle Maschine (VM) und zumindest eine virtuelle Netzwerk-Bridge (br) zumindest eines virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) aufweist, wobei die virtuelle Maschine (VM) und die virtuelle Netzwerk-Bridge (br) vermittels des Basisbetriebssystems steuerbar sind und
wobei die virtuelle Maschine (VM) an die virtuelle Netzwerk- Bridge (br) angebunden ist und für eine Kommunikation mit weiteren virtuellen Maschinen (VM) innerhalb des virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) eingerichtet ist, wobei die virtuelle Maschine (VM) ferner derart eingerichtet ist, dass ein Verbindungsaufbau von der virtuellen Maschine (VM) in ein externes physisches Netzwerk (N, Nl, N2)
außerhalb des physischen Computersystems (2), welches sich in seiner Konfiguration von dem virtuellen Kommunikationssubnetz (3, 31, 32, 33, 34) unterscheidet, verhindert wird, und wobei die Netzwerk-Ports (4) des physischen Computersystems (2) derart eingerichtet sind, dass eine Vermittlung einer Kommunikation zwischen der virtuellen Maschine (VM) und anderen virtuellen Maschinen (VM) innerhalb des virtuellen Kommunikationssubnetzes (3, 31, 32, 33, 34) über das
physische Computersystem (2) hinaus vermittels des externen physischen Netzwerks (N, Nl, N2) zugelassen wird,
jedoch ein vom virtuellen Kommunikationssubnetz (3, 31, 32, 33, 34) unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk (N, Nl, N2) von außerhalb des physischen Computersystems (2) zum physischen Computersystem (2)
verhindert wird.
2. Computersystem-Architektur (1) nach Anspruch 1, wobei die virtuelle Umgebung ferner zumindest eine virtuelle
Speicherschnittstelle aufweist, wobei die virtuelle
Speicherschnittstelle vermittels des Basisbetriebssystems steuerbar ist und eingerichtet ist physische
Speicherkomponenten (LI, L2, L3, L4) als virtuelle
Speicherkomponenten für die virtuelle Maschine (VM)
bereitzustellen und
wobei die virtuelle Maschine (VM) an die virtuelle
Speicherschnittstelle angebunden ist und für eine
Kommunikation mit den virtuellen Speicherkomponenten
eingerichtet ist.
3. Computersystem-Architektur (1) nach Anspruch 1 oder 2, wobei das Basisbetriebssystem und die virtuelle Umgebung derart eingerichtet sind, dass ein Verbindungsaufbau von der virtuellen Maschine (VM) in das Basisbetriebssystem
verhindert wird, jedoch ein Verbindungsaufbau vom
Basisbetriebssystem in die virtuelle Maschine (VM) zugelassen wird .
4. Computersystem-Architektur (1) nach einem der Ansprüche 1 bis 3, wobei das Basisbetriebssystem eingerichtet ist, Daten der virtuellen Maschine (VM) , welche vermittels des externen physischen Netzwerks (N, Nl, N2) nach außerhalb des physischen Computersystems (2) vermittelt werden, zu
verschlüsseln.
5. Computernetz-Infrastruktur, umfassend eine Mehrzahl von Computersystem-Architekturen (la, lb, lc) gemäß einem der Ansprüche 1 bis 4, die über zumindest ein physisches Netzwerk (N, Nl, N2) verbunden sind, wobei zumindest eine virtuelle Maschine (VM1, VM2, VM3, VM4) der jeweiligen Computersystem-Architekturen (la, lb, lc) über zumindest ein virtuelles Kommunikationssubnetz (3a, 3b, 3c) mit zumindest einer virtuellen Maschine (VM1, VM2, VM3, VM4) zumindest einer anderen Computersystem-Architektur (la, lb, lc) verbunden ist,
wobei die Computernetz-Infrastruktur derart eingerichtet ist, dass eine Kommunikation innerhalb des zumindest einen
virtuellen Kommunikationssubnetzes (3a, 3b, 3c) zwischen den physischen Computersystemen (2a, 2b, 2c) vermittels des zumindest einen physischen Netzwerks (N, Nl, N2) vermittelt wird .
6. Computernetz-Infrastruktur nach Anspruch 5, ferner aufweisend physische Speicherkomponenten (LI, L2, L3, L4) zur Speicherung von Daten der virtuellen Maschinen (VM1, VM2, VM3, VM4) der Computersystem-Architekturen (la, lb, lc) , wobei die Speicherkomponenten (LI, L2, L3, L4) als virtuelle Speicherkomponenten von zumindest einem Teil der virtuellen Maschinen (VM1, VM2, VM3, VM4) angesprochen werden können.
7. Computernetz-Infrastruktur nach Anspruch 5 oder 6, wobei die Computernetz-Infrastruktur derart eingerichtet ist, dass eine Kommunikation innerhalb des zumindest einen virtuellen Kommunikationssubnetzes (3a, 3b, 3c) zwischen den physischen Computersystemen (2a, 2b, 2c) über ein oder mehrere Virtual- Private-Netzwerke (13) vermittelt wird.
8. Computernetz-Infrastruktur nach Anspruch 7, wobei zwischen jeweils zwei physischen Computersystemen (2a, 2b, 2c) zumindest ein erstes und ein zweites Virtual-Private- Netzwerk (13a, 13b) zur Vermittlung des zumindest einen virtuellen Kommunikationssubnetzes (3a, 3b, 3c) eingerichtet sind, wobei ein ansprechbarer VPN-Dienst (12a) des ersten Virtual-Private-Netzwerks (13a) auf dem einen physischen Computersystem eingerichtet ist und ein ansprechbarer VPN- Dienst (12b) des zweiten Virtual-Private-Netzwerks (13b) auf dem anderen physischen Computersystem eingerichtet ist.
9. Computernetz-Infrastruktur nach einem der Ansprüche 5 bis 8, wobei mehrere separate virtuelle
Kommunikationssubnetze (3a, 3b, 3c, 31, 32, 33, 34)
eingerichtet sind und für jedes virtuelle
Kommunikationssubnetz (3a, 3b, 3c, 31, 32, 33, 34) separate Sicherheitsregeln (FW) für die beteiligten virtuellen
Maschinen (VM1, VM2, VM3, VM4) vorgegeben sind.
10. Computernetz-Infrastruktur nach Anspruch 9, wobei zwischen den verschiedenen virtuellen Kommunikationssubnetzen (3a, 3b, 3c, 31, 32, 33, 34) ein Routing (10) eingerichtet ist, sodass eine Kommunikation zwischen virtuellen Maschinen (VM1, VM2, VM3, VM4 ) verschiedener Kommunikationssubnetze (3a, 3b, 3c, 31, 32, 33, 34) ermöglicht ist.
11. Computernetz-Infrastruktur nach einem der Ansprüche 5 bis 10, ferner umfassend ein Administrations-Computersystem (7) und ein Vermittlungs-Computersystem (8), die mit dem zumindest einen physischen Netzwerk (N, Nl, N2) verbunden sind zur Administration eines oder mehrerer Computersystem- Architekturen (2a, 2b, 2c) ,
wobei die Netzwerk-Ports (14) des Administrations¬ computersystems (7) zum zumindest einen physischen Netzwerk (N, Nl, N2) hin geschlossen sind, so dass ein
Verbindungsaufbau aus dem zumindest einen physischen Netzwerk (N, Nl, N2) von außerhalb des Administrations-Computersystems (7) zum Administrations-Computersystem (7) verhindert wird, wobei jedoch das Vermittlungs-Computersystem (8) zumindest einen offenen Netzwerk-Port zum zumindest einen physischen Netzwerk (N, Nl, N2) hin aufweist und derart eingerichtet ist, dass sowohl das Administrations-Computersystem (7) als auch die physischen Computersysteme (2a, 2b, 2c) der zu administrierenden Computersystem-Architekturen (la, lb, lc) über das zumindest eine physische Netzwerk (N, Nl, N2) auf das Vermittlungs-Computersystem (8) zugreifen können.
PCT/EP2017/075980 2016-10-18 2017-10-11 Computersystem-architektur sowie computernetz-infrastruktur, umfassend eine mehrzahl von solchen computersystem-architekturen WO2018073082A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US16/098,286 US20190250938A1 (en) 2016-10-18 2017-10-11 Computer system architecture and computer network infrastructure including a plurality of such computer system architectures
GB1817379.9A GB2565458A (en) 2016-10-18 2017-10-11 Computer system architecture and computer network infrastructure comprising a plurality of said type of computer system architectures

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102016119802.1 2016-10-18
DE102016119802 2016-10-18
DE102016124383.3 2016-12-14
DE102016124383.3A DE102016124383B4 (de) 2016-10-18 2016-12-14 Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen

Publications (1)

Publication Number Publication Date
WO2018073082A1 true WO2018073082A1 (de) 2018-04-26

Family

ID=76741478

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/075980 WO2018073082A1 (de) 2016-10-18 2017-10-11 Computersystem-architektur sowie computernetz-infrastruktur, umfassend eine mehrzahl von solchen computersystem-architekturen

Country Status (4)

Country Link
US (1) US20190250938A1 (de)
DE (1) DE102016124383B4 (de)
GB (1) GB2565458A (de)
WO (1) WO2018073082A1 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL238690B (en) 2015-05-07 2019-07-31 Mellanox Technologies Ltd Network-based computational accelerator
US11502948B2 (en) 2017-10-16 2022-11-15 Mellanox Technologies, Ltd. Computational accelerator for storage operations
US11005771B2 (en) 2017-10-16 2021-05-11 Mellanox Technologies, Ltd. Computational accelerator for packet payload operations
US10841243B2 (en) 2017-11-08 2020-11-17 Mellanox Technologies, Ltd. NIC with programmable pipeline
US10938784B2 (en) * 2017-12-05 2021-03-02 Assured Information Security, Inc. Dedicating hardware devices to virtual machines in a computer system
US10708240B2 (en) * 2017-12-14 2020-07-07 Mellanox Technologies, Ltd. Offloading communication security operations to a network interface controller
US10855587B2 (en) * 2018-10-19 2020-12-01 Oracle International Corporation Client connection failover
CN109522760B (zh) * 2018-10-29 2020-08-14 北京博衍思创信息科技有限公司 一种基于硬件控制逻辑的数据转发控制方法及系统
US10824469B2 (en) 2018-11-28 2020-11-03 Mellanox Technologies, Ltd. Reordering avoidance for flows during transition between slow-path handling and fast-path handling
CN114095153A (zh) 2020-08-05 2022-02-25 迈络思科技有限公司 密码数据通信装置
IL276538B2 (en) 2020-08-05 2023-08-01 Mellanox Technologies Ltd A cryptographic device for data communication
US11934658B2 (en) 2021-03-25 2024-03-19 Mellanox Technologies, Ltd. Enhanced storage protocol emulation in a peripheral device
US12117948B2 (en) 2022-10-31 2024-10-15 Mellanox Technologies, Ltd. Data processing unit with transparent root complex
US12007921B2 (en) 2022-11-02 2024-06-11 Mellanox Technologies, Ltd. Programmable user-defined peripheral-bus device implementation using data-plane accelerator (DPA)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130018765A1 (en) * 2011-07-15 2013-01-17 International Business Machines Corporation Securing applications on public facing systems

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160072787A1 (en) * 2002-08-19 2016-03-10 Igor V. Balabine Method for creating secure subnetworks on a general purpose network
US8578076B2 (en) * 2009-05-01 2013-11-05 Citrix Systems, Inc. Systems and methods for establishing a cloud bridge between virtual storage resources
US7953865B1 (en) * 2009-12-28 2011-05-31 Amazon Technologies, Inc. Using virtual networking devices to manage routing communications between connected computer networks
US7991859B1 (en) * 2009-12-28 2011-08-02 Amazon Technologies, Inc. Using virtual networking devices to connect managed computer networks
US20140007189A1 (en) * 2012-06-28 2014-01-02 International Business Machines Corporation Secure access to shared storage resources
US9525564B2 (en) * 2013-02-26 2016-12-20 Zentera Systems, Inc. Secure virtual network platform for enterprise hybrid cloud computing environments
US9699034B2 (en) * 2013-02-26 2017-07-04 Zentera Systems, Inc. Secure cloud fabric to connect subnets in different network domains
US10348767B1 (en) * 2013-02-26 2019-07-09 Zentera Systems, Inc. Cloud over IP session layer network
US9407519B2 (en) * 2013-03-15 2016-08-02 Vmware, Inc. Virtual network flow monitoring
US9535728B2 (en) * 2013-03-18 2017-01-03 International Business Machines Corporation Scalable policy management in an edge virtual bridging (EVB) environment
US10263870B2 (en) * 2016-07-07 2019-04-16 International Business Machines Corporation Suspending and resuming virtual machines in a network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130018765A1 (en) * 2011-07-15 2013-01-17 International Business Machines Corporation Securing applications on public facing systems

Also Published As

Publication number Publication date
GB2565458A (en) 2019-02-13
GB2565458A9 (en) 2021-07-07
GB201817379D0 (en) 2018-12-12
US20190250938A1 (en) 2019-08-15
DE102016124383B4 (de) 2018-05-09
DE102016124383A1 (de) 2018-04-19

Similar Documents

Publication Publication Date Title
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
DE69836271T2 (de) Mehrstufiges firewall-system
DE60216218T2 (de) Persönlicher Firewall mit Platzabhängiger Funktionalität
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
US9503324B2 (en) Systems and methods for enterprise mission management of a computer network
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE112013004828T5 (de) Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr
US8898782B2 (en) Systems and methods for spontaneously configuring a computer network
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
WO2016180181A1 (zh) 业务功能的部署方法及装置
EP3192226B1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
EP3479532B1 (de) Einheit zur weiterleitung von datenpaketen in softwaredefinierten netzwerken
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
WO2023227312A1 (de) Verfahren zur gesicherten übermittlung zeitkritischer daten innerhalb eines kommunikationssystems und kommunikationssystem
EP3318033A1 (de) Verfahren zum freischalten externer computersysteme in einer computernetz-infrastruktur, verteiltes rechnernetz mit einer solchen computernetz-infrastruktur sowie computerprogramm-produkt
WO2015185507A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
DE102015107071B3 (de) Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks
WO2016008889A1 (de) Verfahren zum freischalten externer computersysteme in einer computernetz-infrastruktur, verteiltes rechnernetz mit einer solchen computernetz-infrastruktur sowie computerprogramm-produkt
DE102018124235A1 (de) Poisoning-schutz für prozessleit-switches
DE102022107431B3 (de) Verfahren zum Nachrüsten einer Socks-Kompatibilität für zumindest eine Anwendung in einem Kraftfahrzeug sowie entsprechend eingerichtetes Kraftfahrzeug
DE10234562B4 (de) Sichere Netzwerkarchitektur
WO2020065476A1 (de) System und verfahren für einen zugriff auf daten in einem internen bereich
EP1903464A1 (de) Verfahren und Steuerungsprogramm zur Verwaltung von Benutzerzugriffsrechten in einem Kommunikationsnetzwerk
DE102021127234A1 (de) Authentifizierungsverkettung bei der bereitstellung von mikrofilialen

Legal Events

Date Code Title Description
ENP Entry into the national phase

Ref document number: 201817379

Country of ref document: GB

Kind code of ref document: A

Free format text: PCT FILING DATE = 20171011

WWE Wipo information: entry into national phase

Ref document number: 1817379.9

Country of ref document: GB

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17791607

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17791607

Country of ref document: EP

Kind code of ref document: A1