Network Function Virtualization

NFV: Mehr Nutzen und Flexibilität durch virtualisierte Sicherheit

, München, Axians | Autor: Ahmad Cheikh-Moussa

NFV: Mehr Nutzen und Flexibilität durch virtualisierte Sicherheit

Schnelle Integration von Sicherheitskomponenten

Bisher wurde für jede Netzwerkfunktion ein eigenes Gerät benötigt: etwa Router, Load Balancer und Firewalls. Flexibler und sparsamer ist der Betrieb der Netzwerkkomponenten als virtuelle Maschinen (VM).

Ahmad Cheikh-Moussa ist Senior Consultant bei Axians Networks & Solutions (Quelle Axians)

Für Netzwerkfunktionen wie CDN Caches (Content Delivery Network Caches), SBC (Session Border Controller), DPI (Deep Package Inspection), NAT (Netzwerkadressübersetzung) und WAN Accelerator setzen Unternehmen bisher einzelne, kostspielige Geräte ein. Jedes von ihnen verbraucht Strom, nimmt Platz ein und benötigt Ersatzteile. Heute lassen sich diese Funktionen in virtuellen Maschinen auf Standardservern betreiben. Damit spart die IT Hardware-Kosten, Strom und Platz, denn mit NFV können mehrere von ihnen parallel auf einem standardisierten x86-Server laufen.

Anstatt für neue Komponenten das Netzwerk physisch umbauen zu müssen, können Administratoren damit auch schneller eine Security-Umgebung aufbauen und zur Verfügung stellen. Für eine zusätzliche Firewall, ein Intrusion Prevention System (IPS) oder ein Intrusion Detection System (IDS) reicht es, eine weitere VM aufzusetzen und sie ins Netzwerk einzubinden. So steht die neue Funktion innerhalb von kurzer Zeit zur Verfügung.

Mit dieser sogenannten Network Function Virtualization (NFV) lassen sich schnell und ohne zusätzliche Hardware, Sicherheitskomponenten zum Netzwerk hinzufügen

Weiterer Vorteil bei NFV ist die einfachere Wartung. Steht etwa ein Update an, können die IT-Verantwortlichen es in einer neuen VM umsetzen, der laufende Betrieb wird dadurch nicht beeinträchtigt. Anschließend können sie Tests der neuen Version durchführen. Diese übernimmt die Aufgabe erst, wenn alle Tests positiv verlaufen sind. Die alte VM wird dann abgeschaltet.

Die richtigen Bestandteile für NFV wählen

Wer sein Netzwerk virtualisieren möchte, beginnt meist nicht bei null. Er verfügt bereits über Server und Geräte für verschiedene Netzwerkkomponenten. Ein guter Zeitpunkt NFV einzuführen ist, wenn für eines dieser Geräte der Support ausläuft. Unternehmen benötigen für NFV geeignete Hardware, einen Hypervisor und die virtuellen Netzwerkkomponenten.

Als Hardware dienen Standard-x86-Server mit einer Ausstattung, die an die benötigte Performance angepasst wird. Klassische Server-Hersteller bieten solche Commodity-Server an, zudem gibt es angepasste Versionen mit mehr Netzwerk-Ports von Netzwerkherstellern, auch inklusive Support. Damit bei Bedarf noch Netzwerkkomponenten ergänzt werden können, sollten genug Ressourcen, also HDD, CPU und RAM, eingeplant werden.

Auf dem Server setzt der Hypervisor auf, der die Virtualisierung und die Vernetzung der Netzwerkelemente übernimmt. Welchen Hypervisor Unternehmen wählen sollten, hängt von ihren persönlichen Präferenzen ab. Wer schon mit VMware arbeitet, wird sich auch hier für das Produkt dieses Herstellers, ESXi, entscheiden. Verbreitet sind auch Microsoft Hyper-V und das Open Source Projekt KVM/QEMU, welches auf allen gängigen Unix-Derivaten läuft.

Schließlich geht es an die Auswahl der virtualisierten Netzwerkkomponenten: Angebote machen fast alle großen Hersteller. In einer Arbeitsgruppe des European Telecommunication Standards Institute ETSI haben Netzwerkhersteller und die größten weltweiten Service Provider Standards für die Virtualisierung definiert und publiziert. Virtuelle Funktionen unterschiedlicher Anbieter sind also kompatibel. Die Standards verringern Stolperstellen auf dem Weg hin zu einem flexibleren Netzwerk.

NFV einfach als Managed Service beziehen

Da kaum Unternehmen intern über das nötige Fachwissen verfügen, um NFV einzuführen, bietet es sich an, sie als Managed Service von einem Provider oder Systemintegrator zu beziehen. Anbieter wie Axians übernehmen dann die Auswahl der Hardware, konfigurieren Betriebssystem, Hypervisor und Netzwerkfunktion und warten das System. Anwender haben so einen Vertrag und einen Ansprechpartner – anstatt einen für jede Komponente – sollten einmal Probleme auftreten.

Anstatt sich über die einzelnen Elemente für die virtualisierten Netzwerkfunktionen Gedanken zu machen, bekommt das Unternehmen im Idealfall eine Blackbox. Der Provider wählt dafür alle Komponenten sorgfältig aus und sorgt dafür, dass sie einwandfrei zusammenarbeiten. Die Blackbox muss nur noch angesteckt und hochgefahren werden und ist an die Anforderungen angepasst.

Dafür klärt der Provider mit dem Unternehmen, welchen Bedarf das System decken soll. Denn obwohl NFV im Grunde auf jedem Server läuft, gibt die Anzahl der darauf betriebenen VMs vor, wie viel CPU-Leistung und RAM nötig sind. Größere Ressourcen machen das System jedoch teurer, was bei der Planung ebenfalls zu beachten ist. Um in Zukunft weitere VMs aufzusetzen und damit weitere virtuelle Netzwerkfunktionen (VNF) hinzufügen zu können, sollte das Gerät mit den anfangs geplanten Anwendungen nur zur Hälfte ausgelastet sein.

Hat der Provider die richtigen Komponenten ausgewählt, gilt es, die Virtualisierungsumgebung so zu konfigurieren, dass die einzelnen VMs sich nicht gegenseitig Ressourcen streitig machen. Dafür definiert er, welche VM wie viele CPUs exklusiv nutzen soll. Eine weitere Möglichkeit ist SR-IOV (Single-Root I/O Virtualisierung). Damit ordnen Administratoren ein physikalisches Interface ausschließlich einer VM zu, auf dieses kann dann keine andere zugreifen. Diese Technik bringt einen zusätzlichen Vorteil mit sich: Da der Netzwerkverkehr direkt zur VM geht anstatt zuerst durch den Hypervisor, erhöht sie den Durchsatz.

NFV für jedes Netzwerk?

An sich eignet sich NFV für alle, die ein Netzwerk betreiben. Denn die Digitalisierung fordert von ihnen schnell und flexibel zu reagieren. NFV unterstützt das, unabhängig davon, ob der Anwender nur über ein kleines LAN oder ein WAN verfügt. Besonders sinnvoll ist NFV für Anwender mit vielen Filialen, beispielsweise Handelsbetriebe. Sie haben an den einzelnen Standorten einen Router um sich einzuwählen, eine Firewall um sich abzusichern und Server für ihre SAP- und Kassensysteme. Jede dieser Anwendungen braucht kaum Ressourcen, deshalb lassen sie sich unproblematisch gemeinsam virtualisiert auf einer Hardware betreiben. Der Handelsbetrieb spart so Kosten.

Hier zeigen sich aber auch die Grenzen von NFV: Sie funktioniert nur, wenn die einzelnen Komponenten wenig Perfomance benötigen oder Flexibilität einen höheren Stellenwert hat als der Durchsatz. x86-Server skalieren bis 40 Gbit/s, ausreichend für zahlreiche Netzwerkfunktionen. Bei High Performance Forwarding mit sehr niedriger Latenz müssen Unternehmen aber weiterhin auf spezialisierte Geräte zurückgreifen. Auch große zentrale Core-Knoten sind nicht virtualisierbar.

Virtualisierungstrend senkt die Kosten

Mit NFV sparen Unternehmen Geld, Zeit und Platz. Zusätzlich können IT-Sicherheitsexperten neue Sicherheitskomponenten wie IDS, IPS oder zusätzliche Firewalls einfacher hinzufügen. Es lohnt sich also, den Trend NFV im Auge zu behalten, denn Geschwindigkeit und Agilität sind in Zeiten der Digitalisierung wichtige Wettbewerbsvorteile.

Fachartikel von Ahmad Cheikh-Moussa, Senior Consultant bei Axians Networks & Solutions