Netzwerksicherheitsschicht für IEC 61850-Umspannwerke
Immer komplexere Anwendungen werden mit Virtualisierungs-Hostplattformen realisiert, die mehrere virtuelle Maschinen tragen. Zur Sicherung der Kommunikation werden zusätzlich zu den Virtualisierungs-Hostplattformen installierte hardwarebasierte Firewalls verwendet. Diese hardwarebasierten Firewalls können den Datenverkehr überwachen und steuern, der aus den Ethernet-Schnittstellen des Virtualisierungshosts kommt.
Jede virtuelle Maschine in einer solchen virtuellen Umgebung hat ihre eigene, sehr spezifische Aufgabe. Dies führt zu unterschiedlichen Anforderungen an Kommunikationsprotokolle/-dienste. Mit einer Firewall, die nur den über die Schnittstellen des Hostsystems laufenden Datenverkehr überwachen/steuern kann, ist es unmöglich, Regeln für den spezifischen Datenverkehr jeder einzelnen virtuellen Maschine zu definieren. Die erforderlichen Protokolle und Dienste können nur für die externen Schnittstellen definiert werden, die in den meisten Fällen von mehreren verschiedenen virtuellen Maschinen verwendet werden. Darüber hinaus ist die Steuerung des Datenverkehrs zwischen den virtuellen Maschinen innerhalb einer virtuellen Umgebung nicht auf Protokoll- oder Dienstbasis möglich.
Wir erweitern das Virtualisierungshostsystem um eine spezielle Firewall-basierte Sicherheitsebene, um den Datenverkehr gezielter steuern und überwachen zu können.
Mit einer virtuellen Maschine Fortinet FortiGate-VM64-HV können wir eine Hardware-Firewall ersetzen. Da wir die gesamte Kommunikation von/zu einer physischen Schnittstelle auf dem Hostsystem umleiten können, kann die Firewall den gesamten Datenverkehr in einer Unterstation und zwischen virtuellen Maschinen überwachen und steuern.
