Netzwerksicherheit

Die Netzwerksicherheit wird je nach Traffic-Klassen auf verschiedenen Ebenen gehandhabt. Die verschiedenen Klassen werden durch VLANs getrennt und durch eine Firewall an den Gateways vor dem Internet-Traffic geschützt.

VLAN-Klassen und Gateway-Firewall

Frontend-Netzwerk

Knoten, die Dienste für die Allgemeinheit anbieten, haben eine oder mehrere IPv4/IPv6-Adressen in diesem Netz.

Der Traffic zu Adressen in diesem Netz wird von der Gateway-Firewall ohne Einschränkungen weitergeleitet.

Kund:innen sollten nur Dienste an die IP-Adressen binden, die für den Zugriff aus dem Internet vorgesehen sind. Backend-Dienste sollten an das Server-Netzwerk gebunden werden.

Server-Netzwerk

Alle Knoten haben eine Adresse im Servernetz. Diese wird von Anwendungen für die interne Kommunikation verwendet, z.B. von Anwendungsservern, die mit eurer Datenbank kommunizieren.

Die Rechner im Servernetz verwenden in der Regel private IPv4-Adressen und öffentliche IPv6-Adressen. Ausgehender Datenverkehr ist in der Regel erlaubt und wird bei Bedarf auf der Gateway-Firewall maskiert. Benötigt ein Rechner einen unmaskierten Zugang zum Internet, muss eine IP-Adresse im Frontend-Netzwerk bereitgestellt werden.

Der meiste eingehende Traffic wird auf der Gateway-Firewall blockiert, mit Ausnahme u.a. von Port 22 für tcp (ssh).

Speichernetzwerk

Dieses Netzwerk wird für den Speicher-Traffic genutzt. Es ist nur für Ring 0-Maschinen zugänglich, nicht aber für kundeneigene Geräte oder virtuelle Maschinen. Kundeneigene Umgebungen implementieren separate Speichernetzwerke.

Dieses Netzwerk verwendet private IPv4-Adressen, die nicht über das Internet geroutet werden. Daten-Traffic von außerhalb dieses Netzes ist nicht zulässig.

Management-Netzwerk

Dieses Netz wird nur für Management-Zwecke verwendet: Zugang zum Intelligent Platform Management Interface (IPMI), Switch-Konsolen, Betriebssystemen usw.

Es verwendet private IPv4-Adressen, die nicht über das Internet geroutet werden. Daten-Traffic von außerhalb dieses Netzes ist nicht zulässig.

VM-Firewall

Auf jeder VM läuft eine zusätzliche lokale Firewall mit iptables/nftables, die standardmäßig

  • den gesamten Daten-Traffic zu den Frontend-IPs blockieren, es sei denn, er wird explizit von einem konfigurierten Dienst geöffnet, und
  • blockiert den gesamten Daten-Traffic zu den Server-zu-Server-IPs, außer für VMs aus demselben Projekt.