Beschreibung

Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem- Architekturen

Die Erfindung betrifft eine Computersystem-Architektur, umfassend ein physisches Computersystem, auf dem ein

Basisbetriebssystem sowie eine virtuelle Umgebung

eingerichtet sind. Ferner betrifft die Erfindung eine

Computersystem-Infrastruktur mit einer Mehrzahl derartiger Computersystem-Architekturen .

Der sichere Betrieb von Betriebssystemen sowie darauf

ablaufenden Anwendungsprogrammen beziehungsweise

Anwendungsprogrammen ist stets ein technisches Problem beziehungsweise eine Herausforderung in modernen

Computersystem-Architekturen beziehungsweise in Computernetz- Infrastrukturen oder IT-Netzen, die eine Mehrzahl derartiger Computersystem-Architekturen umfassen .

Ein großes Problem bei der Sicherheit von Computersystem- Architekturen oder ganzen Computernetz-Infrastrukturen ist das Auftreten bzw. Ausnutzen von Fehlern, von so genannten Backdoors, Zero-Day-Exploits oder sonstigen Sicherheitslücken in den zu betreibenden Betriebssystemen oder den auf diesen ablaufenden Anwendungsprogrammen. Derartige Fehler

beziehungsweise Sicherheitslücken können Angreifer aus einem externen Netzwerk ausnutzen, um eine Manipulation eines

Betriebssystems, von darauf ablaufenden Anwendungsprogrammen bzw. von Daten durchzuführen, die im Betriebssystem oder in den darauf ablaufenden Anwendungsprogrammen verarbeitet werden. Ferner können Angreifer Fehler beziehungsweise Sicherheitslücken auch für einen unberechtigten Zugriff auf Betriebssysteme, Anwendungsprobramme bzw. Daten ausnutzen.

Ein weiteres Problem im Zusammenhang mit der Sicherheit von IT-Systemen besteht darin, dass von Dritten beziehbare

Betriebssysteme oder Anwendungsprogramme fehlerhaft sein können oder bewusst derart manipuliert beziehungsweise eingerichtet sein können oder durch einen externen Angreifer manipuliert werden, dass diese einen für einen Benutzer ungewollten Verbindungsaufbau auf andere externe Systeme durchführen (in Fachkreisen als so genanntes „Nach Hause Telefonieren" bezeichnet) , um Daten oder allgemein

Informationen an Dritte (zum Beispiel Kriminelle)

weiterzugeben. Ein Benutzer hat oftmals gar keine Kenntnis oder überhaupt die Möglichkeit einer Kenntnis von derartigen Vorgängen. Es ist auch bekannt, dass derartige Vorgänge gezielt verschleiert werden, um möglichst nicht oder nur sehr schwer aufzufallen. Vor dem Hintergrund einer streng zu fordernden

Systemsicherheit müssen Betriebssysteme und darauf laufende Anwendungsprogramme daher prinzipiell als „potentiell unsicher" eingestuft werden. Entsprechendes gilt für sonstige Hardware- und Software-Komponenten, die in IT-Netzen

eingesetzt werden.

Herkömmliche Sicherheitslösungen sehen den Einsatz von

Firewall-Systemen vor, die idealerweise zwischen sämtliche Systeme und Komponenten bzw. deren Schnittstellen in einer Computernetz-Infrastruktur geschaltet werden, um den

Netzwerkverkehr der Betriebssysteme beziehungsweise der darauf laufenden Anwendungsprogramme und die Verbindungen zwischen beteiligten Computersystemen bzw. sonstigen Netzwerkkomponenten (z.B. Router, Switches, usw.) zu

kontrollieren und zu beschränken und somit die Gefahr eines missbräuchlichen Datenverkehrs über ungewollte

Netzwerkverbindungen möglichst zu reduzieren.

Ein Nachteil dieser bisherigen Ansätze besteht jedoch darin, dass prinzipiell für jedes Betriebssystem beziehungsweise für jedes darauf laufende Anwendungsprogramm eine Vielzahl von Sicherheitsregeln eingerichtet werden müssen, um das

Computersystem möglichst robust gegen Angriffe aus dem Netz beziehungsweise gegen einen ungewollten Abzug von Daten auf ein externes System zu machen. Bei einer Vielzahl von

Anwendungsprogrammen innerhalb einer komplexen Computernetz- Infrastruktur (z.B. Unternehmens- oder Konzernnetzwerk) wird ein Sicherheitsmanagement über Firewall-Einstellungen daher schnell unübersichtlich und fehleranfällig. Auch ist eine Administration von Firewall-Systemen sehr zeit- und

kostenaufwendig, weil die Firewall-Einstellungen nach

Software-Updates kontinuierlich nachgepflegt, d.h. überprüft, revidiert und eventuell nachgebessert werden müssen, um den Gefahren der oben erläuterten Art zu begegnen. Ferner können auch Firewall-Systeme Fehler, Backdoors oder allgemein

Sicherheitslücken aufweisen bzw. von Benutzern (z.B.

Administratoren) für missbräuchliche Zugriffe auf zu

schützende Daten manipuliert werden.

Es ist weiterhin bekannt, Betriebssysteme oder

Anwendungsprogramme innerhalb einer virtuellen Umgebung einzurichten, die über ein Basisbetriebssystem, z.B.

vermittels eines sogenannten Hypervisors, gesteuert werden können. Derartige virtuelle Umgebungen bieten sich

beispielsweise an, um bestimmte Software-Pakete zunächst in einer abgesicherten Umgebung (sogenannte Sandbox) zu testen, bevor entsprechende Programme innerhalb eines größeren

Netzwerks eingesetzt werden. Solche Sandbox-Umgebungen dienen jedoch lediglich zum Testen von Software und sind für eine Realisierung komplexer IT-Netze unbrauchbar.

Andererseits können Virtualisierungslösungen dafür eingesetzt werden, auf flexible und einfache Art und Weise

unterschiedlichste Systeme miteinander zu vernetzen, wobei Einschränkungen durch physische Hardware klein gehalten werden können. Dabei werden virtualisierte Systeme innerhalb von virtuellen Maschinen in virtuellen Umgebungen auf ein oder mehrere physische Computersysteme aufgesetzt. Doch auch bei einem Einsatz derart virtualisierter Systeme in IT-Netzen ergeben sich aufgrund einer Anbindung der virtuellen Systeme an ein oder mehrere physische Netzwerke die Gefahren der oben erläuterten Art.

Die Aufgabe der vorliegenden Erfindung ist daher, eine

Computersystem-Architektur sowie eine Computernetz- Infrastruktur mit einer Mehrzahl solcher Computersystem- Architekturen aufzuzeigen, die eine erhöhte Sicherheit der hierdurch aufgebauten Systeme ermöglichen, eine verbesserte Robustheit gegenüber den oben aufgezeigten Gefahren aufweisen und dennoch die Möglichkeit bieten, eine flexible und

anwendungsorientierte Infrastruktur insbesondere in größeren Netzwerken einzurichten.

Diese Aufgabe wird durch eine Computersystem-Architektur gemäß Anspruch 1 gelöst.

Die Computersystem-Architektur umfasst ein physisches

Computersystem, auf dem ein Basisbetriebssystem sowie eine virtuelle Umgebung eingerichtet sind. Die virtuelle Umgebung weist zumindest eine virtuelle Maschine und zumindest eine virtuelle Netzwerk-Bridge zumindest eines virtuellen

Kommunikationssubnetzes auf. Die virtuelle Maschine kann beispielsweise ein virtualisiertes zu betreibendes

Betriebssystem beziehungsweise ein oder mehrere darauf ablaufende virtualisierte Anwendungsprogramme umfassen.

Allgemein soll der Begriff „virtuelle Maschine" bzw.

„virtuelle Umgebung" als eine vom Basisbetriebssystem bzw. von der Hardware des physischen Computersystems abstrahierte und ggf. abgeschottete Umgebung verstanden sein.

Die virtuelle Maschine und die virtuelle Netzwerk-Bridge sind vermittels des Basisbetriebssystems steuerbar. Eine derartige Steuerung erfolgt vorteilhaft über einen Hypervisor des Basisbetriebssystems, der eingerichtet ist, die virtuelle Maschine und die virtuelle Netzwerk-Bridge zu steuern. Die virtuelle Maschine ist an die virtuelle Netzwerk-Bridge angebunden und für eine Kommunikation mit weiteren virtuellen Maschinen innerhalb des virtuellen Kommunikationssubnetzes oder anderer virtueller Kommunikationssubnetze eingerichtet.

Die virtuelle Maschine ist ferner derart eingerichtet, dass ein Verbindungsaufbau von der virtuellen Maschine in ein externes physisches Netzwerk außerhalb des physischen

Computersystems, welches sich in seiner Konfiguration von dem virtuellen Kommunikationssubnetz unterscheidet, verhindert wird. Das bedeutet, dass die virtuelle Maschine lediglich innerhalb des oder der virtuellen Kommunikationssubnetze, gegebenenfalls auch über unterschiedliche virtuelle

Kommunikationssubnetze hinweg kommunizieren kann, also

Verbindungen von anderen virtuellen Maschinen annehmen kann oder Verbindungen zu anderen virtuellen Maschinen aufbauen kann, jedoch keine Verbindung beziehungsweise keine Schnittstelle in ein externes physisches Netzwerk außerhalb des physischen Computersystems aufweist. Eine entsprechende Steuerung der virtuellen Maschine ist vorteilhaft über das Basisbetriebssystem beziehungsweise den Hypervisor im

Basisbetriebssystem eingerichtet. Somit kontrolliert das Basisbetriebssystem des physischen Computersystems eine

Beschränkung der Kommunikation der virtuellen Maschine, so dass die virtuelle Maschine ausschließlich auf virtueller Ebene, das heißt insbesondere innerhalb zumindest eines eingerichteten virtuellen Kommunikationssubnetzes mit anderen virtuellen Maschinen kommunizieren kann. Verbindungen der virtuellen Maschine in ein externes physisches Netzwerk werden dabei (standardmäßig) verhindert beziehungsweise unterdrückt. Diese Eigenschaft wird vorteilhaft dadurch erzielt, dass die virtuelle Maschine keinen Netzwerk-Port mit Verbindung in ein externes physisches Netzwerk aufweist beziehungsweise entsprechende Netzwerk-Ports vermittels des Basisbetriebssystems blockiert werden. In speziellen

Situationen (z.B. zur Einrichtung bzw. Konfiguration des erläuterten Verfahrens oder für eine spezielle Kommunikation mit einem autorisierten externen System) wäre jedoch denkbar, einen gezielten (temporären) Verbindungsaufbau von der virtuellen Maschine nach außen zu gestatten. In einer

denkbaren Ausführungsform umfasst die Computersystem- Architektur mehrere virtuelle Maschinen, wobei ein gezielter Verbindungsaufbau nach außen für eine oder mehrere,

ausgewählte virtuelle Maschinen (die eine spezielle

Funktionalität, z.B. das Abholen von Daten von einem externen Dienst, realisieren) eingerichtet ist und für andere

virtuelle Maschinen dauerhaft verhindert/unterdrückt wird.

Die Netzwerk-Ports des physischen Computersystems sind bei der Computersystem-Architektur gemäß dem hier vorgestellten Konzept derart eingerichtet, dass eine Vermittlung einer Kommunikation zwischen der virtuellen Maschine und anderen virtuellen Maschinen innerhalb des virtuellen

Kommunikationssubnetzes oder gegebenenfalls innerhalb

mehrerer virtueller Kommunikationssubnetze über das physische Computersystem hinaus vermittels des externen physischen Netzwerks im gewünschten Maße zugelassen wird. Ferner sind die Netzwerk-Ports des physischen Computersystems jedoch zusätzlich derart eingerichtet, dass ein vom virtuellen

Kommunikationssubnetz unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk von außerhalb des physischen Computersystems zum physischen Computersystem verhindert wird . Die Netzwerk-Ports des physischen Computersystems sind somit derart eingerichtet, dass lediglich eine Vermittlung einer Kommunikation innerhalb des oder der virtuellen

Kommunikationssubnetze zwischen virtuellen Maschinen über ein externes physisches Netzwerk vermittelbar sind, jedoch sonstige Verbindungsversuche eines externen Systems aus dem externen physischen Netzwerk auf das physische

Computersystem, die unabhängig von dem oder den virtuellen Kommunikationssubnetzen erfolgen, blockiert oder verworfen werden. Die Netzwerk-Ports des physischen Computersystems erlauben daher lediglich einen Verbindungsaufbau über speziell eingerichtete bzw. freigeschaltete Dienste, die ausschließlich eine Kommunikation innerhalb des oder der virtuellen Kommunikationssubnetze vermitteln. Für alle anderen Dienste sind die Netzwerk-Ports des physischen

Computersystems vorteilhaft geschlossen. Im letzteren Fall sind die Netzwerk-Ports daher keine passiv geöffneten Ports (so genannte „Listening"-Ports ) , das heißt an diesen

Netzwerk-Ports sitzen keine laufenden Dienste des physischen Computersystems, die ins externe Netzwerk „horchen" und einen Verbindungsaufbau von außen auf das physische Computersystem ermöglichen würden. Vielmehr sind die Netzwerk-Ports für derartige Dienste gesperrt bzw. von außen nicht erreichbar oder ansprechbar.

Es ist allerdings denkbar, dass die virtuelle Maschine derart eingerichtet ist, dass ein Verbindungsaufbau aus dem externen physischen Netzwerk von außerhalb des physischen

Computersystems direkt hin zur virtuellen Maschine möglich ist. In diesem Fall kann die virtuelle Maschine z.B. eine eigene (vom physischen Computersystem unabhängige) IP-Adresse aufweisen. Die virtuelle Maschine kann ferner einen oder mehrere aus dem externen physischen Netzwerk ansprechbare Dienste (z.B. einen Web-Server-Dienst) an einem oder mehreren hierfür eingerichteten Netzwerk-Ports bereitstellen.

Allerdings ist - wie oben erläutert - dennoch bevorzugt ein Verbindungsaufbau von der virtuellen Maschine in das externe physische Netzwerk, abgesehen von denkbaren speziellen

Situationen, generell verhindert.

Der Begriff des „externen physischen Netzwerks" umfasst

Netzwerk-Infrastrukturen eines oder mehrerer lokalen

Netzwerke (LAN) und/oder Netzwerk-Infrastrukturen eines öffentlich erreichbaren Netzes (World Wide Web, Internet) . Das bedeutet, dass die Netzwerk-Ports des physischen

Computersystems derart eingerichtet sind (siehe obige

Erläuterungen) , dass sowohl Verbindungsversuche von anderen physischen Computersystemen aus einem lokalen Netzwerk als auch aus einem öffentlichen Netz unterdrückt werden, welche unabhängig von einer über die Netzwerk-Infrastruktur

vermittelten Kommunikation innerhalb der virtuellen

Kommunikationssubnetze sind. Vorteilhaft ist das physische Computersystem als Server eingerichtet derart, dass dieser Server innerhalb eines oder mehrerer virtueller Kommunikationssubnetze vermittels einer oder mehrerer virtueller Maschinen (in denen bestimmte

Anwendungsprogramme eingerichtet sind) vorbestimmte Dienste zur Verfügung stellt, ohne dass jedoch durch das physische Computersystem selbst von den virtuellen

Kommunikationssubnetzen unabhängige Dienste über die

Netzwerk-Ports nach außen in das physische externe Netzwerk bereitgestellt werden. Ein derartiger Server kann durchaus komplexe Funktionen bereitstellen und z.B. als

virtualisierter Web-, Anwendungs- oder Datenbank-Server oder als eine Kombination davon eingerichtet sein. Es ist denkbar, dass insbesondere bei einer Mehrzahl von virtuellen Maschinen einzelne virtuelle Maschinen von extern aus dem externen physischen Netzwerk ansprechbar sind, um z.B. von diesen virtuellen Maschinen speziell bereitgestellte Dienste (z.B. Web-Server-Dienste) anzusprechen. Andere virtuelle Maschinen sind in diesem Fall vorteilhaft generell nicht an das externe physische Netzwerk angebunden. Diese virtuellen Maschinen können nur vermittels des oder der virtuellen

Kommunikationssubnetze kommunizieren . Das Konzept einer oben erläuterten Computersystem-Architektur hat gegenüber herkömmlichen Lösungen einen synergetischen Effekt. Dieser zeichnet sich zum einen dadurch aus, dass eine vollständige Kapselung von Betriebssystemen beziehungsweise darauf laufenden Anwendungsprogrammen, die als potentiell unsicher eingestuft werden, innerhalb einer virtuellen

Maschine erfolgt, wobei weder eine Datenverbindung aus der virtuellen Maschine in das externe physische Netzwerk noch aus dem externen physischen Netzwerk auf das physische Computersystem (und dadurch gegebenenfalls in die virtuelle Maschine hinein) möglich ist. Somit ist eine Kapselung sowohl gegen ein Eindringen in das physische Computersystem aus dem externen physischen Netzwerk als auch gegen einen ungewollten Verbindungsaufbau aus der virtuellen Maschine bzw. aus dem physischen Computersystem in das externe Netzwerk realisiert.

Zum anderen ist das Einrichten von einem oder mehreren virtuellen Kommunikationssubnetzen zwischen einer Vielzahl von virtuellen Maschinen, die gegebenenfalls auf einer

Vielzahl physischer Computersysteme eingerichtet sind, möglich und durch die dargestellte Computersystem-Architektur vorbereitet, so dass auch größere virtualisierte Netzwerke oder IT-Netze durch eine Zusammenschaltung einer Mehrzahl derartige Computersystem-Architekturen eingerichtet werden können .

Die Computersystem-Architektur gemäß dem vorgestellten

Konzept verbindet somit Vorzüge herkömmlicher Einzellösungen zu einem neuartigen Konzept mit dem Effekt, dass eine erhöhte Sicherheit sowohl gegen Angriffe durch externe Schadsysteme in das physische Computersystem beziehungsweise in die virtuelle Maschine als auch gegen einen manipulierten

ungewollten Datenabzug aus der virtuellen Maschine in das externe physische Netzwerk gewährleistet ist. Potentiell unsicher bewertete Software kann daher mit einer gegenüber bisherigen Ansätzen deutlich gesteigerten Sicherheit

betrieben werden und dennoch komplexe Infrastrukturen

realisiert werden.

Das hier dargestellte Konzept beruht auf den Überlegungen, dass in Computernetz-Infrastrukturen eingesetzte

Basisbetriebssysteme beziehungsweise darauf laufende Anwendungsprogramme unsicher sein können in dem oben

erläuterten Sinne, dass die Basisbetriebssysteme

beziehungsweise Anwendungsprogramme von außen angreifbar sind beziehungsweise durch manipulative Fehler oder sonstige

Sicherheitslücken gewollt oder ungewollt Daten nach außen in ein externes Netzwerk an ungewollte Dritte weitergeben.

Derartige unsichere Systeme können innerhalb der virtuellen Maschine der Computersystem-Architektur der erläuterten Art betrieben werden, wobei eine Steuerung über das

Basisbetriebssystem des physischen Computersystems erfolgt, welches vorteilhaft als sicher gegenüber dem zu betreibenden Betriebssystem beziehungsweise den zu betreibenden

Anwendungsprogrammen gilt. Das Basisbetriebssystem kann zum Beispiel ein Open-Source-Betriebssystem in einer

international entwickelten Distribution sein, die nicht bestimmten Interessen oder Zwängen einzelner Organisationen unterworfen ist. Idealerweise ist bei einem derartigen

Basisbetriebssystem auch ein Audit auf Source Code-Ebene möglich, um das Verhalten des Basisbetriebssystems und seiner Komponenten (z.B. Treiber, Dienst- und Systemprogramme) transparent nachvollziehen zu können. Es ist auch denkbar, dass das Basisbetriebssystem speziell für die hier

vorgesehene Aufgabe entwickelt und/oder gehärtet ist und lediglich die notwendigen Funktionalitäten bereitstellt, ohne unüberschaubare und überbordende Funktionalitäten zu

enthalten .

Durch eine Kapselung der potentiell als unsicher geltenden Systeme in der virtuellen Maschine der Computersystem- Architektur entfällt die Notwendigkeit, umfangreiche

Sicherheitsregeln beziehungsweise Firewall-Einstellungen für die zu betreibenden Betriebssysteme beziehungsweise

Anwendungsprogramme zur Abschottung zu anderen Systemen vornehmen zu müssen. Denn das Basisbetriebssystem unterdrückt, wie oben erläutert, einen Verbindungsaufbau aus der virtuellen Maschine in ein externes physisches Netzwerk außerhalb des physischen Computersystems, abgesehen von speziell konfigurierten Verbindungen innerhalb eines oder mehrerer virtueller Kommunikationssubnetze zur

anwendungsspezifischen Kommunikation zwischen einer Mehrzahl virtueller Maschinen zur Realisierung einer speziellen

Funktionalität der Computersystem-Architektur. Durch Einsatz einer Virtualisierung in Verbindung mit der Nicht-Existenz von Netzwerkschnittstellen (Netzwerkinterfacen) an den virtuellen Maschinen, die mit der physischen Welt verbunden wären, wird somit der vorteilhafte Effekt erzielt, dass ein ungewünschter Verbindungsaufbau aus der virtuellen Umgebung in das externe physische Netzwerk unterdrückt wird, ohne dass es einer umfangreichen kontinuierlichen

Sicherheitsadministration der zu betreibenden Betriebssysteme durch Firewall-Regeln bedarf. Die Computersystem-Architektur gemäß dem vorgestellten Konzept ist somit deutlich einfacher in der Handhabung und gleichzeitig auch robuster, weil eine

Fehleranfälligkeit komplizierter Firewall-Regeln für jegliche Betriebssysteme beziehungsweise darauf laufende

Anwendungsprogramme entfallen. Durch eine gleichzeitige Abschottung des physischen

Computersystems nach außen, derart, dass kein

Verbindungsaufbau aus dem externen physischen Netzwerk (wie oben erläutert) auf das physische Computersystem möglich ist, abgesehen von einer vermittelten Kommunikation innerhalb des oder der virtuellen Kommunikationssubnetze, die über das externe physische Netzwerk vermittelt wird, wird der Schutz der Computersystem-Architektur zusätzlich deutlich erhöht. Dieser Schutz kann zum Beispiel durch gezielte Port-Sperren der Netzwerk-Ports des physischen Computersystems erzielt werden, die jedoch völlig unabhängig sind vom Verhalten der zu betreibenden Systeme innerhalb der virtuellen Umgebung. Auch dies trägt zu einem vereinfachten Handling der

Computersystem-Architektur bei. Zudem wird durch den Schutz des physischen Computersystems gegen Verbindungen von außen erreicht, dass kein manipulativer Angriff auf das physische Computersystem, geschweige denn auf die virtuelle Umgebung innerhalb des physischen Computersystems, möglich ist. Auf diese Weise ist es einem Angreifer nicht oder nur sehr schwer möglich, manipulativen Zugriff auf das physische

Computersystem zu erhalten, um Daten innerhalb des physischen Computersystems abzugreifen beziehungsweise eine erweiterte Kontrolle der virtuellen Umgebung und der darin ablaufenden Systeme zu erlangen. Selbst wenn ein Angreifer Zugang zu einem physischen Computersystem innerhalb einer Computernetz- Infrastruktur erlangen würde, ist ein weiteres Eindringen bzw. ein weiterer Vorstoß auf andere physische

Computersysteme innerhalb der Computernetz-Infrastruktur äußerst erschwert.

Alles in allem verbindet das hier dargestellte Konzept der Computersystem-Architektur somit verschiedenste Maßnahmen zu einem synergetischen Sicherheitskonzept gegen

Datenmissbrauch, das einfach handzuhaben ist und dennoch eine flexible Einrichtung einer Netzwerk-Topologie über virtuelle Kommunikationssubnetze ermöglicht, so dass auch komplexe Computernetz-Infrastrukturen aufgebaut werden können.

In einer Ausführungsform der Computersystem-Architektur weist die virtuelle Umgebung ferner zumindest eine virtuelle

Speicherschnittstelle auf, wobei die virtuelle

Speicherschnittstelle vermittels des Basisbetriebssystems steuerbar ist und eingerichtet ist physische

Speicherkomponenten als virtuelle Speicherkomponenten für die virtuelle Maschine bereitzustellen. Die virtuelle Maschine ist an die virtuelle Speicherschnittstelle angebunden und für eine Kommunikation mit den virtuellen Speicherkomponenten eingerichtet. In dieser Ausführungsform können physische Speicherkomponenten als virtuelle Speicherkomponenten für die virtuelle Maschine bereitgestellt sein. Das heißt, die virtuelle Maschine sieht lediglich virtuelle

Speicherkomponenten und kann nur diese einbinden. Die

physischen Speicherkomponenten sind in diesem Fall für die virtuelle Maschine vorteilhaft nicht sichtbar bzw. nicht erreichbar oder ansprechbar. Die physischen

Speicherkomponenten können innerhalb des physischen

Computersystems oder auch als externe Speicherkomponenten eingerichtet sein. Es ist z.B. denkbar, physische

Speicherkomponenten innerhalb eines Speichersubnetzes (z.B. ein sogenanntes Storage Area Network, SAN) an das physische Computersystem anzubinden. Eine Bereitstellung bzw. logische „Übersetzung" der physischen Speicherkomponenten als bzw. in die virtuellen Speicherkomponenten erfolgt vermittels der virtuellen Speicherschnittstelle. Diese wird vermittels des Basisbetriebssystems bzw. vermittels des Hypervisors

gesteuert. Es ist jedoch auch denkbar, eine vom Hypervisor getrennte Schnittstelle (z.B. in Form eines Pseudo-Devices oder ähnlichem) hierfür vorzusehen.

In dieser Ausführungsform sind die Netzwerk-Ports des physischen Computersystems zusätzlich vorteilhaft derart eingerichtet, dass eine Kommunikation mit externen

Speicherkomponenten innerhalb eines Speichersubnetzes über das physische Computersystem hinaus vermittels des externen physischen Netzwerks zugelassen wird. In einer denkbaren Konfiguration sind die Netzwerk-Ports des physischen

Computersystems bzw. die virtuelle Maschine vorteilhaft derart eingerichtet, dass ausschließlich ein

Verbindungsaufbau des physischen Computersystems hin zu den externen Speicherkomponenten innerhalb des Speichersubnetzes ermöglicht ist, jedoch weder ein Verbindungsaufbau aus dem Speichersubnetz zum physischen Computersystem noch zur virtuellen Maschine möglich ist. Entsprechende

Verbindungsversuche werden blockiert, verworfen oder sind schlichtweg nicht möglich. Vorteilhaft wird ein vom

Speichersubnetz (und wie oben erläutert vom virtuellen

Kommunikationssubnetz) unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk von außerhalb des physischen Computersystems zum physischen Computersystem generell verhindert.

Die Computersystem-Architektur ist daher vorteilhaft

eingerichtet, dass die virtuelle Maschine auf virtuelle

Speicherkomponenten zugreifen kann, um Daten zu speichern. Die virtuellen Speicherkomponenten werden vermittels der virtuellen Speicherschnittstelle auf physische

Speicherkomponenten übersetzt. Eine Steuerung dieser

Maßnahmen erfolgt vermittels des Basisbetriebssystems, vorzugsweise über einen Hypervisor im Basisbetriebssystem.

Durch die genannten Maßnahmen wird auch ein Schutz gegen ein manipulatives Zugreifen auf das physische Computersystem bzw. die virtuelle Maschine zur Erlangung von Daten erzielt, die von der virtuellen Maschine in entsprechenden (virtuellen) Speicherkomponenten eines hierfür vorgesehenen

Speichersystems abgelegt werden. Ein Austausch von Daten zwischen virtuellen Maschinen und den virtuellen

Speicherkomponenten erfolgt ausschließlich gesteuert über die virtuelle Speicherschnittstelle. Eine Weitergabe derartiger zu speichernder Daten durch die virtuelle Maschine an nicht autorisierte externe Systeme, die sich von den

Speicherkomponenten unterscheiden, ist dadurch unterbunden, dass die virtuelle Maschine, wie oben erläutert, derart eingerichtet ist, dass ein Verbindungsaufbau in das externe physische Netzwerk, welches sich in seiner Konfiguration von dem Speichersubnetz unterscheidet, verhindert wird. In einer Ausführungsform der Computersystem-Architektur sind das Basisbetriebssystem und die virtuelle Umgebung derart eingerichtet, dass ein Verbindungsaufbau von der virtuellen Maschine in das Basisbetriebssystem verhindert wird, jedoch ein Verbindungsaufbau vom Basisbetriebssystem in die

virtuelle Maschine zugelassen wird. Durch derartige Maßnahmen wird die Sicherheit der Computersystem-Architektur weiter erhöht. Ein potenziell als unsicher eingestuftes

Betriebssystem beziehungsweise ein darauf laufendes

Anwendungsprogramm hat keine Möglichkeit, einen Aufruf in das Basisbetriebssystem durchzuführen. Auf diese Weise ist die

Computersystem-Architektur gegen eine Manipulation von innen durch Fehler, Sicherheitslücken oder gezielte Manipulationen in den Betriebssystemen oder Anwendungsprogrammen geschützt, die in der virtuellen Maschine betrieben werden. Somit ist es einer potenziellen Schad-Software innerhalb der virtuellen

Maschine nicht möglich, zum Beispiel Sicherheitseinstellungen oder eine sonstige Funktionsweise des Basisbetriebssystems zu manipulieren . In dieser Ausführungsform ist ein Verbindungsaufbau von der virtuellen Maschine in das Basisbetriebssystem vorteilhaft dadurch verhindert, dass spezielle Firewall-Regeln im

Basisbetriebssystem eingerichtet sind und/oder die Konsole der virtuellen Maschine vermittels des Hypervisors des

Basisbetriebssystems entsprechend konfiguriert

beziehungsweise blockiert ist. In einer Ausführungsform der Computersystem-Architektur ist das Basisbetriebssystem eingerichtet, Daten der virtuellen Maschine, welche vermittels des externen physischen Netzwerks nach außerhalb des physischen Computersystems vermittelt werden, zu verschlüsseln. Das bedeutet, dass jegliche Daten, die aus der virtuellen Maschine in das externe physische

Netzwerk außerhalb des physischen Computersystems versendet werden sollen, noch innerhalb des physischen Computersystems vermittels des Basisbetriebssystems verschlüsselt werden. Die Verschlüsselung erfolgt ausschließlich durch Mechanismen innerhalb des Basisbetriebssystems. Dies hat den Vorteil, dass etwaige Manipulationen, Fehler oder Sicherheitslücken der Betriebssysteme oder Anwendungsprogramme innerhalb der virtuellen Maschine keinen Einfluss oder auch nur Zugriff auf die Verschlüsselung der Daten haben. Dadurch, dass ein

Verbindungsaufbau von der virtuellen Maschine in das

Basisbetriebssystem gemäß den oben erläuterten Maßnahmen in einer bevorzugten Ausführung verhindert wird, ist im zu betreibenden Betriebssystem innerhalb der virtuellen Maschine zumindest nicht direkt ermittelbar, dass die Daten überhaupt verschlüsselt werden.

Eine verschlüsselte Versendung der Daten, insbesondere der Daten, die über ein oder mehrere virtuelle

Kommunikationssubnetze und/oder ein oder mehrere

Speichersubnetze der obigen Art in das externe physische

Netzwerk außerhalb des physischen Computersystems versendet werden, kann durch Einrichten einer abgesicherten,

verschlüsselten Verbindung erzielt werden. Dies kann beispielweise dadurch erzielt werden, dass das

Basisbetriebssystem eingerichtet ist, ein oder mehrere so genannte Virtual-Private-Netzwerkverbindungen in ein externes physisches Netzwerk auf andere physische Computersysteme aufzubauen beziehungsweise von anderen physischen

Computersystemen über das externe physische Netzwerk

entsprechende Verbindungen anzunehmen. Innerhalb der so hergestellten Virtual-Private-Netzwerke (VPN) werden die Daten ausschließlich in verschlüsselter Form ausgetauscht. Die Netzwerk-Ports des physischen Computersystems sind somit vorteilhaft derart eingerichtet, dass ein entsprechender Datenaustausch über speziell hierfür eingerichtete VPN- Verbindungen erlaubt ist, z.B. speziell konfigurierte VPN- Dienste eingerichtet sind. Andere Verbindungen von außerhalb des physischen Computersystems auf das physische

Computersystem werden, wie oben erläutert, blockiert

beziehungsweise verworfen. Das bedeutet, dass das physische Computersystem für Verbindungsaufrufe aus dem externen physischen Netzwerk unabhängig von einer Datenkommunikation innerhalb eines virtuellen Kommunikationssubnetzes und ggf. unabhängig von einer Datenkommunikation innerhalb eines

Speichersubnetzes der oben erläuterten Art nicht ansprechbar ist . Die Verschlüsselung von Daten kann z.B. über eine speziell hierfür eingerichtete Verschlüsselungsschicht oder einen Pseudo-Device im Basisbetriebssystem erfolgen. Bei Unix- bzw. Linux-Systemen kann dies z.B. über den sogenannten „Device Mapper" erfolgen.

Durch eine Verschlüsselung der Daten kann außerhalb des physischen Computersystems vermittels des externen physischen Netzwerks nicht auf Klardaten zugegriffen werden. Durch derartige Maßnahmen werden die Daten auch vor

missbräuchlichen Auswirkungen durch Sicherheitslücken in externen Netzwerkkomponenten (z. B. Router, Switches, usw.) geschützt. Selbst wenn Daten über das externe physische

Netzwerk auf Systeme unbefugter Dritter weitergeleitet werden oder z.B. von Administratoren in einem Speichersubnetz missbräuchlich abgegriffen werden, erhalten diese lediglich verschlüsselte Inhalte. Eine Umgehung der Verschlüsselung im Basisbetriebssystem durch einen Angriff eines externen

Systems ist, wie oben erläutert, dadurch massiv erschwert, dass die Netzwerk-Ports des physischen Computersystems, abgesehen von Verbindungen innerhalb eines virtuellen

Kommunikationssubnetzes beziehungsweise eines

Speichersubnetzes, jegliche Verbindungsversuche aus dem externen physischen Netzwerk verhindern beziehungsweise blockieren. Optional kann zur weiteren Erhöhung der

Sicherheit auch eine Mehrfachauthentifizierung oder eine Mehrfachverschlüsselung eingerichtet werden. Nachfolgend wird eine vorteilhafte Computernetz-Infrastruktur unter Einsatz einer Mehrzahl von Computersystem-Architekturen der oben erläuterten Art dargestellt. Die Computernetz- Infrastruktur umfasst eine Mehrzahl solcher Computersystem- Architekturen, die über zumindest ein physisches Netzwerk (der oben erläuterten Art) verbunden sind. In der

Computernetz-Infrastruktur ist zumindest eine virtuelle

Maschine der jeweiligen Computersystem-Architekturen über zumindest ein virtuelles Kommunikationssubnetz mit zumindest einer virtuellen Maschine zumindest einer anderen

Computersystem-Architektur verbunden. Die Computernetz- Infrastruktur ist derart eingerichtet, dass eine

Kommunikation innerhalb des zumindest einen virtuellen

Kommunikationssubnetzes zwischen den physischen Computersystemen vermittels des zumindest einen physischen Netzwerks vermittelt wird.

Eine derartige Computernetz-Infrastruktur umfasst die

Vorteile, wie sie im Zusammenhang mit einer Computersystem- Architektur der oben dargestellten Art erläutert worden sind. In einer derartigen Computernetz-Infrastruktur ist eine

Vielzahl von virtuellen Maschinen vernetzt, wobei die

virtuellen Maschinen auf die Mehrzahl der physischen

Computersysteme der jeweiligen Computersystem-Architekturen verteilt sind und innerhalb eines oder mehrerer virtuellen Kommunikationssubnetze miteinander kommunizieren können. Auf diese Weise können virtuelle Netzwerke mit komplexem

Funktionsumfang realisiert werden. So ist es denkbar, durch eine derartige Computernetz-Infrastruktur komplexe Server- Funktionalitäten, z. B. umfassend Web-, Anwendungs- und/oder Datenbank-Funktionalitäten, bereitzustellen.

Ein großer Vorteil einer derartigen Computernetz- Infrastruktur besteht dabei darin, dass trotz einer komplexen Funktionalität umfangreiche und komplexe Sicherheitsregeln oder Firewall-Regeln entfallen. In einer derartigen

Infrastruktur müssen nicht für jede Anwendung in jedem

Computersystem global gültige Firewall-Regeln eingestellt werden, die in einer großen Infrastruktur zu

unübersichtlichen Einstellungen führen würden. Vielmehr ist eine Absicherung der Infrastruktur dadurch gegeben, dass Betriebssysteme und Anwendungen innerhalb der virtuellen Maschinen der jeweiligen Computersystem-Architekturen

eingekapselt sind und nicht über komplexe Firewall-Regeln gesteuert werden müssen. Dadurch, dass es einer jeden

virtuellen Maschine verboten ist, eine Verbindung in das externe physische Netzwerk aufzubauen (siehe obige Erläuterungen) , wird in einer derartigen Infrastruktur verhindert, dass sensible beziehungsweise vertrauliche Daten über ungewollte Netzwerk-Verbindungen nach außerhalb der Infrastruktur gelangen. Insofern haben Fehler und

Sicherheitslücken der Betriebssysteme beziehungsweise

Anwendungen innerhalb der virtuellen Maschinen keine oder nur sehr erschwert Auswirkung.

Die jeweiligen virtuellen Maschinen der jeweiligen

Computersystem-Architekturen werden über die entsprechenden Basisbetriebssysteme in den physischen Computersystemen gesteuert. Diese Steuerung verhindert einen entsprechenden Verbindungsaufbau der virtuellen Maschinen in das externe physische Netzwerk. Auf diese Weise ist eine sehr einfache und dennoch wirkungsvolle Sicherheitssteuerung der

Computernetz-Infrastruktur gewährleistet. Innerhalb der virtuellen Maschinen können unterschiedlichste Anwendungen beziehungsweise Systeme zur Realisierung bestimmter

anwendungsspezifischer Funktionalitäten eingerichtet sein. Somit ist die Computernetz-Infrastruktur dennoch sehr

flexibel in der Einrichtung anwendungsorientierter

Funktionalitäten .

Zusätzlich zu einem Schutz einer Datenmanipulation von innerhalb der virtuellen Maschinen nach außerhalb der

Computernetz-Infrastruktur bietet die Computernetz- Infrastruktur zudem einen wirksamen Schutz gegen ein

Eindringen von außen. Denn, wie im Zusammenhang mit einer einzelnen Computersystem-Architektur oben dargestellt, sind sämtliche Netzwerk-Ports der jeweiligen physischen

Computersysteme der Computernetz-Infrastruktur derart

eingerichtet, dass lediglich eine Vermittlung einer (ggf. verschlüsselten) Kommunikation innerhalb des beziehungsweise der virtuellen Kommunikationssubnetze zwischen den physischen Computersystemen vermittels des externen physischen Netzwerks zugelassen wird, jedoch ein von dem oder den virtuellen

Kommunikationssubnetzen unabhängiger Verbindungsaufbau aus dem externen physischen Netzwerk auf die jeweiligen

physisches Computersysteme verhindert wird.

Mit anderen Worten kann über eine derartige Computernetz- Infrastruktur eine komplexe Funktionalität realisiert werden, die jedoch sowohl von innen nach außen, als auch von außen nach innen gegen Manipulationen beziehungsweise Angriffe geschützt beziehungsweise eingekapselt ist.

Manipulationsversuche von außen sind extrem erschwert

beziehungsweise deren Auswirkungen auf ein bestmögliches Minimum reduziert. Die physischen Computersysteme der

Computernetz-Infrastruktur sind schlichtweg von außen über das physische externe Netzwerk nicht ansprechbar.

Verbindungen, die unabhängig von Kommunikationen über das oder die virtuellen Kommunikationssubnetze sind, werden vollständig ignoriert. Andererseits ist die Computernetz- Infrastruktur abgesichert gegen Datenabzug durch Fehler oder Sicherheitslücken in Betriebssystemen oder

Anwendungsprogrammen, die innerhalb der virtuellen Maschinen der jeweiligen Computersystem-Architekturen laufen. Aufgrund der Virtualisierung ist eine sicherheitstechnische Barriere geschaffen, die es einem System oder einer Anwendung

innerhalb einer virtuellen Maschine verbietet, überhaupt eine (ungewollte) Verbindung nach außen aufbauen zu können.

Jegliche Kommunikation der beteiligten Systeme ist innerhalb des oder der virtuellen Kommunikationssubnetze

eingeschlossen . Eine derartige Computernetz-Infrastruktur ist aus Sicherheitssicht einfach zu administrieren und erlaubt dennoch ein deutlich höheres Maß an Sicherheit im Vergleich zu herkömmlich aufgebauten Infrastrukturen.

Vorteilhaft weist die dargestellte Computernetz-Infrastruktur physische Speicherkomponenten zur Speicherung von Daten der virtuellen Maschinen der Computersystem-Architekturen auf. Die Speicherkomponenten sind als virtuelle

Speicherkomponenten von zumindest einem Teil der virtuellen Maschinen ansprechbar. In einer Ausführungsform sind die Speicherkomponenten außerhalb der physischen Computersysteme als physische Speicherkomponenten (z. B. innerhalb eines so genannten Storage Area-Netzwerks , SAN) eingerichtet und über ein oder mehrere Speichersubnetze ansprechbar. Die

Computernetz-Infrastruktur ist in dieser Ausführungsform derart eingerichtet, dass eine Kommunikation innerhalb der Speichersubnetze außerhalb der physischen Computersysteme vermittels des zumindest einen physischen Netzwerks

vermittelt wird. Wie bereits oben zu einer einzelnen

Computersystem-Architektur beschrieben, ist bei einer

derartigen Ausführung einer Computernetz-Infrastruktur auch eine Speicherung von Daten integriert, die aus den virtuellen Maschinen stammen und gespeichert werden sollen. Hierbei kann es sich beispielsweise um anwendungsspezifische Daten,

Benutzerdaten, Systemdaten, usw. handeln.

Durch eine Anbindung der virtuellen Maschinen über ein oder mehrere Speichersubnetze an die Speicherkomponenten, welche von den virtuellen Maschinen lediglich als virtuelle

Speicherkomponenten sichtbar und ansprechbar sind, ist eine Datenspeicherung innerhalb des dargestellten

Sicherheitskonzeptes der Computernetz-Infrastruktur auf einfache Weise realisiert. Sämtliche Daten werden ausschließlich eingekapselt innerhalb des oder der

Speichersubnetze zwischen den Teilkomponenten der

Infrastruktur ausgetauscht. Wie bereits oben zu einer

einzelnen Computersystem-Architektur erläutert, werden Daten außerhalb eines physischen Computersystems vorteilhaft nur verschlüsselt übertragen. Eine entsprechende Verschlüsselung von Daten aus den virtuellen Maschinen erfolgt auf der Ebene des Basisbetriebssystems eines jeweiligen physischen

Computersystems.

Die Verschlüsselung ist vorteilhaft derart eingerichtet, dass beteiligte virtuelle Maschinen keinerlei Zugriff auf die Verschlüsselung haben. Vorteilhaft ist die Verschlüsselung derart unabhängig von den virtuellen Maschinen eingerichtet, dass Betriebssysteme beziehungsweise Anwendungen innerhalb der virtuellen Maschinen nicht einmal Informationen vorliegen haben, dass eine Verschlüsselung außerhalb der virtuellen Maschinen auf Basisbetriebssystem-Ebene erfolgt. Zur

Speicherung von Daten können die virtuellen Maschinen die virtuellen Speicherkomponenten ansprechen, wobei technisch auf der Ebene der Basisbetriebssysteme, z. B. vermittels eines Hypervisors oder einer hierfür eingerichteten

Schnittstelle (z.B. eines Pseudo-Devices) , eine Vermittlung dieser Kommunikation vermittels des zumindest einen

physischen Netzwerks auf die tatsächlich vorliegenden

physischen Speicherkomponenten erfolgt. Diese Vermittlung ist derart eingerichtet, dass sämtliche Daten über das

Basisbetriebssystem verschlüsselt werden, bevor sie das physische Computersystem verlassen. Auf diese Weise sind die Daten innerhalb des physischen Netzwerks, d.h. auch innerhalb eines physischen Storage-Netzwerks , ausschließlich in

verschlüsselter Form verfügbar. Derartige Maßnahmen sind auch unabhängig von etwaigen zusätzlichen Sicherheitseinrichtungen innerhalb der Speicherkomponenten beziehungsweise innerhalb eines physischen Storage-Netzwerks . Insofern ist die

Computernetz-Infrastruktur auch sehr robust gegen etwaige Manipulationen von Sicherheitseinrichtungen der physischen Speicherkomponenten. Selbst bei einer Manipulation von

Speicherkomponenten, zum Beispiel durch Eindringen eines externen Angreifers in ein entsprechend eingerichtetes

Storage-Area-Network, sind die Daten bereits durch das

Basisbetriebssystem der jeweiligen physischen Computersysteme verschlüsselt, so dass ein Angriff auf die

Speicherkomponenten diesbezüglich aus Sicherheitssicht erfolglos bleibt. Vorteilhaft ist die gesamte Computernetz-Infrastruktur derart eingerichtet, dass eine Kommunikation innerhalb des zumindest einen virtuellen Kommunikationssubnetzes (und auch

gegebenenfalls innerhalb des zumindest einen

Speichersubnetzes) zwischen den physischen Computersystemen über ein oder mehrere Virtual-Private-Netzwerke (VPN) vermittelt wird. Hierdurch ergeben sich die bereits oben im Zusammenhang mit einer entsprechenden VPN-Verbindung

dargestellten Vorteile. In einer vorteilhaften Ausführungsform der Computernetz- Infrastruktur sind zwischen jeweils zwei physischen

Computersystemen zumindest ein erstes und ein zweites

Virtual-Private-Netzwerk zur Vermittlung des zumindest einen virtuellen Kommunikationssubnetzes (und gegebenenfalls zur Vermittlung des zumindest einen Speichersubnetzes)

eingerichtet. Dabei ist ein ansprechbarer VPN-Dienst des ersten Virtual-Private-Netzwerks auf dem einen physischen Computersystem eingerichtet und ein ansprechbarer VPN-Dienst des zweiten Virtual-Private-Netzwerks auf dem anderen

physischen Computersystem eingerichtet. Das bedeutet, dass bei einer derartigen Konfiguration zwischen jeweils zwei physischen Computersystemen auf beiden Computersystemen zumindest jeweils ein VPN-Dienst zur Bereitstellung einer Verbindungsmöglichkeit über ein Virtual-Private-Netzwerk eingerichtet ist. Auf diese Art sind zumindest zwei VPNs zwischen jeweils zwei physischen Computersystemen nutzbar. Fällt ein VPN-Dienst auf einem der Computersysteme aus, so kann dennoch eine VPN-Verbindung zwischen den beteiligten Computersystemen über den VPN-Dienst des anderen

Computersystems aufgebaut werden. Auf diese Weise ist die Computernetz-Infrastruktur besonders ausfallsicher

hinsichtlich eingerichteter VPN-Verbindungen zwischen den physischen Computersystemen.

Es ist auch denkbar, mehr als zwei mögliche VPN-Verbindungen zwischen jeweils zwei physischen Computersystemen vorzusehen, indem mehr als zwei VPN-Dienste auf den entsprechenden physischen Computersystemen eingerichtet sind. Dies erhöht die Ausfallsicherheit und erlaubt eine Hochverfügbarkeit der VPN-Verbindungen zwischen den beteiligten physischen

Computersystemen. Sämtliche zwischen jeweils zwei physischen Computersystemen eingerichtete VPN-Verbindungen können über ein so genanntes VPN-Bonding beziehungsweise VPN-Teaming zu einer redundanten Verbindung zusammengefasst werden. Dies hat auch den Vorteil, dass die gesamte Bandbreite der

aggregierten Einzelverbindungen erhöht werden kann. Im Falle des Ausfalls einer Verbindung bestehen die eine oder die mehreren verbleibenden Verbindungen, wie erläutert, als redundante Verbindungen bestehen. In einer vorteilhaften Ausführungsform sind in der Computernetz-Infrastruktur mehrere separate virtuelle

Kommunikationssubnetze eingerichtet, wobei für jedes

virtuelle Kommunikationssubnetz separate Sicherheitsregeln für die beteiligten virtuellen Maschinen vorgegeben sind. Jedes separate virtuelle Kommunikationssubnetz kann einen eigenen IP-Adressraum mit vorbestimmten privaten IP-Adressen der beteiligten virtuellen Maschinen aufweisen. Auf diese Weise sind innerhalb der Computernetz-Infrastruktur mehrere separate Teilnetze eingerichtet, wobei innerhalb der

Teilnetze die virtuellen Maschinen kommunizieren. Innerhalb eines jeden Kommunikationssubnetzes kann die Kommunikation anwendungsspezifisch durch Sicherheitsregeln, z. B. Firewall- Regeln, definiert werden. Die Sicherheitsregeln werden z.B. über das Basisbetriebssystem gesteuert. Der Vorteil der

Mehrzahl getrennter Kommunikationssubnetze besteht darin, dass für jedes Kommunikationssubnetz unabhängig von den anderen Kommunikationssubnetzen Sicherheitsregeln definiert werden können. Insbesondere können Sicherheitsregeln mit der Definition und Erzeugung der virtuellen Komponenten

(virtuelle Maschinen, Bridges, Interfaces, usw.) verknüpft werden und so automatisch mitinstalliert, umgezogen oder entfernt werden. Auf diese Weise ist eine Verwaltung

sämtlicher Kommunikationssubnetze aus Sicherheitssicht sehr einfach handzuhaben. Dennoch können innerhalb der einzelnen Kommunikationssubnetze diverse auf eine jeweilige Anwendung fein abgestimmte Sicherheitsregeln eingestellt werden. Somit erlaubt die Computernetz-Infrastruktur eine vernetzte

Struktur mit einfach handzuhabenden Sicherheitseinstellungen, die jedoch sehr fein auf die entsprechenden

anwendungsspezifischen Funktionalitäten abstimmbar sind. Es ist keine globale Sicherheitsinstanz (globales Firewall- System) notwendig, die für jede Anwendung in einer jeden virtuellen Maschine spezielle Firewall-Regeln zur Kontrolle einer Verbindung nach außen vorsehen muss. Eine

Verbindungsmöglichkeit in das externe physische Netzwerk ist durch die Virtualisierung generell verboten, wie oben

mehrfach erläutert.

In einer Ausführungsform umfasst die Computernetz- Infrastruktur neben den erläuterten Komponenten ferner ein Administrations-Computersystem und ein Vermittlungs- Computersystem, die mit dem zumindest einen physischen

Netzwerk verbunden sind zur Administration eines oder

mehrerer Computersystem-Architekturen. Die Netzwerk-Ports des Administrations-Computersystems sind zum zumindest einen physischen Netzwerk hin geschlossen, so dass ein

Verbindungsaufbau aus dem zumindest einen physischen Netzwerk von außerhalb des Administrations-Computersystems zum

Administrations-Computersystem verhindert wird. Das

Vermittlungs-Computersystem weist jedoch zumindest einen offenen Netzwerk-Port zum zumindest einen physischen Netzwerk hin auf und ist derart eingerichtet, dass sowohl das

Administrations-Computersystem als auch die physischen

Computersysteme der zu administrierenden Computersystem- Architekturen über das zumindest eine physische Netzwerk auf das Vermittlungs-Computersystem zugreifen können.

Die hier zusätzlich vorgesehenen Systeme, nämlich das

Administrations-Computersystem und das Vermittlungs- Computersystem, dienen zur Administration eines oder

mehrerer, vorteilhaft aller, Computersystem-Architekturen innerhalb der Computernetz-Infrastruktur. Diese beiden

Systeme sind speziell an das Sicherheitskonzept der

Computernetz-Infrastruktur angepasst. Wie bereits mehrfach erläutert, sind die Netzwerk-Ports der physischen Computersysteme der entsprechenden Computersystem- Architekturen derart eingerichtet, dass ein vom virtuellen Kommunikationssubnetz beziehungsweise gegebenenfalls ein vom Speichersubnetz unabhängiger Verbindungsaufbau aus dem physischen Netzwerk von außerhalb der physischen

Computersysteme verhindert wird. Das bedeutet, dass kein Computersystem, welches sich von einer virtuellen Maschine unterscheidet und außerhalb des einen oder der mehreren virtuellen Kommunikationssubnetze mit den physischen

Computersystemen kommunizieren möchte, einen

Verbindungsaufbau zu den physischen Computersystemen aufbauen kann. Vielmehr wird ein derartiger Verbindungsaufbau

blockiert beziehungsweise verworfen. Andererseits soll aber auch ein administrativer Zugang zu den Computersystem- Architekturen der Computernetz-Infrastruktur gewährleistet bleiben beziehungsweise ist ein derartiger administrativer Zugang oftmals erforderlich.

Für einen derartigen kontrollierten administrativen Zugang sind das Administrations-Computersystem und das Vermittlungs- Computersystem vorgesehen. Die Netzwerk-Ports des

Administrations-Computersystems sind analog zu den Netzwerk- Port der physischen Computersysteme der Computersystem- Architekturen innerhalb der Computernetz-Infrastruktur derart geschlossen, dass ein Verbindungsaufbau aus dem physischen Netzwerk zum Administrations-Computersystem verhindert wird. Dagegen weist das Vermittlungs-Computersystem zumindest einen offenen Netzwerk-Port auf, über den ein Verbindungsaufbau aus dem physischen Netzwerk auf das Vermittlungs-Computersystem eingerichtet ist. Im Gegensatz zum Administrations- Computersystem beziehungsweise zu den physischen

Computersystemen der Computersystem-Architekturen ist das Vermittlungs-Computersystem daher ein „offenes" Computersystem. Das bedeutet, dass sowohl das

Administrations-Computersystem als auch die physischen

Computersysteme der entsprechenden Computersystem- Architekturen auf das Vermittlungs-Computersystem zugreifen können und vom Vermittlungs-Computersystem Daten

beziehungsweise Daten-Pakete über eine entsprechend

aufgebaute Verbindung abrufen können. Über entsprechende Daten beziehungsweise Daten-Pakete ist somit ein Prozess zum Austausch von Steuerdaten für eine administrative Steuerung der Computersystem-Architekturen vermittels des

Administrations-Computersystems möglich, ohne dass das

Administrations-Computersystem selbst beziehungsweise die physischen Computersysteme der Computersystem-Architekturen laufende Dienste an einem oder mehreren Netzwerk-Ports besitzen (so genannte Listening-Ports ) , die eine Gefahr beziehungsweise Anfälligkeit für Angriffe über das externe Netzwerk bieten.

Insbesondere ist es denkbar, dass über das Administrations- Computersystem bestimmte Steuerdaten beziehungsweise Daten- Pakete zur Steuerung, Administration oder Konfiguration eines oder mehrerer Computersystem-Architekturen (also der

physischen Computersysteme und/oder der virtuellen Maschinen innerhalb der physischen Computersysteme) über eine zum

Vermittlungs-Computersystem hin aufgebaute Verbindung an das Vermittlungs-Computersystem übergeben und dort abgelegt werden. Daraufhin kann ein Prozess gestartet werden, bei dem ein oder mehrere physische Computersysteme der

Computersystem-Architekturen eine Verbindung zum

Vermittlungs-Computersystem hin aufbauen und vom

Vermittlungs-Computersystem die entsprechenden Steuerdaten beziehungsweise Daten-Pakete abholen und zu sich

transferieren. In den physischen Computersystemen beziehungsweise in den virtuellen Maschinen auf den physischen Computersystemen (unter Umständen vermittels des Basisbetriebssystems beziehungsweise des Hypervisors) können dann bestimmte Tasks in Abhängigkeit der übertragenen

Steuerdaten beziehungsweise Daten-Pakete ausgeführt werden. Auf diese Weise ist ein administrativer mittelbarer Zugang zu den entsprechenden Computersystem-Architekturen möglich.

Weitere vorteilhafte Ausführungsformen beziehungsweise weitere Aspekte sind in den Unteransprüchen beziehungsweise in der nachfolgenden Figurenbeschreibung offenbart.

Die Erfindung wird nachfolgend unter Zuhilfenahme mehrerer Figuren anhand diverser Ausführungsbeispiele näher erläutert.

Es zeigen:

Figur 1 eine schematisierte Darstellung einer bestimmten

Funktionalität einer Computersystem-Architektur zum Einsatz in einer Computernetz-Infrastruktur,

Figur 2 eine schematisierte Darstellung einer weiteren

Funktionalität einer Computersystem-Architektur,

Figur 3A eine schematisierte Darstellung einer

Ausführungsform einer Computernetz-Infrastruktur mit zwei Computersystem-Architekturen,

Figur 3B ein Ersatzschaltbild der Funktionalität gemäß Figur

3A, Figur 3C eine schematisierte Darstellung einer weiteren Funktionalität einer Computersystem-Architektur innerhalb einer Computernetz-Infrastruktur, Figur 4 eine schematisierte Gesamtübersicht verschiedener

Funktionalitäten der Computersystem-Architekturen innerhalb einer Computernetz-Infrastruktur gemäß Figur 3A, Figur 5A eine schematisierte Darstellung einer weiteren

Ausführungsform einer Computernetz-Infrastruktur in einer ersten Konfiguration,

Figur 5B die Ausführungsform gemäß Figur 5A in einer zweiten

Konfiguration,

Figur 6A eine weitere Ausführungsform einer Computernetz- Infrastruktur,

Figur 6B ein Ersatzschaltbild der Funktionalität gemäß Figu

6A,

Figur 7A eine vereinfachte Darstellung der Ausführungsform gemäß Figur 6A,

Figur 7B eine weitere Ausführungsform einer Computernetz- Infrastruktur,

Figur 7C eine schematisierte Darstellung abgesicherter

Verbindungen zwischen physischen Computersystemen in einer Computernetz-Infrastruktur, Figur 8 eine weitere Ausführungsform einer Computernetz- Infrastruktur .

Figur 1 zeigt eine schematisierte Darstellung einer

Computernetz-Infrastruktur 1, umfassend ein physisches

Computersystem 2 sowie eine virtuelle Maschine VMl, die auf dem physischen Computersystem 2 installiert ist. Das

physische Computersystem 2 weist hierzu zum Beispiel eine virtuelle Umgebung auf, die über ein Basisbetriebssystem auf dem physischen Computersystem 2 steuerbar ist. Hierzu ist beispielsweise denkbar, im Basisbetriebssystem einen

Hypervisor vorzusehen, der die virtuelle Maschine VMl

verwaltet und eine Vermittlung einer Kommunikation zwischen der virtuellen Umgebung und einer physischen Infrastruktur ermöglicht. Hier sind gängige Implementierungen denkbar.

Die virtuelle Maschine VMl umfasst beispielsweise ein zu betreibendes Betriebssystem und gegebenenfalls ein darauf ablaufendes Anwendungsprogramm. Das Anwendungsprogramm kann eine anwendungsspezifische Funktionalität bereitstellen. Es ist natürlich auch denkbar, innerhalb der virtuellen Maschine VMl eine Mehrzahl von Betriebssystemen parallel einzurichten beziehungsweise eine Vielzahl von Anwendungsprogrammen laufen zu lassen.

Das physische Computersystem 2 weist einen oder mehrere

Netzwerk-Ports 4 auf, die schematisiert dargestellt mit einem externen physischen Netzwerk N verbunden sind. Das physische Netzwerk N ist somit außerhalb des physischen Computersystems 2 eingerichtet und umfasst ein lokales Netzwerk einer

Computernetz-Infrastruktur. Ferner kann sich das Netzwerk N auch in das öffentliche World Wide Web (Internet) erstrecken. Die Netzwerk-Ports 4 des physischen Computersystems 2 sind derart eingerichtet, dass ein Verbindungsaufbau vom

physischen Computersystem 2 in das externe physische Netzwerk N möglich ist, jedoch ein Verbindungsaufbau aus dem externen physischen Netzwerk N auf das physische Computersystem 2 nicht möglich ist. Ein entsprechender Verbindungsaufbau auf das physische Computersystem 2 wird beispielsweise durch gesperrte Netzwerk-Ports 4 (z. B. vermittels einer Firewall und/oder eines Paketfilters) verhindert beziehungsweise blockiert oder Verbindungsversuche verworfen. Zusätzlich hat das physische Computersystem 2 optional keine laufenden

Dienste an den Netzwerk-Ports 4, die nach außen auf externe Verbindungsversuche hin lauschen. Derartige so genannte

Listening-Netzwerk-Ports sind in physischen Computersystemen 2 bewusst nicht eingerichtet. Somit verhält sich das

physische Computersystem 2 allgemein hinsichtlich externer Verbindungsanfragen aus dem externen physischen Netzwerk N als geschlossenes System. Es ist beispielsweise nicht

möglich, dass sich ein Administrator über ein entferntes Computersystem vermittels des Netzwerks N an einem Dienst im physischen Computersystem 2 vermittels spezieller hierfür geöffneter Netzwerk-Ports 4 anmeldet. Allerdings stellt das physische Computersystem 2 dennoch eine Vermittlung einer Kommunikation der virtuellen Maschine VM1 zu anderen

virtuellen Maschinen außerhalb des physischen Computersystems 2 vermittels des Netzwerks N zur Verfügung, wie später erläutert wird.

Neben der virtuellen Maschine VM1 umfasst die Computersystem- Architektur 1 gemäß Figur 1 auch eine so genannte virtuelle Bridge br eines virtuellen Kommunikationssubnetzes 3. Die virtuelle Bridge br ist als Funktionalität schematisiert dargestellt und kann beispielsweise über das Basisbetriebssystem innerhalb der virtuellen Umgebung

bereitgestellt sein.

Vorteilhaft arbeitet die virtuelle Bridge br als virtuelle Netzwerk-Verbindung (Interface) zur Anbindung der virtuellen Maschine VM1 an das virtuelle Kommunikationssubnetz 3. Die virtuelle Bridge br kann beispielsweise innerhalb eines Protokollstapels gemäß dem so genannten OSI-Schichtenmodell als virtuelle Hardware-Bridge mit einer Funktionalität gemäß Schicht 2 (Sicherungsschicht) eingerichtet sein.

Auf diese Weise ist die virtuelle Maschine VM1 an das

Kommunikationssubnetz 3 für eine Kommunikation mit anderen virtuellen Maschinen eingerichtet. Ansonsten wird die

virtuelle Maschine VM1 durch ein auf dem physischen

Computersystem 2 eingerichtetes Basisbetriebssystem

beziehungsweise den entsprechenden Hypervisor derart

gesteuert, dass ein Verbindungsaufbau von der virtuellen Maschine VM1 in das externe physische Netzwerk N unterbunden wird. Das bedeutet, dass die virtuelle Maschine VM1 kein externes Interface für eine Anbindung an das externe

physische Netzwerk N aufweist. Somit kann die virtuelle

Maschine VM1 eine Kommunikation (d. h. Verbindungsaufrufe beziehungsweise Vermittlungsannahmen) lediglich über die virtuelle Bridge br innerhalb des Kommunikationssubnetzes 3 durchführen .

Zusätzlich ist die virtuelle Maschine VM1 derart eingerichtet beziehungsweise wird durch das Basisbetriebssystem und/oder den Hypervisor derart gesteuert, dass ein Aufruf der

virtuelle Maschine VM1 in das Basisbetriebssystem des physischen Computersystems 2 nicht erlaubt beziehungsweise nicht möglich ist oder unterdrückt wird. Dies ist beispielsweise durch geeignete Firewall-Regeln im Basisbetriebssystem implementiert. Alternativ oder ergänzend kann z. B. der Hypervisor des Basisbetriebssystems im

physischen Computersystem 2 eine Konsole oder eine andere Kontrolleinrichtung der virtuellen Maschine VM1 derart steuern, dass aus der Konsole bzw. der Kontrolleinrichtung der virtuellen Maschine VM1 kein Aufruf in das

Basisbetriebssystem möglich ist. Aufgrund der genannten Sicherheitsmechanismen ist die

Computersystem-Architektur 1 gemäß Figur 1 daher eine

vollkommen eingekapselte Struktur. Ein in der virtuellen Maschine VM1 laufendes Betriebssystem beziehungsweise ein darauf ablaufendes Anwendungsprogramm, welche generell Fehler und/oder Sicherheitslücken aufweisen können und somit als potentiell unsicher gelten, können keine Datenverbindung nach außerhalb des physischen Computersystems 2 über das Netzwerk N aufbauen, weil eine derartige Funktionalität durch das auf dem physischen Computersystem 2 laufende Basisbetriebssystem (welches idealerweise als sicher gegenüber dem zu

betreibenden Betriebssystem innerhalb der virtuellen Maschine VM1 gilt) beziehungsweise durch den Hypervisor unterbunden wird. Insofern stellt die Virtualisierung innerhalb der

Computersystem-Architektur 1 eine Sicherheitsbarriere gegen Fehler oder Sicherheitslücken eines Programms dar, das innerhalb der virtuellen Maschine VM1 abläuft.

Um jedoch eine anwendungsspezifische und auch komplexe

Computernetz-Infrastruktur realisieren zu können, ist die virtuelle Maschine VM1 über die virtuelle Netzwerk-Bridge br an das Kommunikationssubnetz 3 angebunden und kann mit anderen virtuellen Maschinen zur Realisierung und

Bereitstellung einer entsprechenden Funktionalität kommunizieren. In speziellen Anwendungsfällen kann von der virtuellen Maschine VM1 (temporär) über das

Kommunikationssubnetz 3 (vermittelt über das physische

Netzwerk N) eine Verbindung zu einem externen System

aufgebaut werden. Dies stellt jedoch einen Spezialfall dar. Ferner ist denkbar, dass ein externes System über das

Kommunikationssubnetz 3 (vermittelt über das physische

Netzwerk N) direkt eine Verbindung zur virtuellen Maschine VM1 aufbaut. Eine Verbindung von extern auf das physische Computersystem 2 wird jedoch - wie oben erläutert - durch die entsprechend konfigurierten Netzwerk-Ports 4 verhindert.

Zusätzlich ist das physische Computersystem 2 aufgrund der nach außen geschlossen Netzwerk-Ports 4 gegen unerlaubte Verbindungsaufrufe auf das physische Computersystem 2 über das Netzwerk N geschützt. Dadurch ist das physische

Computersystem 2 entsprechend robust gegen Angriffe aus dem Netzwerk N, weil auf dem physischen Computersystem 2, wie erläutert, keine laufenden Dienste an den Netzwerk-Ports 4 eingerichtet sind, die eine herkömmliche Angriffsmöglichkeit bieten würden.

Figur 2 zeigt eine Ausführungsform einer Computersystem- Architektur 1, wobei eine weitere Funktionalität

veranschaulicht ist. Die Computersystem-Architektur 1 gemäß

Figur 2 kann prinzipiell entsprechend den Erläuterungen einer Computersystem-Architektur 1 gemäß Figur 1 aufgebaut sein. In einer leichten Abwandlung gemäß Figur 2 weist die

Computersystem-Architektur 1 allerdings zwei virtuelle

Maschinen VM1 und VM2 auf, die in einer entsprechenden virtuellen Umgebung auf dem physischen Computersystem 2 eingerichtet sind und über ein Basisbetriebssystem

beziehungsweise einen Hypervisor steuerbar sind. Figur 2 veranschaulicht einen Mechanismus zur Speicherung von Daten, die aus den virtuellen Maschinen VMl beziehungsweise VM2 auf Speicherkomponenten abgelegt werden sollen. Zur

Speicherung von Daten aus den virtuellen Maschinen VMl und

VM2 können diese auf virtuelle Speicherkomponenten zugreifen, die über ein Speichersubnetz 5 als physische

Speicherkomponenten LI beziehungsweise L2 angebunden sind. Das Speichersubnetz 5 wird über das Basisbetriebssystem oder den Hypervisor angesteuert. Die virtuellen Maschinen VMl beziehungsweise VM2 können lediglich für sie sichtbare virtuelle Speicherkomponenten (nicht dargestellt) ansprechen. Die virtuellen Speicherkomponenten können beispielsweise an bestimmte Funktionalitäten oder Anwendungen innerhalb der virtuellen Maschinen VMl oder VM2 angepasst sein. Eine logische Übersetzung von den für die virtuellen Maschinen VMl und VM2 sichtbaren virtuellen Speicherkomponenten auf die physischen Speicherkomponenten LI und L2 erfolgt über das Basisbetriebssystem, genauer über dessen Hypervisor oder eine speziell eingerichtete Schnittstelle, z.B. einen Pseudo ^¬ Device. Letzterer kann z.B. in einem Linux-System über den Device Mapper erstellt werden.

Zur Speicherung von Daten sprechen die virtuellen Maschinen VMl beziehungsweise VM2 die virtuellen Speicherkomponenten an und können dann Daten an die virtuellen Speicherkomponenten übergeben und dort abgelegen (speichern) . Auf der Ebene des Basisbetriebssystems des physischen Computersystems 2 werden die virtuellen Speicherkomponenten in die physischen

Speicherkomponenten LI und L2 übersetzt. Ferner baut das

Basisbetriebssystem eine entsprechende Verbindung über das Speichersubnetz 5 zu den Speicherkomponenten LI und L2 auf und kann dann die zu speichernden Daten an die Speicherkomponenten LI und L2 senden, so dass die Daten dort abgelegt werden. Auf physischer Ebene wird eine derartige Datenspeicherung über das Basisbetriebssystem des physischen Computersystems 2 nach außerhalb des physischen

Computersystems 2, z. B. vermittels des in Figur 1

dargestellten Netzwerks N oder durch ein speziell

eingerichtetes physisches Speichernetzwerk vermittelt. Denn in der Ausführungsform gemäß Figur 2 sind die

Speicherkomponenten LI und L2 in Form von physischen

Speicherkomponenten außerhalb des physischen Computersystems 2 eingerichtet. Beispielsweise sind die Speicherkomponenten LI und L2 Bestandteil eines Speichersystems, z. B. eines so genannten Storage-Area-Networks (SAN) . Die

Speicherkomponenten sind z.B. als ein Disk-Array über eine LUN-Adressierung (LUN = Logical Unit Number) in einem

Storage-Area-Network ansprechbar. Die Speicherkomponenten LI und L2 können z. B. redundante Festplattenspeicher, verteilte Datenspeicher, usw. sein. Alternativ zu der in Figur 2 dargestellten Ausführung können die Speicherkomponenten LI und L2 auch als physische Speicherkomponenten innerhalb des physischen Computersystems 2 eingerichtet sein. Hierbei erfolgt eine Vermittlung über das Basisbetriebssystem

lediglich innerhalb des physischen Computersystems 2. Gemäß Figur 2 erfolgt in jedem Fall eine Verschlüsselung der Daten aus den virtuellen Maschinen VM1 und VM2 auf Ebene des als sicher eingestuften Basisbetriebssystems. Dieser Vorgang ist in Figur 2 mit „Verschlüsselungl" beziehungsweise

„Verschlüsselung2" dargestellt. Die Verschlüsselung kann z.B. durch eine speziell hierfür eingerichtete

Verschlüsselungsschicht bzw. eine speziell eingerichtete Schnittstelle, z.B. einen Pseudo-Device (siehe oben)

erfolgen. Ein zu betreibendes Betriebssystem mit seinen Anwendungsprogrammen in den virtuellen Maschinen VMl

beziehungsweise VM2 hat keinen Einfluss beziehungsweise keinen Zugriff auf diese Verschlüsselung. Idealerweise sind die virtuellen Maschinen VMl beziehungsweise VM2 derart eingerichtet beziehungsweise werden über das

Basisbetriebssystem derart gesteuert, dass die virtuellen Maschinen VMl beziehungsweise VM2 gar keine Informationen darüber erhalten, dass auf der Ebene des Basisbetriebssystems überhaupt verschlüsselt wird. Auf diese Weise werden Daten aus den virtuellen Maschinen VMl und VM2 über das physische Netzwerk N (oder ein dediziertes Speichernetzwerk) nach außerhalb des physischen Computersystems 2 lediglich in verschlüsselter Form kommuniziert. Die Daten können in den physischen Speicherkomponenten beziehungsweise im

Speichersubnetz 5 zusätzlich weiter verschlüsselt werden. Ein Zugriff auf unverschlüsselte Daten aus den virtuellen

Maschinen VMl und VM2 ist jedoch außerhalb des physischen Computersystems 2 nicht möglich. Aufgrund der Tatsache, dass ein Verbindungsaufbau aus dem physischen Netzwerk N auf das physische Computersystem 2 vermittels der Netzwerk-Ports 4 nicht erlaubt ist, ist auch ein Angriff auf innerhalb des physischen Computersystems 2 vorliegende Klardaten (vor einer Verschlüsselung) nur sehr schwer zu erzielen. Insofern ist die Wahrscheinlichkeit eines erfolgreichen Angriffs auf Informationen innerhalb des physischen Computersystems 2 stark reduziert. Zusätzlich wird eine Kommunikation von Daten aus den virtuellen Maschinen VMl beziehungsweise VM2 über das Basisbetriebssystem

beziehungsweise dessen Hypervisor derart gezielt gesteuert, dass eine Kommunikation lediglich innerhalb des

Speichersubnetzes 5 beziehungsweise innerhalb eines

Kommunikationssubnetzes 3 (vgl. Figur 1) erlaubt ist. Somit wird ein Betriebssystem beziehungsweise ein

Anwendungsprogramm, das innerhalb einer virtuellen Maschine VM1 oder VM2 läuft, an einem ungewollten Verbindungsaufbau in das externe physische Netzwerk N gehindert. Auf diese Weise ist zusätzlich auch die erfolgreiche Ausnutzung einer

Backdoor oder sonstigen Sicherheitslücke in einem zu

betreibenden Betriebssystem beziehungsweise einem zu

betreibenden Anwendungsprogramm innerhalb der virtuellen Maschinen VM1 oder VM2 extrem unwahrscheinlich.

Figur 3A zeigt eine schematisierte Darstellung einer

Computernetz-Infrastruktur, umfassend zwei Computersystem- Architekturen la und lb, die jeweils ein physisches

Computersystem 2a beziehungsweise 2b umfassen. Innerhalb einer virtuellen Umgebung des physischen Computersystems 2a laufen zwei virtuelle Maschinen VM1 und VM2. Innerhalb einer virtuellen Umgebung des physischen Computersystems 2b laufen zwei virtuelle Maschinen VM3 und VM4. Die physischen

Computersysteme 2a und 2b sind vermittels entsprechender Netzwerk-Ports 4a und 4b über ein physisches externes

Netzwerk N verbunden. Die physischen Computersysteme 2a und 2b sind insbesondere gemäß den Erläuterungen zu Figur 1 und 2 eingerichtet . Die virtuellen Maschinen VM1, VM2, VM3 und VM4 sind in den jeweiligen virtuellen Umgebungen der physischen

Computersysteme 2a und 2b über diverse virtuelle Netzwerk- Bridges br an zwei Kommunikationssubnetze 3a und 3b

angebunden. Insbesondere sind gemäß Figur 3A die virtuellen Maschinen VM1, VM2 und VM3 über virtuelle Netzwerk-Bridges br innerhalb eines Kommunikationssubnetzes 3a (LAN1) verbunden, während die virtuellen Maschinen VM2 und VM4 über virtuelle Netzwerk-Bridges br innerhalb eines weiteren Kommunikationssubnetzes 3b (LAN2) verbunden sind. Figur 3b stellt eine derartige Topologie als Ersatzschaltbild

vereinfacht dar. Die virtuellen Maschinen VM1 und VM2 kommunizieren über das virtuelle Kommunikationssubnetz 3a lediglich innerhalb des physischen Computersystems 2a, abgesehen von einer etwaigen Verwendung von Protokollen wie Broadcast, Multicast oder von Protokollen mit ähnlichem Verhalten. Eine Kommunikation von VM1 beziehungsweise VM2 zu VM3 und umgekehrt beziehungsweise zwischen VM2 und VM4 und umgekehrt, erfolgt über die Grenzen der physischen Computersysteme 2a beziehungsweise 2b hinweg. Eine Vermittlung einer Kommunikation zwischen den virtuellen Maschinen erfolgt in dieser Hinsicht vermittels des externen physischen Netzwerks N. Hierzu sind ein oder mehrere

verschlüsselte Verbindungen, beispielsweise im folgenden VPN- Verbindungen zwischen den physischen Computersystemen 2a und 2b eingerichtet (siehe Schloss-Symbole der schematisiert dargestellten Verbindungen der Kommunikationssubnetze 3a und 3b zwischen den physischen Computersystemen 2a und 2b) . Über die VPN-Verbindungen werden Daten zwischen den physischen Computersystemen 2a und 2b in verschlüsselter Form über das Netzwerk N übertragen und vermitteln eine Kommunikation zwischen den virtuellen Maschinen. Genauer gesagt wird eine Kommunikation zwischen den virtuellen Maschinen innerhalb der virtuellen Kommunikationssubnetze 3a und 3b vermittels der Basisbetriebssysteme beziehungsweise deren Hypervisors auf den physischen Computersystemen 2a und 2b umgesetzt in einen physischen Transport innerhalb der VPN-Verbindungen entlang des Netzwerks N. Auf diese Weise können die virtuellen

Maschinen VM1 bis VM4 innerhalb entsprechend aufgebauter Kommunikationssubnetze 3a und 3b miteinander kommunizieren. Für eine Vermittlung einer entsprechenden Kommunikation über das Netzwerk N sind die Netzwerk-Ports 4a und 4b der

physischen Computersysteme 2a und 2b entsprechend

eingerichtet. Zwar sind die Netzwerk-Ports 4a und 4b für Verbindungsanfragen aus dem Netzwerk N von außerhalb der physischen Computersysteme 2a und 2b entsprechend blockiert (wie oben erläutert) . Dies gilt jedoch für

Verbindungsanfragen, die unabhängig von einer Kommunikation vermittels der virtuellen Kommunikationssubnetze 3a und 3b sind. Das bedeutet, dass die Netzwerk-Ports 4a und 4b dennoch speziell eingerichtete VPN-Verbindungen zwischen den

physischen Computersystemen 2a und 2b erlauben. Hierzu sind in den physischen Computersystemen 2a und 2b entsprechende VPN-Dienste eingerichtet, so dass ein Verbindungsaufbau über VPN-Verbindungen zwischen den physischen Computersystemen 2a und 2b möglich ist. Andere Verbindungsversuche von außerhalb der physischen Computersysteme 2a und 2b über das Netzwerk N werden jedoch an den Netzwerk-Ports 4a beziehungsweise 4b ignoriert, blockiert oder verworfen. Eine Implementierung erfolgt vorteilhaft über entsprechende Firewall-Regeln oder sonstige Konfigurationen mit vergleichbarem Resultat

innerhalb der physischen Computersysteme 2a und 2b.

Auf diese Weise ist eine Computernetz-Infrastruktur zwischen den physischen Computersystemen 2a und 2b eingerichtet, wobei virtuelle Maschinen VM1 bis VM4 über zwei virtuelle

Kommunikationssubnetze 3a und 3b (vergleiche die

Kennzeichnungen LAN1 und LAN2 in Figur 3B) kommunizieren können. Sämtliche virtuellen Maschinen VM1 bis VM4 sind sicherheitstechnisch eingekapselt entsprechend den

Erläuterungen zu Figuren 1 und 2. Gleichzeitig sind die physische Computersysteme 2a und 2b gemäß den obigen

Erläuterungen gegen Angriffe aus dem physischen externen Netzwerk N an den Netzwerk-Ports 4a und 4b abgesichert. Durch eine derartige Topologie einer Computernetz-Infrastruktur ist eine komplexe Netzwerk-Topologie zur Realisierung

anwendungsspezifischer Funktionalitäten ermöglicht. Auf diese Weise können virtualisierte Serverstrukturen und komplexe

Dienste über die virtuellen Maschinen VM1 bis VM4 abgebildet werden, wobei eine Kommunikation über gebridgte

Kommunikationssubnetze 3a und 3b erfolgt. Entscheidend ist, dass ein Verbindungsaufbau von den

einzelnen virtuellen Maschinen VM1 bis VM4 direkt in das physische externe Netzwerk N unterdrückt bzw. erst gar nicht „geschaltet" oder „verdrahtet" wird. Insofern können die virtuellen Maschinen VM1 bis VM4 keine Verbindung in einen öffentlichen IP-Adressraum durchführen. Die virtuellen

Maschinen VM1 bis VM4 besitzen hierzu keine Schnittstelle (Interface) in das externe physische Netzwerk N. Die

virtuellen Maschinen VM1 bis VM4 sehen sich lediglich

gegenseitig als entsprechende Rechnerkomponenten innerhalb der virtuellen Kommunikationssubnetze 3a und 3b und können sich gegenseitig ansprechen und erreichen. Eine entsprechende Vermittlung einer Kommunikation erfolgt, wie erläutert, über VPN-Verbindungen der physischen Computersysteme 2a und 2b entlang des Netzwerks N. Die VPN-Verbindungen werden über die jeweiligen Basisbetriebssysteme beziehungsweise deren

Hypervisor gesteuert. Eine Auswirkung eines Fehlers oder einer Sicherheitslücke eines Systems innerhalb einer oder mehreren virtuellen Maschinen VM1 bis VM4 beschränkt sich lediglich auf die virtuellen Kommunikationssubnetze 3a und 3b und ist gewissermaßen innerhalb der Kommunikationssubnetze 3a und 3b eingeschlossen. Insofern ist es den virtuellen

Maschinen VM1 bis VM4 nicht möglich, Daten in einer lesbaren Form über ungewollte Netzwerk-Verbindungen zu einem unbefugten Dritt-Computersystem über das Netzwerk N zu übertragen. Zudem ist über entsprechend konfigurierte

Netzwerk-Ports 4a und 4b der physischen Computersysteme 2a und 2b ein Angriff aus dem Netzwerk N auf die physischen Computersysteme 2a und 2b extrem erschwert.

Figur 3C zeigt eine schematisierte Darstellung von

Komponenten einer Computernetz-Infrastruktur zur

Veranschaulichung einer weiteren Funktionalität. Die

Computernetz-Infrastruktur gemäß Figur 3C zeigt eine

Computersystem-Architektur 1, umfassend ein physisches

Computersystem 2 und zwei virtuelle Maschinen VM1 und VM2. Über Netzwerk-Ports 4 ist das physische Computersystem 2 mit einem externen physischen Netzwerk N verbunden. Ferner sind ein Administrations-Computersystem 7 sowie ein Vermittlungs- Computersystem 8 mit dem Netzwerk N verbunden. Sowohl die Netzwerk-Ports 4 des physischen Computersystems 2 als auch die Netzwerk-Ports 14 des Administrations-Computersystems 7 sind derart eingerichtet, dass ein Verbindungsaufbau aus dem Netzwerk N auf das physische Computersystem 2 beziehungsweise das Administrations-Computersystem 7 unterbunden wird. Es ist daher nicht ohne weiteres möglich, über ein externes

Computersystem (nicht dargestellt) vermittels des Netzwerks N und den Netzwerk-Ports 4 einen administrativen Zugang zu den virtuellen Maschinen VM1 und VM2 innerhalb des physischen

Computersystems 2 zu erlangen. Umgekehrt haben die virtuellen Maschinen VM1 und VM2, wie oben erläutert, keine

Schnittstelle in das physische Netzwerk N. Auch ein

Verbindungsaufruf aus den virtuellen Maschinen VM1 und VM2 über deren Konsolen es in das Basisbetriebssystem des physischen Computersystems 2 wird durch Firewall-Regeln des Basisbetriebssystems beziehungsweise durch eine Steuerung der Konsolen es vermittels eines Hypervisors des Basisbetriebssystems unterdrückt. Damit jedoch ein administrativer Zugang beziehungsweise eine Steuerung der virtuellen Umgebung, insbesondere der virtuellen Maschinen VM1 und VM2, innerhalb des physischen Computersystems 2 gewährleistet ist, kann folgender Prozess durchgeführt werden .

Über das Administrations-Computersystem 7 kann eine

Verbindung zum Vermittlungs-Computersystem 8 aufgebaut werden. Hierzu weist das Vermittlungs-Computersystem 8, im Gegensatz zum Administrations-Computersystem 7

beziehungsweise zum physischen Computersystem 2, wenigstens einen ansprechbaren, offenen Netzwerk-Port 24 auf. Auf diese Weise kann das Administrations-Computersystem 7 eine

Verbindung zum Vermittlungs-Computersystem 8 aufbauen und im Vermittlungs-Computersystem 8 ein oder mehrere Daten-Pakete mit Steuerdaten ablegen. Daraufhin kann das physische

Computersystem 2 über das Netzwerk N eine Verbindung zum Vermittlungs-Computersystem 8 aufbauen, um die dort

abgelegten Daten-Pakete des Administrations-Computersystems zu sich zu übertragen. Auf diese Weise können Steuerdaten auf das physische Computersystem 2 transferiert werden, ohne dass eine Verbindung aktiv von außen über das Netzwerk N auf das physische Computersystem 2 aufgebaut wird, was herkömmlich eine typische Angriffsmöglichkeit von außen darstellen würde.

Die auf das physische Computersystem 2 entsprechend

transferierten Daten-Pakete können im Basisbetriebssystem des physischen Computersystems 2 weiter verarbeitet werden.

Beispielsweise kann ein bestimmter Task durchgeführt werden, so dass das Basisbetriebssystem anhand der übertragenen

Daten-Pakete einen gesteuerten Zugriff auf die virtuelle Umgebung, genauer auf die virtuellen Maschinen VM1 Betriebszustand VM2, durchführt. Dies ist durch eine

spezielle Instanz 6 des Basisbetriebssystems durchführbar. Beispielsweise erfolgt durch die Instanz 6 des

Basisbetriebssystems ein Verbindungsaufbau zur Konsole es oder einer anderen hierfür verwendeten Schnittstelle einer virtuellen Maschine VM1 und VM2, wobei eine entsprechende Steuerung der virtuellen Maschinen VM1 und VM2 über

Steuerdaten durchgeführt werden kann. Es ist jedoch auch denkbar, dass über die Konsole es einer virtuellen Maschine VM1 und VM2 entsprechende Steuerdaten, Skripte oder Programme in die virtuelle Maschine VM1 oder VM2 eingespielt werden, so dass ein in der virtuellen Maschine VM1 beziehungsweise VM2 laufendes Betriebssystem die entsprechenden Steuerdaten, Skripte oder Programme ausführen kann, so dass quasi eine Fernsteuerung der virtuellen Maschinen VM1 und VM2 erzielt wird. Auf diese Weise ist ein gesicherter administrativer Zugang mittelbar vom Administrations-Computersystem 7 über das Vermittlungs-Computersystem 8 zum physischen

Computersystem 2 bzw. in die virtuelle Umgebung auf dem physischen Computersystem 2 ermöglicht. Sämtliche Prozesse können über entsprechende Signaturen innerhalb des

Administrations-Computersystems 7, des Vermittlungs- Computersystems 8 beziehungsweise des physischen

Computersystems 2 abgesichert werden. Vorteilhaft erfolgt eine Kommunikation über das Netzwerk N ausschließlich in verschlüsselter Form.

Es ist alternativ oder ergänzend auch denkbar, über ein entsprechendes Skript, beziehungsweise entsprechende

Steuerdaten, einen Zugriff auf die virtuellen Maschinen VM1 oder VM2 vermittels des Basisbetriebssystems freizuschalten. Hierbei könnte das Basisbetriebssystem derart steuernd auf die virtuellen Maschinen VM1 beziehungsweise VM2 zugreifen, dass beispielsweise ein Port-Forwarding oder ein Tunnel im Basisbetriebssystem zur gewünschten virtuellen Maschine VM1 oder VM2 freigeschaltet werden. Dies stellt einen aus

sicherheitstechnischer Sicht hochspeziellen Einzelfall dar, wobei eine virtuelle Maschine VM1 beziehungsweise VM2 einen selektiv geöffneten Netzwerk-Port nach außen in das Netzwerk N zur Verfügung stellt, so dass ein selektiver Zugriff auf die virtuelle Maschine VM1 oder VM2 ermöglicht ist. Dies sollte jedoch durch spezielle Sicherheitsmechanismen, wie z. B. temporäres Freischalten, Überprüfen entsprechender

Sicherheitsskripte beziehungsweise entsprechender

Authentifizierungspakete, Überprüfen einer Übereinstimmung von Authentifizierungsmechanismen, Quell-Ports, Ziel-Ports, usw. abgesichert sein. Ebenfalls ist in diesem Zusammenhang denkbar, ein Mehr-Augen-Prinzip eines Sicherheitspersonals vorzusehen .

Figur 4 zeigt eine schematisierte Darstellung einer

kombinierten Übersicht über die gemäß den Figuren 1 bis 3C dargestellten Funktionalitäten innerhalb einer Computernetz- Infrastruktur, die über mehrere Computersystem-Architekturen la beziehungsweise lb aufgebaut ist. Eine Vermittlung einer Kommunikation zwischen den einzelnen Computersystemen erfolgt gemäß der Konfiguration in Figur 4 über die physischen

Netzwerke Nl und N2. Diese können getrennte Netzwerke, aber auch alternativ Teile eines Gesamt-Netzwerks oder ein Gesamt- Netzwerk an sich sein.

Figur 4 macht die Komplexität einer Implementierung einer entsprechenden Computernetz-Infrastruktur deutlich. Ein wesentlicher Vorteil einer derartigen Infrastruktur im

Vergleich zu herkömmlichen Lösungen besteht, wie oben

mehrfach erläutert, darin, dass aufgrund einer Virtualisierung von Betriebssystemen beziehungsweise

Anwendungsprogrammen innerhalb von virtuellen Maschinen VMl bis VM4 eine Einkapselung möglicher schadhafter Programme innerhalb der virtuellen Umgebungen der physischen

Computersysteme 2a und 2b erreicht wird. Die virtuellen

Maschinen VMl bis VM4 können keine Verbindung in die externen Netzwerke Nl beziehungsweise N2 aufbauen. Gleichzeitig sind die physischen Computersysteme 2a und 2b durch ihre Netzwerk- Ports 4a und 4b gegen einen Angriff aus den Netzwerken Nl und N2 abgesichert.

Die innerhalb der virtuellen Maschinen VMl bis VM4 laufenden Betriebssysteme oder Anwendungsprogramme müssen auf diese Weise nicht über spezielle Firewall-Regeln nach außen zu den physischen Netzwerken Nl und N2 abgesichert werden. Eine entsprechende Sicherheitsblockade ergibt sich rein durch die Virtualisierung innerhalb der physischen Computersysteme 2a und 2b. Durch eine derartige Virtualisierung ist ein

Verbindungsaufbau aus den virtuellen Maschinen VMl bis VM4 in das physische Netz Nl beziehungsweise N2 nicht vorgesehen. Somit entfällt eine Anpassung und Administration einer komplexen Firewall-Architektur für N Anwendungsprogramme auf m-physischen Computersystemen innerhalb einer entsprechenden Computernetz-Infrastruktur. Durch eine sicherheitstechnische Einkapselung der in den virtuellen Maschinen laufenden

Betriebssysteme nach außen, kombiniert mit einer Abschottung der physischen Computersysteme hin zu den externen physischen Netzen Nl und N2 gegen einen Angriff aus den Netzen Nl und N2, wird eine besonders hohe Sicherheit der Computernetz- Infrastruktur erzielt. Dennoch ist eine einfach

Administration einer entsprechenden Computernetz- Infrastruktur ermöglicht. Zudem können über die virtuellen Maschinen und deren Kommunikationsmöglichkeiten über gebridgte Kommunikationssubnetze 3a und 3b (siehe beispielhaft in Figur 4) komplette anwendungsspezifische Funktionalitäten implementiert werden. Gemäß Figur 4 sind die physischen Computersysteme 2a und 2b zudem zusätzlich in Hochsicherheitsracks 9a und 9b gegen physische Manipulationen abgesichert. Auch hierdurch ergeben sich weitere Sicherheitsvorteile. Eine Kommunikation zwischen den physischen Computersystemen 2a und 2b zur Vermittlung einer Kommunikation zwischen den virtuellen Maschinen VM1 bis VM4 erfolgt ausschließlich über verschlüsselte VPN-Verbindungen, wie oben erläutert. Daten aus den virtuellen Maschinen VM1 bis VM4 können über

entsprechende Speichersubnetze 5 in virtuellen ansprechbaren Speicherkomponenten LI bis L4 gespeichert werden. Eine

Administration der entsprechenden Computersystem- Architekturen la und lb erfolgt über ein Administrations ^¬ computersystem 7 unter Zuhilfenahme eines Vermittlungs- Computersystems 8 gemäß den Erläuterungen zu Figur 3C.

Figur 5A zeigt eine Computernetz-Infrastruktur, die analog zu der aus Figur 4 aufgebaut ist, mit dem Unterschied, dass in der Computernetz-Infrastruktur gemäß Figur 5A lediglich drei virtuelle Maschinen eingesetzt werden. Zwei virtuelle

Maschinen VM1 und VM2 sind auf dem physischen Computersystem 2a eingerichtet, wobei eine virtuelle Maschine VM4 auf dem physischen Computersystem 2b eingerichtet ist. Figur 5A zeigt eine erste Konfiguration der Computernetz-Infrastruktur.

Beispielhaft soll nun die virtuelle Maschine VM2 auf dem physischen Computersystem 2a auf das physische Computersystem 2b umgezogen werden. Ein Umzug kann dabei über die Maßnahmen eines administrativen Zugangs zu den virtuellen Maschinen z.B. vermittels des Administrations-Computersystems 7 und eines Vermittlungs-Computersystems 8 wie oben insbesondere zu Figur 3C erläutert gesteuert werden. Für den Umzug der virtuellen Maschine VM2 kann das in der VM2 laufende

Betriebssystem heruntergefahren werden oder es kann eine Live-Migration der VM2 durchgeführt werden. Alle notwendigen Schritte können über Steuerdaten gesteuert werden, die vermittels des Administrations-Computersystems 7 initiiert und vermittels des Vermittlungs-Computersystems 8 auf das physische Computersystem 2a oder das physische Computersystem 2b (beziehungsweise in deren Basisbetriebssysteme)

beziehungsweise schließlich in die virtuelle Maschine VM2 transportiert und an entsprechender Stelle, d. h. in dem Basisbetriebssystem des physischen Computersystems 2a

und/oder im Basisbetriebssystem des physischen

Computersystems 2b beziehungsweise in der virtuellen Maschine VM2, verarbeitet werden können. Über derartige Steuerdaten wird unter anderem eine Verschlüsselung auf Ebene des

Basisbetriebssystems im physischen Computersystem 2b

etabliert, um die virtuelle Maschine VM2 nach Umzug auf das physische Computersystem 2b über ein entsprechendes

Speichersubnetz 5 wiederum an Speicherkomponenten anbinden zu können .

Für einen Umzug der virtuellen Maschine VM2 muss ferner auf dem physischen Computersystem 2b eine Anbindung an ein entsprechendes Kommunikationssubnetz 3a oder 3b eingerichtet sein. Hierzu ist insbesondere eine virtuelle Netzwerk-Bridge br zur Anbindung der virtuellen Maschine VM2 nach deren Umzug in die virtuelle Umgebung des physischen Computersystems 2b erforderlich. Das oder die Kommunikationssubnetze 3a oder 3b, an die die virtuelle Maschine VM2 auf dem physischen Computersystem 2b angebunden werden soll, können entweder dynamisch zugeordnet werden (on demand) oder schon statisch in der virtuellen Umgebung auf dem physischen Computersystem 2b vorkonfiguriert sein. Eine entsprechende Vermittlung einer Kommunikation aus der virtuellen Umgebung des physischen Computersystems 2b über das Basisbetriebssystem in ein physisches externes Netzwerk (vgl. Nl beziehungsweise N2) ist über das Basisbetriebssystem des physischen Computersystems 2b ebenfalls entsprechend anzupassen.

Bei einem Umzug über eine Live-Migration ist eine vorteilhaft verschlüsselte Netzwerk-Verbindung zwischen den beiden beteiligten Basisbetriebssystemen auf den physischen

Computersystemen 2a und 2b zur Übertragung der Daten

notwendig. Der Datentransfer für eine Live-Migration kann dabei entweder über bestehende verschlüsselte Verbindungen (z. B. VPN-Verbindungen zwischen den beteiligten physischen Computersystemen 2a und 2b) realisiert werden oder alternativ innerhalb von hierzu speziell eingerichteten exklusiven

Verbindungen erfolgen. Eine speziell für eine Live-Migration eingerichtete Verbindung ist in Figur 5A als zusätzliche gebridgte Netzwerk-Verbindung zwischen den beiden physischen Computersystemen 2a und 2b abgebildet (vgl. die

schematisierte Darstellung der untersten verschlüsselten Verbindung zwischen den beiden Systemen) . Netzwerk-Ports 4a und 4b können für eine speziell eingerichtete Verbindung zur Live-Migration temporär freigeschaltet werden.

Ferner müssen gegebenenfalls benötigte Speicherkomponenten über das Basisbetriebssystem auf dem physischen

Computersystem 2b verfügbar gemacht und über eine

entsprechende Verschlüsselung im Basisbetriebssystem an die virtuelle Umgebung, insbesondere an die virtuelle Maschine VM2 angebunden werden.

Ein Ansprechen der virtuellen Maschine VM2 erfolgt vor dem Umzug durch entsprechende Steuerdaten beziehungsweise Daten- Pakete, die einen gesteuerten Aufruf aus dem

Basisbetriebssystem hin zur virtuellen Maschine VM2

beinhalten. Die Daten-Pakete werden vom Administrations ^¬ computersystem 7 auf das Vermittlungs-Computersystem 8 transferiert. Anschließend wird eine Verbindung vom

physischen Computersystem 2a auf das Vermittlungs- Computersystem 8 aufgebaut, so dass die Daten-Pakete auf das physische Computersystem 2a transferiert werden können.

Vermittels des Basisbetriebssystems können die Routing- Informationen in den Daten-Paketen verarbeitet werden und die virtuelle Maschine VM2 über deren Konsolenschnittstelle es angesprochen werden.

Wie in Figur 5A gekennzeichnet, können die virtuellen

Maschinen über IP-Adressen (VM-IP) angesprochen werden. Der virtuellen Maschine VM1 ist die IP-Adresse VMlphys

zugeordnet. Entsprechendes gilt für die virtuellen Maschinen VM2 und VM4, denen die IP-Adressen VM2phys beziehungsweise VM4phys zugeordnet sind. Auf diese Weise ist der Aufbau einer Kommunikation hin zu den virtuellen Maschinen möglich.

Gemäß Figur 5A kann die virtuelle Maschine VM2 nach

Etablieren und Bereitstellen sämtlicher notwendiger

Komponenten gemäß den obigen Erläuterungen über eine hierfür speziell eingerichtete Verbindung (vgl. Figur 5A) vom

physischen Computersystem 2a in die virtuelle Umgebung auf dem physischen Computersystem 2b transferiert werden. Dies geschieht in der Topologie gemäß Figur 5A per Live-Migration . Figur 5B zeigt schließlich die entsprechende Konfiguration der Computernetz-Infrastruktur nach einem Umzug der

virtuellen Maschine VM2 in das physische Computersystem 2b. Die virtuelle Maschine VM2 ist über mehrere virtuelle

Netzwerk-Bridges br sowohl an das Kommunikationssubnetz 3a als auch an das Kommunikationssubnetz 3b angebunden. Über das Basisbetriebssystem ist eine Verschlüsselung von Daten aus der virtuellen Maschine VM2 in das Speichersubnetz 5 auf Speicherkomponenten L2 eingerichtet. Ergänzend ist

vorteilhaft auch eine Verschlüsselung sonstiger Daten aus der virtuellen Maschine VM2 durch das Basisbetriebssystem des physischen Computersystems 2b realisiert, welche innerhalb der virtuellen Kommunikationssubnetze 3a und 3b zu anderen virtuellen Maschinen hin ausgetauscht werden und auf

physischer Ebene über das externe Netzwerk Nl beziehungsweise N2 vermittelt werden. Eine derartige Verschlüsselung von Daten kann über das Basisbetriebssystem des physischen

Computersystems 2b durch VPN-Verbindungen zu anderen

physischen Computersystemen (in Figur 5B das physische

Computersystem 2a) erfolgen.

Ein Ansprechen der virtuellen Maschine VM2 erfolgt nach dem Umzug auf das physische Computersystem 2b ebenfalls über Daten-Pakete, die Routing-Informationen enthalten. Derartige Daten-Pakete können, wie oben erläutert, über das

Administrations-Computersystem 7 vermittels des Vermittlungs- Computersystems 8 auf das physische Computersystem 2b

übertragen werden, wobei das Basisbetriebssystem über

entsprechende Routing-Informationen die virtuelle Maschine VM2 ansprechen kann. Damit die virtuelle Maschine VM2 durch ein Routing ausgehend vom Administrations-Computersystem 7 auch auf dem physischen Computersystem 2b erreichbar ist, muss gemäß einer

Möglichkeit das Routing ausgehend vom Administrations- Computersystem 7 geändert werden, das heißt, die

ursprüngliche Ziel-IP-Adresse (Host-IP) der Schnittstelle des physischen Computersystems 2a in die Ziel-IP-Adresse (Host- IP) der Schnittstelle des physischen Computersystems 2b geändert werden beziehungsweise die ursprüngliche IP-Adresse (VM2phys) der virtuellen Maschine VM2 im physischen

Computersystem 2a durch eine IP-Adresse (VM2phys) der

virtuellen Maschine VM2 im physischen Computersystem 2b ersetzt werden, falls sich die Netzwerk-Identität (VM2phys) der virtuellen Maschine VM2 in der neuen virtuellen Umgebung auf dem physischen Computersystem 2b geändert hat.

Eine andere, komfortablere Möglichkeit besteht darin, eine Ansprechbarkeit der physischen Computersysteme 2a und 2b beziehungsweise der virtuellen Maschine VM2 über ein so genanntes IP-Aliasing einzurichten. In einem Routing können dann eine oder mehrere Alias-IP-Adressen verwendet werden, die während des Umzuges der virtuellen Maschine VM2 vom physischen Computersystem 2a auf das physische Computersystem 2b mittransferiert und dort der oder den Netzwerk- Schnittstellen entsprechend zugeordnet werden. Der Vorteil dabei ist, dass ein Routing vom Administrations- Computersystem 7 aus nicht umgeändert werden muss, sondern weiterhin Alias-IP-Adressen als Ziel berücksichtigt werden können, wobei eine Zuordnung der Alias-IP-Adressen zu den tatsächlichen Endpunkten (physisches Computersystem 2b beziehungsweise virtuelle Maschine VM2 im physischen

Computersystem 2b gemäß Figur 5B) erfolgt. Auf diese Weise ist es einfach und komfortabel möglich, virtuelle Maschinen zwischen physischen Computersystemen innerhalb der aufgezeigten Computernetz-Infrastruktur zu migrieren .

Figur 6A zeigt eine weitere Ausführungsform einer

Computernetz-Infrastruktur, umfassend zwei physische

Computersysteme 2a und 2b, die über physische Netzwerke Nl und N2 verbunden sind. Ferner ist ein Administrations- Computersystem 7 sowie ein Vermittlungs-Computersystem 8 im Netzwerk Nl vorgesehen. Die Netzwerke Nl und N2 können getrennte Netzwerke oder Bestandteile eines Netzwerks sein. Insofern entspricht die Computernetz-Infrastruktur im

Wesentlichen dem Aufbau gemäß der Ausführungsform in Figur 4. Allerdings ist die Topologie der virtuellen Maschinen im

Vergleich zur Infrastruktur gemäß Figur 4 unterschiedlich.

In der Ausführungsform gemäß Figur 6A sind die virtuellen Maschinen speziell als Webserver, Anwendungsserver

beziehungsweise Datenbankserver eingerichtet. Zwei virtuelle Maschinen webl und web2 stellen Webserver-Funktionalitäten bereit, webl ist auf dem physischen Computersystem 2a

installiert und web2 auf dem physischen Computersystem 2b. Die beiden virtualisierten Webserver webl und web2 können über ein Kommunikationssubnetz 3c entsprechend den oben erläuterten Maßnahmen kommunizieren. Die beiden Webserver webl und web2 können aus dem externen Netzwerk, z.B. aus dem Netzwerk N2, von außen direkt (unmittelbar) ansprechbar sein, z.B. über von den physischen Computersystemen 2a und 2b unabhängige IP-Adressen. Auf diese Weise stellen diese von extern erreichbare virtuelle Webserver da. Dennoch ist eine Verbindung aus dem externen Netzwerk (Nl oder N2) auf die physischen Computersysteme 2a und 2b über die Netzwerk-Ports 4a und 4b geblockt, wie oben bereits zu Figur 1 erläutert. Ferner sind zwei virtualisierte Anwendungsserver appl und app2 auf den physischen Computersystemen 2a beziehungsweise 2b installiert, die miteinander beziehungsweise mit den

Webservern webl und web2 über ein zweites

Kommunikationssubnetz 3b kommunizieren. Schließlich sind auch zwei virtualisierte Datenbankserver dbl und db2 auf dem physischen Computersystem 2a beziehungsweise dem physischen Computersystem 2b installiert, die untereinander und mit den Anwendungsservern appl und app2 über ein drittes

Kommunikationssubnetz 3a kommunizieren. Bevorzugt sind weder die Anwendungsserver appl und app2 noch die Datenbankserver dbl und db2 an das externe Netzwerk (Nl oder N2) angebunden. Auf diese Weise kann über eine derartige Computernetz- Infrastruktur eine komplexe virtualisierte Netzwerk- Funktionalität realisiert werden. Die beiden physischen

Computersysteme 2a und 2b fungieren gewissermaßen als Host- Server zur Bereitstellung der dargestellten Netzwerk-Dienste, welche jedoch, abgesehen von einem etwaigen Zugriff von extern auf die Webserver webl und web2 - wie oben erläutert, vollständig eingekapselt über separate Kommunikationssubnetze 3a bis 3c kommunizieren können. Die über die

Kommunikationssubnetze 3a bis 3c ausgetauschten Daten werden über die physischen Netzwerke Nl beziehungsweise N2

ausschließlich in verschlüsselter Form mittels VPN- Verbindungen vermittelt. Verbindungsversuche aus den externen Netzwerken Nl und N2 unmittelbar auf die physischen Host- Server 2a und 2b, die von einer Vermittlung der

Kommunikationen zwischen den virtualisierten Systemen

unabhängig sind, werden an den Netzwerk-Ports 4a

beziehungsweise 4b der physischen Host-Server 2a und 2b unterbunden. Auf diese Weise sind die Host-Server 2a und 2b zu den Netzwerken Nl und N2 hin ebenfalls abgeschottet.

Bezüglich der virtualisierten Anwendungen können auf der Ebene des Basisbetriebssystems bzw. Hypervisors für die einzelnen virtuellen Maschinen gezielt Sicherheitsregeln, d. h. Firewall-Regeln FW vergeben werden. Auf diese Weise ist eine feine Granularität von Sicherheitseinstellungen zwischen den verschiedenen Anwendungen möglich. Somit können für jedes Kommunikationssubnetz separate Sicherheitsregeln eingestellt werden, die vorteilhaft unabhängig von anderen

Sicherheitsregeln sein können. Insbesondere ist es nicht notwendig, die virtualisierten Anwendungen nach außen hin über Firewalls speziell abzusichern. Eine Sicherheitsbarriere in die Netzwerke Nl und N2 ist durch die Virtualisierung gegeben, wobei die Hypervisor auf den Host-Servern 2a und 2b einen Verbindungsaufbau aus den virtuellen Maschinen in die Netzwerke Nl beziehungsweise N2 blockieren. Auf diese Weise ist die Computernetz-Infrastruktur gemäß Figur 6A sehr strukturiert und flexibel in der Implementierung und

Anpassung an bestimmte anwendungsspezifische Funktionalitäten und bietet dennoch eine einfache Administration aus Sicht einer Systemsicherheit. Ein Ersatzschaltbild der Topologie gemäß Figur 6A ist in Figur 6B dargestellt. Hierin sind die einzelnen

Kommunikationssubnetze mit LAN0 bis LAN2 bezeichnet.

Figur 7A zeigt die Topologie gemäß Figur 6A in einer

vereinfachten Darstellung. Hierbei sind die einzelnen

virtuellen Maschinen auf den physischen Host-Servern 2a und 2b als virtuelle Strukturen VMStruct. zusammengefasst und kommunizieren zwischen den physischen Host-Servern 2a und 2b über gebridgte Kommunikationssubnetze 31. Figur 7B zeigt eine erweiterte Ausführungsform einer Computernetz-Infrastruktur der erläuterten Art. Dabei sind drei physische Host-Server 2a, 2b und 2c eingerichtet, welche entsprechende

Computersystem-Architekturen la mit verschiedenen virtuellen Strukturen umfassen. Eine erste virtuelle Struktur VM- Struct.l ist auf den physischen Host-Servern 2a und 2b eingerichtet und kommuniziert über ein oder mehrere

Kommunikationssubnetze 31. Eine zweite virtuelle Struktur VM- Struct.2 ist auf den physischen Host-Servern 2b und 2c eingerichtet und kommuniziert über ein oder mehrere

Kommunikationssubnetze 32. Eine dritte Struktur VM-Struct.3 ist auf den drei physischen Host-Servern 2a, 2b und 2c eingerichtet und kommuniziert über ein oder mehrere virtuelle Kommunikationssubnetze 33. Die Computernetz-Infrastruktur gemäß Figur 7B verdeutlicht eine flexible Erweiterbarkeit virtualisierter Teilnetze in den erläuterten Computersystem- Architekturen, so dass sehr komplexe Anwendungsszenarien trotz einer sehr hohen Sicherheit der Computernetz- Infrastruktur realisierbar sind.

Figur 7C zeigt eine Topologie von VPN-Verbindungen zwischen den einzelnen physischen Host-Servern 2a, 2b und 2c, die gemäß der Infrastruktur aus Figur 7B eingerichtet sein können. Zwischen jeweils zwei physischen Host-Servern sind jeweils zwei VPN-Verbindungen eingerichtet. Die VPN- Verbindungen dienen zur Vermittlung der Kommunikationen entlang der einzelnen Kommunikationssubnetze (vgl. 31, 32 und 33 gemäß Figur 7B) . In Figur 7C ist jeweils eine erste VPN- Verbindung 13a und eine zweite VPN-Verbindung 13b zwischen jeweils zwei Host-Servern eingerichtet. Der physische Host- Server 2a stellt auf der ersten VPN-Verbindung zum physischen Host-Server 2b hin einen VPN-Dienst 12a zur Verfügung. Umgekehrt stellt der physische Host-Server 2b auf der zweiten VPN-Verbindung 13b hin zum physischen Host-Server 2a einen VPN-Dienst 12b zur Verfügung. 12a und 12b können

beispielsweise so genannte VPN-Daemons sein. Über die VPN- Daemons 12a und 12b können zwischen den beiden physischen Host-Servern 2a und 2b die beiden VPN-Verbindungen 13a und 13b hergestellt werden. Eine analoge Topologie ist jeweils zwischen den beiden physischen Host-Servern 2a und 2c

beziehungsweise 2b und 2c eingerichtet. Jeder der physischen Host-Server stellt jeweils einen VPN-Dienst zur Verfügung, auf den von außen zugegriffen werden kann, um eine VPN- Verbindung zu etablieren. Auf diese Weise sind zwei

redundante VPN-Verbindungen zwischen jeweils zwei physischen Host-Servern realisiert. Fällt beispielsweise ein VPN-Dienst auf einem physischen Host-Server aus, so kann weiterhin die andere VPN-Verbindung zwischen beteiligten physischen Host- Servern herangezogen werden. Es ist natürlich denkbar, mehr (oder auch weniger) als zwei VPN-Verbindungen zwischen jeweils zwei physischen Host-Servern bereitzustellen.

Sämtliche VPN-Verbindungen zwischen den einzelnen physischen Systemen können als gebondete, aggregierte Verbindungen eingerichtet sein. Auf diese Weise ist eine hoch verfügbare VPN-Verbindung zwischen den einzelnen physischen Host-Servern einer Computernetz-Infrastruktur der erläuterten Art

realisierbar.

Figur 8 zeigt eine weitere Ausführungsform einer

Computernetz-Infrastruktur, welche gemäß einer Systematik der Ausführungsform gemäß Figur 7B eingerichtet ist. Allerdings ist in der Topologie gemäß Figur 8 zwischen zwei

Sicherheitszonen Zone 1 und Zone 2 unterschieden. In jeder Zone befinden sich Computersystem-Architekturen mit

physischen Host-Servern, auf denen virtuelle Strukturen zur Realisierung virtueller anwendungsspezifischer

Funktionalitäten eingerichtet sind. Zwischen verschiedenen physischen Host-Servern kommunizieren die virtuellen

Strukturen über entsprechend eingerichtete virtuelle

Kommunikationssubnetze. Die Verwendung von unterschiedlichen physischen Host-Servern kann beispielsweise dazu dienen, die Sicherheitszonen Zone 1 und Zone 2, die z.B.

unterschiedlichen Kunden eines Rechenzentrums zur Verfügung gestellt werden können, durch getrennte Hardware abzubilden.

In Zone 1 sind drei physische Host-Server 2a, 2b und 2c eingerichtet, wobei eine erste virtuelle Struktur VM-Struct.l auf den physischen Host-Servern 2a und 2b implementiert ist und über virtuelle Kommunikationssubnetze 31 kommuniziert. Ferner ist in Zone 1 eine virtuelle Struktur VM-Struct.2 eingerichtet, die auf den drei physischen Host-Servern 2a, 2b und 2c implementiert ist und über virtuelle

Kommunikationssubnetze 32 verbunden ist. In Zone 2 sind ebenfalls drei physische Host-Server 2d, 2e und 2f eingerichtet mit zwei virtuellen Strukturen VM- Struct.3 zwischen den physischen Host-Servern 2e und 2f und VM-Struct.4 zwischen allen drei physischen Host-Servern 2d, 2e und 2f. Die virtuelle Struktur VM-Struct.3 kommuniziert über virtuelle Kommunikationssubnetze 33, während die

virtuelle Struktur VM-Struct.4 über virtuelle

Kommunikationssubnetze 34 kommuniziert.

Damit die verschiedenen virtuellen Strukturen ggf. von extern, also beispielsweise über das Internet oder ein

Intranet (wenn gewünscht und eingerichtet, vgl. Erläuterungen zu Figur 6A) erreichbar sind, ist ein Forwarding 11 (ggf. mit IP-Adressumsetzung, sogenannte Network-Adress-Translation, AT) oder ein Routing auf die Schnittpunkte (z.B. Webserver, vgl. Figur 6A) der einzelnen Kommunikationssubnetze 31, 32, 33 und 34 eingerichtet. Das Forwarding 11 kann beispielsweise über einen oder mehrere virtualisierte Router innerhalb der virtuellen Umgebungen der physischen Host-Server 2a bis 2f eingerichtet sein. Es ist auch denkbar, ein entsprechendes Forwarding über ein oder mehrere Basisbetriebssysteme der physischen Host-Server 2a bis 2f zu realisieren. Als weitere Möglichkeit wäre auch ein Forwarding über einen externen physischen Router denkbar. Eine Vermittlung des Forwardings 11 zu den Kommunikationssubnetzen 31, 32, 33 und 34 kann vermittels eines oder beider von zwei externen Netzwerken NI und NU erfolgen. Auch hier sind, wie zu den anderen

Ausführungsformen bereits mehrfach erläutert, vorteilhaft VPN-Verbindungen vorzusehen, so dass Daten über die externen Netze NI und NU ausschließlich verschlüsselt ausgetauscht werden .

Zur Verbindung verschiedener Strukturen über die

Sicherheitszonen hinweg oder auch als Verbindung zwischen zwei Strukturen innerhalb einer Sicherheitszone ist ein

Relay-System 10 („Zone Connect") eingerichtet, das über virtuelle Bridges br in einzelne virtuelle

Kommunikationssubnetze eingebunden werden kann. Das Relay- System 10 kann eine Bridge oder ein Router, ggf. in

Kombination mit einer Firewall, sein. In Figur 8 ist das Relay-System 10 beispielhaft an die virtuellen Bridges br der virtuellen Kommunikationssubnetze 32 in Zone 1 und 33 in Zone 2 angebunden. Auf diese Weise können die beiden

Kommunikationssubnetze 32 und 33 quasi zu einem virtuellen Kommunikationssubnetz verbunden werden. Auf diese Weise ist es sehr leicht möglich, Informationen zwischen einzelnen virtuellen Maschinen einzelner virtueller Strukturen über gebridgte Netzwerkverbindungen vermittels des Relay-Systems 10 auszutauschen. Auf virtueller Ebene können sich einzelne virtuelle Maschinen verschiedener virtueller Strukturen somit auf einfache Weise ansprechen. Beispielsweise können, wie in Figur 8 dargestellt, virtuelle Maschinen aus der virtuellen Struktur VM-Struct.2 in Zone 1 unmittelbar virtuelle

Maschinen in der virtuellen Struktur VM-Struct.3 in Zone 2 ansprechen. Vorteilhaft ist die Verbindung zwischen den beiden Sicherheitszonen Zone 1 und Zone 2 über das Relay- System 10 durch spezielle Firewall-Regeln, Paketfilter, usw. abgesichert. Eine Vermittlung der Verbindung zwischen den beiden Sicherheitszonen Zone 1 und Zone 2 über das Relay- System 10 kann vermittels eines oder beider der externen Netzwerke NI und NU erfolgen. Auch hier sind, wie zu den anderen Ausführungsformen bereits mehrfach erläutert, vorteilhaft VPN-Verbindungen vorzusehen, so dass Daten über die externen Netze NI und NU ausschließlich verschlüsselt ausgetauscht werden. Die erläuterten Computersystem-Architekturen beziehungsweise Computernetz-Infrastrukturen aus einer Mehrzahl solcher

Computersystem-Architekturen kombinieren verschiedene

Systematiken, wie sie zum Teil aus herkömmlichen Lösungen bekannt sind, zu einer völlig neuen Gesamtlösung. Dadurch wird eine Einkapselung potenziell unsicherer Betriebssysteme beziehungsweise darauf laufender potenziell unsicherer

Anwendungsprogramme in virtuelle Maschinen beziehungsweise virtuelle Strukturen erzielt. Auf diese Weise wird ein ungewollter Verbindungsaufbau aus potenziell unsicheren

Systemen innerhalb der virtuellen Maschinen in externe

Netzwerke verhindert, ohne dass für jegliches Betriebssystem oder jegliches Anwendungsprogramm innerhalb der virtuellen Strukturen globale Firewall-Regeln eingerichtet und administriert werden müssen. Gleichzeitig sind die physischen Computersysteme, auf denen die virtuellen Maschinen

beziehungsweise virtuellen Strukturen implementiert sind, gegen einen Verbindungsaufbau auf das physische

Computersystem aus den externen physischen Netzwerken

abgesichert, soweit sich ein derartiger Verbindungsaufbau von einer reinen Vermittlung einer Kommunikation zwischen den virtuellen Maschinen verschiedener physischer Computersysteme unterscheidet .

Auf diese Weise ist eine Computersystem-Architektur

beziehungsweise eine daraus aufgebaute Computernetz- Infrastruktur auch speziell abgesichert gegen Angriffe von außen. Dennoch stellen die einzelnen physischen

Computersysteme als physische Host-Server virtualisierte anwendungsspezifische Funktionalitäten bereit, die über virtualisierte Kommunikationssubnetze zu sehr komplexen

Netzwerken zusammengeschlossen werden können. Eine

Vermittlung einer Kommunikation zwischen derartigen

virtuellen Kommunikationssubnetzen erfolgt vermittels externer physischer Netzwerke, insbesondere vorteilhaft abgesichert über verschlüsselte VPN-Verbindungen .

Insbesondere finden redundante, gebondete VPN-Verbindungen Anwendung .

Sämtliche Topologien der erläuterten Ausführungsformen können mit Merkmalen anderer Topologien ergänzt, erweitert oder verändert werden. Strukturell gleiche oder ähnliche Merkmale der verschiedenen Ausführungsformen können in anderen

Ausführungsformen entsprechend Anwendung finden. Die

dargestellten Ausführungsformen sind lediglich beispielhaft. In nicht dargestellten Ausführungsformen wäre auch denkbar, virtuelle Maschinen (VM-Gast) in gastgebenden virtuellen Maschinen (VM-Host) zu beherbergen, wobei die Maßnahmen der erläuterten Art in Zusammenspiel mit physischen

Computersystemen analog für die beherbergten virtuellen

Maschinen (VM-Gast) in den gastgebenden virtuellen Maschinen (VM-Host) bzw. für die gastgebenden virtuellen Maschinen (VM- Host) selbst Anwendung finden. Insbesondere kann eine

Kapselung von virtuellen Maschinen innerhalb von virtuellen Kommunikationssubnetzen der erläuterten Art auf gastgebende virtuelle Maschinen (VM-Host) sowie auf beherbergte virtuelle Maschinen (VM-Gast) angewendet werden. Die physischen

Computersysteme sind auch hier, wie erläutert, derart

abgesichert, dass ein von einem virtuellen

Kommunikationssubnetz unabhängiger Verbindungsaufbau aus einem externen physischen Netzwerk von außerhalb eines physischen Computersystems zum physischen Computersystem verhindert wird. Vorteilhaft werden im Allgemeinen die physischen

Computersysteme in Hochsicherheitsracks gegen physische

Manipulationen abgesichert. Ferner ist es vorteilhaft, jeglichen Zugriff auf Software oder Hardware durch

Administratoren über ein Mehr-Augen-Prinzip abzusichern.

Bezugs zeichenliste

1, la bis lf Computersystem-Architektur

2, 2a bis 2f physisches Computersystem

3, 3a bis 3c virtuelle Kommunikationssubnetze

31, 32, 33 ,34 virtuelle Kommunikationssubnetze 4, 4a bis 4f Netzwerk-Ports

14, 24 Netzwerk-Ports

5 virtuelles Speichersubnetz

6 Instanz eines Basisbetriebssystems 7 Administrations-ComputerSystem 8 Vermittlungs-ComputerSystem

9a, 9b Hochsicherheits-Rack

10 Relay-System

11 Routing

12a, 12b VPN-Dienst

13a, 13b VPN-Verbindungen

VM1 bis VM4 virtuelle Maschine

br virtuelle Netzwerk-Bridge

N, Nl, N2 physisches Netzwerk

NI, NU physisches Netzwerk

es Konsole einer virtuellen Maschine FW Firewall

webl, web2 Web-Server

appl, app2 Anwendungs-Server

dbl, db2 Datenbank-Server

VM-Struct . virtuelle Struktur

LI bis L4 Speicherkomponenten