Sichere Datacenter-Design-Prinzipien

Bringt eine Hyperkonvergente Infrastruktur mehr Sicherheit?

| Autor / Redakteur: Christian Winterfeldt* / Ulrike Ostler

Hyperkonvergente Infrastruktur (HCI) schützt vor Kudelmuddel sowie vor Fehlern im Datacenter-IT-Design und beherrscht doch die Prinzipein der Mikrosegmentierung.
Hyperkonvergente Infrastruktur (HCI) schützt vor Kudelmuddel sowie vor Fehlern im Datacenter-IT-Design und beherrscht doch die Prinzipein der Mikrosegmentierung. (Bild: gemeinfrei: Fokus8 auf Pixabay)

Traditionelle Rechenzentrumslandschaften mit separaten Server-, Storage- und Netzwerkressourcen sind unübersichtlich, komplex und bieten zahlreiche Angriffspunkte für Cyber-Attacken. Im Vergleich dazu lassen sich hyperkonvergente Infrastrukturen mit ihrem Security-by-Design-Ansatz deutlich effizienter absichern, so Christian Winterfeldt von Dell EMC.

Unternehmen müssen mehr in IT-Sicherheit investieren, um ihre Daten ausreichend vor Sicherheitsbedrohungen zu schützen; denn nicht nur die Zahl, sondern auch die Qualität der Cyber-Attacken nimmt beängstigend schnell zu. Notwendig ist erstens die Implementierung von Maßnahmen gegen herkömmliche Bedrohungen wie Malware und Phishing und zweitens die Errichtung tiefgestaffelter Verteidigungslinien zum Schutz vor neuen, heimtückischen Gefahren.

Viele der aktuellen Angriffe unterscheiden sich von traditionellen Bedrohungen dadurch, dass sie gezielt vorgehen und gut geplant sind. Häufig verbringen Hacker Monate damit, die Lage in den Unternehmen zu erkunden und nach Schwachstellen zu suchen, um einen Angriff durchzuführen und dabei unbemerkt in das Netzwerk eines Unternehmens einzudringen. Manchmal werden Unternehmen mehrmals von den gleichen Cyber-Kriminellen an unterschiedlichen Stellen angegriffen.

Der Ansatz von Dell Technologies für die IT- und IT-Security-Transformation.
Der Ansatz von Dell Technologies für die IT- und IT-Security-Transformation. (Bild: Dell EMC)

Das erfordert einen Wandel in der Vorgehensweise, um sich gegen diese Bedrohungen zu wappnen. Veraltete Infrastrukturen sind schwer zu verteidigen, mit Insellösungen unterschiedlicher Hersteller steigt die Anzahl von Schwachstellen – und damit das Risiko eines Hacker-Eindringens.

Gerade bei mehrschichtigen Verteidigungslinien sollten alle Elemente aufeinander abgestimmt sein. Hyperkonvergente Infrastrukturen er-fordern einen ganzheitlichen Sicherheitsansatz, der bereits beim Design und der Entwicklung einer Lösung einsetzt und über den gesamten Lebenszyklus konsequent weiterverfolgt wird.

Sicherheit im gesamten Lebenszyklus

Der IT-Sicherheits-Lebenszyklus beschreibt Aktivitäten, die während des gesamten Produktlebenszyklus erforderlich sind. Sie umfassen Maßnahmen, um erstens Sicherheitsresilienz und leistungsstarke Sicherheitsfunktionen in die Produkte zu integrieren und um zweitens umgehend auf extern gemeldete Sicherheitsschwachstellen reagieren zu können. Der Sicherheits-Lebenszyklus kann beispielsweise aus den Kontrollpunkten Bedrohungsanalyse (Threat Modeling), Schwachstellenanalyse im Netzwerk (Network Vulnerability Scanning), statische Code-Analyse, Schwachstellen-Scans von Web-Applikationen und Malware-Scanning bestehen.

Die Implementierung und Validierung dieser Kontrollpunkte wird von Sicherheitsverantwortlichen in der Produktentwicklung eines IT-Unternehmens gesteuert und überwacht, die eng mit dem zentralen Product Security Office (PSO) zusammenarbeiten. Ziel eines solchen umfassenden Ansatzes zur Entwicklung „sicherer Produkte“ ist die Minimierung des Risikos von Schwachstellen in Produkten.

Der Dell EMC Security Development Lifecycle (SDL) beschreibt die Aktivitäten, die während des gesamten Produktlebenszyklus erforderlich sind, um Resilienz und leistungsstarke Sicherheitsfunktionen in die Pro-dukte zu integrieren und umgehend auf aktuelle Si-cherheitsvorfälle reagieren zu können.
Der Dell EMC Security Development Lifecycle (SDL) beschreibt die Aktivitäten, die während des gesamten Produktlebenszyklus erforderlich sind, um Resilienz und leistungsstarke Sicherheitsfunktionen in die Pro-dukte zu integrieren und umgehend auf aktuelle Si-cherheitsvorfälle reagieren zu können. (Bild: Dell EMC)

Er umfasst Sicherheitsvorschriften, -prozesse, -technologien und Mitarbeiter. Effiziente Produktsicherheitsprogramme funktionieren ganzheitlich und integrieren auch von externen Anbietern kommende Komponenten und Software. Integritätstests innerhalb der Lieferkette sind ein wesentlicher Bestandteil beim Aufbau und Erhalt höchster Produktsicherheit. Erforderlich ist dazu ein formales Supply-Chain-Risk-Management-Programm, das sicherstellt, dass die in den Produkten verwendeten Hardwarekomponenten sowie die Software aus ordnungsgemäß geprüften Quellen stammen.

Isolierung im Netzwerkverkehr

Eine grundlegende Sicherheitsanforderung ist die Isolierung des Netzwerkverkehrs. In der VMware-Welt der hyperkonvergenten Infrastrukturangeboten beispielsweise ermöglichen die virtuellen Netzwerkfunktionen von „vSphere“ flexible Konnektivität und Isolierung.

Virtuelle Maschinen kommunizieren untereinander über den „VMware Virtual Distributed Switch“ (VDS), der als einzelner, logischer Switch fungiert und mehrere Knoten im gleichen Cluster zusammenfasst. VDS verwendet Standard-Netzwerkprotokolle und VLAN-Implementierungen und leitet Frames auf der Datenverbindungsschicht (Data-Link Layer) weiter.

Die auf den „Poweredge“-Servern der 14. Generation basierenden „VxRail“-Appliances von Dell EMC eignen sich für HCI-Anwendungsszenarien und anspruchsvolle geschäftskritische Anforderungen in VMware-Umgebungen.
Die auf den „Poweredge“-Servern der 14. Generation basierenden „VxRail“-Appliances von Dell EMC eignen sich für HCI-Anwendungsszenarien und anspruchsvolle geschäftskritische Anforderungen in VMware-Umgebungen. (Bild: Dell EMC)

Administratoren konfigurieren diese Switche auf Rechenzentrumsebene und schaffen so die Grundlage für eine sichere und konsistente Netzwerkkonfiguration, wenn virtuelle Maschinen über mehrere Hosts hinweg zu migrieren sind. Hyperkonvergente Infrastrukturlösungen wie beispielsweise „Dell EMC VxRail“ setzen sowohl beim Appliance Traffic als auch bei Software-defined Storage auf VDS. Optional kann eine VxRail-Appliance mit „VMware NSX“ konfiguriert werden und bietet damit software-definierte Netzwerksicherheit und eine granulare Zugangskontrolle durch Mikrosegmentierung.

Ziel der Netzwerksegmentierung ist es, den internen Netzwerkverkehr vom öffentlichen Verkehr zu isolieren, um die Angriffsfläche zu reduzieren. Zudem ermöglicht es die Segmentierung, die Reichweite eines Cyber-Angriffs einzugrenzen und den Schutz der Daten zu verbessern.

VxRail ist mit mehreren Ebenen der Netzwerksegmentierung ausgestattet, einschließlich der physischen Segmentierung der Netzwerk-Hardware, der virtuellen Segmentierung von Anwendungs- und Infrastrukturnetzwerken und der Mikrosegmentierung der VM- und Anwendungsebene mit der optionalen NSX-Software von VMware. Die Segmentierung schränkt die Sichtbarkeit kritischer administrativer Tools ein, so dass Angreifer diese nicht gegen das System verwenden können.

Die flexible Zugriffskontrolle unterstützt die Sicherheitsprinzipien „Least Privilege“ sowie „Separation of Responsibility“. Ein Administrator kann damit die Sicherheit erhöhen, indem er präzise Berechtigungen basierend auf der System-Management-Struktur eines Unternehmens definiert.
Die flexible Zugriffskontrolle unterstützt die Sicherheitsprinzipien „Least Privilege“ sowie „Separation of Responsibility“. Ein Administrator kann damit die Sicherheit erhöhen, indem er präzise Berechtigungen basierend auf der System-Management-Struktur eines Unternehmens definiert. (Bild: Dell EMC)

Standardmäßig wird die entsprechende Netzwerksegmentierung im Rahmen der Systeminitialisierung automatisch konfiguriert. Darüber hinaus kann ein Administrator zusätzliche Segmentierungsebenen entsprechend der Anwendungsumgebung definieren.

NSX ist eine umfangreiche Netzwerkvirtualisierungs- und Sicherheitsplattform, mit der Administratoren virtuelle Netzwerke erstellen können, einschließlich Router, Firewalls und Load Balancer. Da dieses Software-definierte Netzwerk von der zugrunde liegenden physischen Netzwerkinfrastruktur entkoppelt ist, ist es auch unabhängig von dem in einer hyperkonvergenten Infrastrukturtechnik eingebauten Switch.

Die integrierte Sicherheitsanwendung reduziert den Bedarf an zusätzlicher Sicherheitshardware oder Software. Administratoren konfigurieren mit NSX Mikrosegmentierung, um verschiedene Workloads sicher zu isolieren, den Ingress- und Engress-Datenverkehr zu überwachen und eine verbesserte Sicherheit für alle Workloads zu gewährleisten – einschließlich traditioneller Multi-Tier-Anwendungen sowie universeller virtueller Maschinen und VDI-Umgebungen.

Agile Entwicklung und die unterschiedlichen Aktivitäten in einem Security Development Lifecycle.
Agile Entwicklung und die unterschiedlichen Aktivitäten in einem Security Development Lifecycle. (Bild: Dell EMC)

Ganzheitlicher Schutz

Eine hyperkonvergente Infrastruktur wird als ganzheitliches Produkt konzipiert, entwickelt, gebaut und verwaltet, um die mögliche Angriffsfläche zu minimieren. Damit lässt sich auch das Prinzip Security by Design konsequent umsetzen, und gleichzeitig entsteht damit die Grundlage für Lifecycle Management, mit dem sich Aktualisierung des gesamten Software-Stack wesentlich vereinfacht.

Das ganzheitliche Update eines Systems mit vorgesehenen Update-Paketen ist eines der stärksten Sicherheitsargumente für ein Hyper Converged System. Der Sprung von einem validierten, und damit sicheren Zustand, zum nächsten sicheren Zustand mit minimalem Personal- und Zeitaufwand erhöht die Sicherheit in der IT deutlich.

Christian Winterfeldt ist Director Sales Modern Datacenter (MDC) bei Dell EMC Deutschland.
Christian Winterfeldt ist Director Sales Modern Datacenter (MDC) bei Dell EMC Deutschland. (Bild: Dell EMC)

Der optimale Schutz einer IT-Umgebung vor den heutigen Bedrohungen erfordert eine tiefgestaffelte Verteidigung mit mehreren Sicherheitsebenen, wie sie eine hyperkonvergente Infrastrukturlösung umsetzt. Darin integriert sind Netzwerkkomponenten, aber auch die Applikationen. Komplettiert wird die mehrstufige Sicherheit durch Intrusion-Detection- und Prevention-Lösungen, Antiviren- und Malware-Schutz sowie Funktionen für Security Operations und Management.

Hinweis: Auch in diesem Jahr stimmen die Leser über den „DataCenter-Insider Award“ ab. Die hyperkonvergenten Systeme bilden eine Kategorie und Dell EMC ist nominiert.

Ob Sie für diesen Hersteller/Anbieter sind oder einen anderen bevorzugen .... nur wer abstimmt, kann einen von drei „Microsoft Surface Go 64GB S“ gewinnen. geben Sie Ihrem Favoriten eine Chance.

* Christian Winterfeldt ist Director Sales Modern Datacenter (MDC) bei Dell EMC Deutschland.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46032714 / Sicherheits-Policies)