Sicherheit und Compliance im virtuellen Mix Log-Management ermöglicht sichere Server-Virtualisierung

Autor / Redakteur: Martin Ulmer, LogLogic / Stephan Augsten

Ein Mix aus physischen, virtuellen und Cloud-basierten Systemen ist nicht einfach zu überwachen. Es gilt, verteilte Hardware, Applikationen, Datenhaltung und Prozesse zentral und simultan im Blick behalten – einschließlich der Log-Daten von Providern. Was hilft, ist ein IT-Datenmanagement mit Blick auf den Kontext aller IT-Aktivitäten.

Firma zum Thema

Neue IT-Ansätze wie Cloud-basierende und virtualisierte Umgebungen erfordern ein zentralisiertes Log-Management.
Neue IT-Ansätze wie Cloud-basierende und virtualisierte Umgebungen erfordern ein zentralisiertes Log-Management.
( Archiv: Vogel Business Media )

Der Trend zur Server-Virtualisierung ist unaufhaltsam. Mit der Möglichkeit, vielfältige unterschiedliche Systeme auf einer einzigen Hardware-Plattform zu kombinieren, sinken die Kosten für Server, Speicher und Netzbetrieb. Dementsprechend reduziert sich auch der Energieverbrauch für Strom und Klimatisierung.

Gleichzeitig wird im Rahmen der Server-Virtualisierung die Auslastung bestehender Hardware optimiert.Gartner prognostiziert Einsparungen bis zu 25 Prozent aufgrund von Serverkonsolidierung und weniger Hardware-Einkauf.

Neben vielen anderen Aspekten vereinfachen sich bei virtuellen Systemen Backup und Recovery. Virtuelle Server-Systeme lassen sich sehr viel schneller wieder online bringen, als ihre physikalischen Pendants. Plattformen wie etwa VMware ESX und zugehörige Management-Tools ermöglichen zudem einen gleitenden Übergang von einer physischen zu einer virtuellen Umgebung.

Technische Antwort auf Virtualisierung

Jedoch bergen die Virtualisierung und der parallele Betrieb von physischen Servern erhebliche Herausforderungen für die IT-Sicherheit und Compliance für Unternehmen. Zumal die Firmen unterschiedlichen und sich verändernden Compliance-Anforderungen unterliegen.

Diese reichen von branchenneutralen Richtlinien wie dem BSI IT-Grundschutz und dem Datenschutz für Kunden- und Mitarbeiterinformationen über ISO Standards wie etwa die 2700x-Familie zur Informationssicherheit bis hin zu Regelungen des Telekommunikationsgesetzes.

Geschäftsstrategische Entscheidungen im Hinblick auf die Vorteile der Virtualisierung fordern daher technische Antworten für systemübergreifende Sicherheit und Compliance. Lösungen für Security Information und Event Management, kurz SIEM, sind hierfür weit verbreitet im Einsatz.

Die Grundlage gängiger SIEM-Lösungen sind Log-Daten, die von Hardware und Software in unterschiedlichen Formaten zur Dokumentation jeglicher Aktivitäten erzeugt werden. Aus der Korrelation von Log-Daten-Sammlungen können unter anderem Sicherheits- und Compliance-Richtlinien überwacht und Verstöße identifiziert bzw. über Alarmmeldungen angezeigt werden.

Inhalt

  • Seite 1: Technische Antwort auf Virtualisierung
  • Seite 2: Klassisches SIEM hält nicht mehr mit
  • Seite 3: Vom Silo-Ansatz zum Google-Konzept

Klassisches SIEM hält nicht mehr mit

Den flexiblen Modellen an IT-Ressourcen durch Virtualisierungsplattformen ist mit klassischem SIEM allerdings nicht mehr beizukommen. Schließlich ist kaum noch zu lokalisieren, wo genau eine Anwendung, ein Datensatz oder ein Prozess zu einem bestimmten Zeitpunkt läuft. Noch schwieriger wird es, in diesem Umfeld sicher zu stellen, dass kein unberechtigter Zugriff auf Daten und Prozesse erfolgt.

Die Konsequenz: Im Zuge der Virtualisierung ist es erforderlich, sowohl die physikalische Ebene und damit die Hardwarezugriffe zu überwachen, ebenso wie die Applikations- und Datenebenen zur Sicherstellung der Integrität der Informationen.

Diese Anforderung begründet sich durch die aufgrund der Virtualisierung veränderte Sichtweise. Ein E-Mail-System kann simultan auf drei unterschiedlichen Servern liegen, verbunden über virtuelle Router und mit Zugriff auf Datenbanken, die irgendwo in der Cloud bei einem Service Provider liegen.

Zentrale Log- und Datensammlung

Bisher neigen IT-Abteilungen dazu, Log-Daten getrennt nach Verantwortungsbereichen sowie in systemtechnischen Silos zu erfassen und reaktiv (also erst im Falle eines Vorfalls) auszuwerten. Derartige Strategien stoßen bei der Virtualisierung jedoch endgültig an ihre Grenzen.

Der Mix an physischen, virtuellen und Cloud-basierten Systemen erfordert eine zentrale und lückenlose Sammlung nicht nur von Log-Daten, sondern von IT-Daten jeglicher Form und Quelle. Dazu gehören Flow-Daten aus dem IT-Netz sowie auch SNMP Trap-Informationen (Simple Network Management Protocol) zur Überwachung von Netzwerkkomponenten wie Server, Switches und Router.

Wichtig bei der Nutzung von Cloud-Services ist zudem, auch die Log- und IT-Daten vom Provider zu erfassen, die für das eigene Unternehmen relevant sind. Nur so ist es möglich einen Einblick in das Gesamtgeschehen aller IT-Netzbereiche zu erhalten, für die ein Unternehmen verantwortlich ist, und daraus fundierte strategische und technische Entscheidungsgrundlagen zu entwickeln.

Schließlich ist es angesichts der aktuellen rechtlichen Anforderungen nicht nur die Aufgabe der IT-Administration, technische Situationen zu bewerten und ihre Konsequenzen einzuschätzen. Geschäftsführer und Manager haften in vielen Fällen persönlich, wenn es um die Sicherheit des Unternehmens, die Verfügbarkeit der Systeme und Maßnahmen gegen Risiken geht.

Damit hat sich das bislang rein technisch orientierte Log Management und darauf aufsetzendes SIEM weiterentwickelt: Es ist zum strategischen Instrument des IT-Datenmanagements avanciert. Letzteres definiert sich über seine Intelligenz. Damit ist die Fähigkeit gemeint, intelligentes Wissen aus der Masse der Log- und IT-Daten zu generieren und rollenbasiert für Kontrollen, Berichte, Alarme sowie als Entscheidungsgrundlage zur Verfügung zu stellen.

Inhalt

  • Seite 1: Technische Antwort auf Virtualisierung
  • Seite 2: Klassisches SIEM hält nicht mehr mit
  • Seite 3: Vom Silo-Ansatz zum Google-Konzept

Vom Silo-Ansatz zum Google-Konzept

Moderne Unternehmensnetze mit Virtualisierung und Cloud-Konzepten lösen den bislang gültigen Gegensatz zwischen statischen, lokal definierten Unternehmensnetzen zur physisch nicht abgegrenzten Internetwelt auf. Daher bedarf es auch eines „Google“-ähnlichen Ansatzes, der im Inneren des IT-Netzes das Geschehen erfasst und verständlich macht.

Das Prinzip des IT-Datenmanagements erfolgt entsprechend: Es erfasst sämtliche Aktivitäten im Netz zentral in Form von IT- und Log-Daten, indexiert und normalisiert sie und stellt sie für Analysen zur Verfügung. Die Leistungsfähigkeit der nachgeschalteten Korrelationen und Anwendungen entscheidet über den Wert, den IT-Datenmanagement für ein Unternehmen bereitstellen kann.

Doch nicht nur die Kosten, auch die Zeit ist im IT-Datenmanagement ein entscheidender Faktor, um direkt auf Verletzungen von Sicherheits- und Compliance-Richtlinien reagieren zu können. Am besten ist es, im Kontext der Gesamtsituation die Risiken von Konstellationen, die für sich genommen harmlos erscheinen, vorab zu erkennen und entsprechende Maßnahmen einzuleiten.

Auch Compliance-Standards wie beispielsweise für ISO, SOX oder PCI-DSS sollte man immer im Blick behalten. Wer nach einem höchstmöglichen Grad nach Automation sucht, für den erweisen sich Out-of-the-Box-Korrelationslösungen mit automatischen Aktualisierungsservices als hilfreich: Sie sorgen dafür, dass die Logs und IT-Daten über Filter, Reports und Alarm-Funktionen mit den definierten Regeln abgeglichen werden.

Letztendlich müssen an ein IT-Datenmanagement klare Kriterien angelegt werden, um unternehmerische Maßnahmen zur Modernisierung des IT-Netzes und Zertifizierungen nach Standards auch als Wettbewerbsvorteile nutzen zu können:

  • Skalierbarkeit: Die Kapazitäten in der IT-Daten-Speicherung und Verarbeitung müssen flexibel an wachsende und sich verändernde IT-Netze anpassbar sein, um Investitionen zu schützen
  • Lückenlose IT-Daten-Erfassung: nur wenn es keine „blinden Flecken“ in der IT-Umgebung gibt, können Unternehmen fundierte Entscheidungen treffen und Sicherheit sowie Compliance zuverlässig gewährleisten
  • Automatisierung: Je höher und intelligenter der Automatisierungsgrad, um so schneller und kosteneffizienter sind Unternehmen handlungsfähig
  • Anwenderfreundlichkeit: Je verständlicher und übersichtlicher für Anwender die Auswertung der IT-Daten aufbereitet wird, umso effizienter kann das Wissen daraus genutzt werden.
  • Korrelation: Ihre Leistungsfähigkeit entscheidet, wie schnell und umfassend auf Ereignisse im IT-Netz reagiert werden kann.
  • Integrierte Workflows: Definierte Rollen und Prozesse, die automatisch anhand von Auswertungen aus dem IT-Datenmanagement angestoßen werden, optimieren die Produktivität im Bereich Sicherheit und Compliance.

Inhalt

  • Seite 1: Technische Antwort auf Virtualisierung
  • Seite 2: Klassisches SIEM hält nicht mehr mit
  • Seite 3: Vom Silo-Ansatz zum Google-Konzept

Martin Ulmer ist als Territory Account Manager bei LogLogic Deutschland beschäftigt.

(ID:2053228)