:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security für Edge- und Industrial IoT Sicherung verteilter Datengrenzen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Edge- und Industrial IoT verändern die Unternehmens-IT – und stellen traditionelle Ansätze zur System- und Datensicherheit in Frage. Anwendungen und Daten verlassen zunehmend den physischen Schutz und den Schutz des Rechenzentrums auf Systemebene und verlagern sich auf die letzte Meile des Unternehmensnetzwerks.
Es wird erwartet, dass die Zahl der IoT-Geräte bis 2022 weltweit auf über 50 Milliarden ansteigen wird, während sie 2018 erst bei rund 21 Milliarden lag. Verantwortlich für diesen Zuwachs werden in erster Linie die IoT-Implementierungen der Industrie sein. Zudem besagt eine Prognose, dass bis 2025 ca. 59 Prozent der Daten aus IoT-Bereitstellungen durch Edge Computing verarbeitet werden. Das bedeutet auch, dass 2023 mehr als die Hälfte der von Industrie und Unternehmen eingesetzten Geräte auf Edge-Computing angewiesen sein wird.
Dies ist eine große Herausforderung: Die Geräte sind leichter zu manipulieren und weisen die gleichen Sicherheitslücken sowie eine unregelmäßige Aktualisierungsfrequenz auf, die traditionell mit Endgeräten von Unternehmen einhergeht. Angreifer wissen das, und so kam es laut Berichterstattung, in der ersten Hälfte des Jahres 2019 zu einem Anstieg der IT-Angriffe, bei denen Malware-Autoren Bot-Armeen auf Endgeräte geschleust oder Daten ins Visier genommen haben.
Container - von wegen sicher geschlossen...
Container sind eine relativ neue Technologie, die sich schnell und weitläufig durchsetzt, jedoch besteht ein gewisses Risiko.
Das Docker- und Container-Orchestrierungssystem Kubernetes hat sich in der IT-Branche etabliert. Dies geht aus dem „Flexera 2020 State of the Cloud-Bericht” hervor: 65 Prozent nutzen Docker und 58 Prozent Kubernetes. Kubernetes ist eine Kernkomponente von Open-Source-Edge-Infrastrukturplattformen wie StarlingX. Da Container einen sehr geringen Platzbedarf haben, eignen sie sich natürlich für das ressourcenbeschränkte industrielle IoT – aber sie stellen auch verlockende Ziele dar.
Container teilen sich den zugrundeliegenden Kernel ihres Host-Gerätes, d.h. sollte schädlicher Code von dort nach außen dringen, kann dies tiefgreifende Auswirkungen sowohl auf andere gehostete Container als auch auf das Host-Gerät selbst haben. Auch weil Container relativ neu sind, haben Entwickler als auch Administratoren Mühe, deren Komplexität zu beherrschen. Zu den Problemen gehören u.a.: schlechter Schutz von Zertifikaten und Schlüsseln und das Vorhandensein von nicht gepatchtem oder nicht sicherem Code. Container sind offen verfügbar, können also mit schädlichem Code infiziert werden, der dann weitergegeben wird. Deswegen enthalten die zehn beliebtesten Docker-Images auch mindestens 30 Sicherheitslücken.
Sicherheit von unten nach oben
Milliarden von Geräten, ein stark verteiltes Edge-Netzwerk, verschiedene Angriffsmethoden und eine Anwendungsarchitektur, die weder ausgereift noch vollständig verstanden wurde, können in der Tat herausfordernde Zeiten für die Daten- und Gerätesicherheit bedeuten. Aber Sicherheit ist möglich. Sicherheit in dieser komplexen Welt bedeutet jedoch, nicht nach einem einzelnen Schutz oder einer Verteidigung zu suchen, sondern verschiedene Methoden zu nutzen, um eine mehrschichtige Tiefenverteidigung (Defense-in-Depth) aufzubauen und diese zentral über die Cloud zu verwalten. Diese Verteidigung fängt am unteren Ende des Stacks an, wo es eine Reihe von Technologien und Verfahren gibt, die man hierzu in Betracht ziehen sollte:
UEFI Secure Boot ist ein Überprüfungsmechanismus, um sicherzustellen, dass der Code echt bzw. unverfälscht ist. Jede, beim Booten geladene Binärdatei wird anhand bekannter Schlüssel in der Firmware überprüft, um zu bestätigen, dass sie von vertrauenswürdigen Anbietern und Quellen stammen. Dies hilft sicherzustellen, dass das Betriebssystem vom BIOS zu GRUB sicher gebootet wird.
Trusted Platform Module (TPM) sind Microchips in Endgeräten, in denen Secrets wie kryptografische RSA-Schlüssel gespeichert werden können. Sie können nur von autorisierten Benutzern gelesen und nicht geändert werden.
Verwaltung von Zertifikaten: Public-Key-Infrastructue (PKI) Zertifikate werden für die Kubernetes-Authentifizierung über Transport Layer Security verwendet, z. B. für API-Endpunkte und Server. Da die Verwendung von Containern zunimmt und Kubernetes-Umgebungen komplexer werden, können die Zertifikate schwierig zu verwalten sein. Die Lösung ist ein automatisiertes System für die Zertifikatsverwaltung. Es reduziert die Komplexität und ist zudem sicherer, da es das manuelle Fehlerpotenzial eliminiert. Für Unternehmen ist es auch wichtig, die Authentifizierung auf Verzeichnisebene zu integrieren - insbesondere Active Directory von Microsoft oder Cert Manager, die beide z.B. von StarlingX unterstützt werden.
Signieren und validieren: Code kann manipuliert werden - sogar der offizielle Code in einem Register. Daher ist es wichtig, ein System zu implementieren, das den Code verifiziert. Docker unterstützt dies mit Signatur-Validierungen auf dem Client, aber es ist wichtig, dies in Kubernetes zu haben - und zwar außerhalb des Clients und der Runtime, um eine zentralere Verwaltung zu gewährleisten. Daran hat die StarlingX-Gemeinschaft gearbeitet.
Container Isolation: Container-Dateisysteme, Prozesse und andere Funktionen können über Namespaces und Cgroups isoliert werden, diese können jedoch verletzt werden. Kata-Container, die von StarlingX verwendet werden, bieten eine starke Workload-Isolation mithilfe der Hardware-Virtualisierung – und damit also eine zweite Verteidigungsschicht.
Pod Security: Pods sind Gruppen von Containern. Mit Pod-Sicherheitsrichtlinien können der Zugriff auf gemeinsam genutzte Host-Ressourcen wie Netzwerk und Speicher gesteuert und in Kubernetes implementiert werden. Es kann schwierig sein, Kubernetes-Policies großflächig zu erstellen und zu verwalten. Daher ist es hilfreich, eine Verwaltungsebene einzusetzen, um das Set-up zu vereinfachen, die Nutzung zu überwachen und die Ausführung zu verwalten. Ein System wie StarlingX bietet Standardeinstellungen und vereinfacht das individuelle Erstellen von Policies und Roles. Mit diesen Standard-Pod-Security-Policies, Roles und Rolebinding können die Pod-Security-Policies von Kubernetes aktiviert werden, ohne versehentlich die Funktionen wichtiger Benutzer zu deaktivieren.
Fazit
Das Edge-Computing expandiert unaufhaltsam, da das industrielle IoT auf dem Vormarsch ist. Aber sowohl die Geräte als auch die Daten der Unternehmen werden durch den Rückzug des klassischen Rechenzentrums gefährdet. Die Sicherung von Edge und Industrial IoT erfordert eine mehrschichtige Tiefenverteidigung: die Verwendung bewährter, vorhandener Tools von der Hardware-Ebene aufwärts ebenso wie die Arbeit mit Containern samt zusätzlicher Automatisierung und die zentralisierte Verwaltung der Cloud.
Über den Autor: Greg Waines ist „Senior Member of Technical Staff“ bei Wind River.
(ID:46935279)
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942450/original.jpg "Die Kooperation von Palo Alto Networks und IBM soll zu einer KI-gestützten Sicherheitsautomatisierung für 5G-Netzwerke führen. (© – Yingyaipumi – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945940/original.jpg "Snyk weitet seine Sicherheitsstrategie auf End-to-End-Containerschutz und Cloud-Sicherheit aus. (Snyk)")