:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security für Edge- und Industrial IoT Sicherung verteilter Datengrenzen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Edge- und Industrial IoT verändern die Unternehmens-IT – und stellen traditionelle Ansätze zur System- und Datensicherheit in Frage. Anwendungen und Daten verlassen zunehmend den physischen Schutz und den Schutz des Rechenzentrums auf Systemebene und verlagern sich auf die letzte Meile des Unternehmensnetzwerks.
Es wird erwartet, dass die Zahl der IoT-Geräte bis 2022 weltweit auf über 50 Milliarden ansteigen wird, während sie 2018 erst bei rund 21 Milliarden lag. Verantwortlich für diesen Zuwachs werden in erster Linie die IoT-Implementierungen der Industrie sein. Zudem besagt eine Prognose, dass bis 2025 ca. 59 Prozent der Daten aus IoT-Bereitstellungen durch Edge Computing verarbeitet werden. Das bedeutet auch, dass 2023 mehr als die Hälfte der von Industrie und Unternehmen eingesetzten Geräte auf Edge-Computing angewiesen sein wird.
Dies ist eine große Herausforderung: Die Geräte sind leichter zu manipulieren und weisen die gleichen Sicherheitslücken sowie eine unregelmäßige Aktualisierungsfrequenz auf, die traditionell mit Endgeräten von Unternehmen einhergeht. Angreifer wissen das, und so kam es laut Berichterstattung, in der ersten Hälfte des Jahres 2019 zu einem Anstieg der IT-Angriffe, bei denen Malware-Autoren Bot-Armeen auf Endgeräte geschleust oder Daten ins Visier genommen haben.
Container - von wegen sicher geschlossen...
Container sind eine relativ neue Technologie, die sich schnell und weitläufig durchsetzt, jedoch besteht ein gewisses Risiko.
Das Docker- und Container-Orchestrierungssystem Kubernetes hat sich in der IT-Branche etabliert. Dies geht aus dem „Flexera 2020 State of the Cloud-Bericht” hervor: 65 Prozent nutzen Docker und 58 Prozent Kubernetes. Kubernetes ist eine Kernkomponente von Open-Source-Edge-Infrastrukturplattformen wie StarlingX. Da Container einen sehr geringen Platzbedarf haben, eignen sie sich natürlich für das ressourcenbeschränkte industrielle IoT – aber sie stellen auch verlockende Ziele dar.
Container teilen sich den zugrundeliegenden Kernel ihres Host-Gerätes, d.h. sollte schädlicher Code von dort nach außen dringen, kann dies tiefgreifende Auswirkungen sowohl auf andere gehostete Container als auch auf das Host-Gerät selbst haben. Auch weil Container relativ neu sind, haben Entwickler als auch Administratoren Mühe, deren Komplexität zu beherrschen. Zu den Problemen gehören u.a.: schlechter Schutz von Zertifikaten und Schlüsseln und das Vorhandensein von nicht gepatchtem oder nicht sicherem Code. Container sind offen verfügbar, können also mit schädlichem Code infiziert werden, der dann weitergegeben wird. Deswegen enthalten die zehn beliebtesten Docker-Images auch mindestens 30 Sicherheitslücken.
Sicherheit von unten nach oben
Milliarden von Geräten, ein stark verteiltes Edge-Netzwerk, verschiedene Angriffsmethoden und eine Anwendungsarchitektur, die weder ausgereift noch vollständig verstanden wurde, können in der Tat herausfordernde Zeiten für die Daten- und Gerätesicherheit bedeuten. Aber Sicherheit ist möglich. Sicherheit in dieser komplexen Welt bedeutet jedoch, nicht nach einem einzelnen Schutz oder einer Verteidigung zu suchen, sondern verschiedene Methoden zu nutzen, um eine mehrschichtige Tiefenverteidigung (Defense-in-Depth) aufzubauen und diese zentral über die Cloud zu verwalten. Diese Verteidigung fängt am unteren Ende des Stacks an, wo es eine Reihe von Technologien und Verfahren gibt, die man hierzu in Betracht ziehen sollte:
UEFI Secure Boot ist ein Überprüfungsmechanismus, um sicherzustellen, dass der Code echt bzw. unverfälscht ist. Jede, beim Booten geladene Binärdatei wird anhand bekannter Schlüssel in der Firmware überprüft, um zu bestätigen, dass sie von vertrauenswürdigen Anbietern und Quellen stammen. Dies hilft sicherzustellen, dass das Betriebssystem vom BIOS zu GRUB sicher gebootet wird.
Trusted Platform Module (TPM) sind Microchips in Endgeräten, in denen Secrets wie kryptografische RSA-Schlüssel gespeichert werden können. Sie können nur von autorisierten Benutzern gelesen und nicht geändert werden.
Verwaltung von Zertifikaten: Public-Key-Infrastructue (PKI) Zertifikate werden für die Kubernetes-Authentifizierung über Transport Layer Security verwendet, z. B. für API-Endpunkte und Server. Da die Verwendung von Containern zunimmt und Kubernetes-Umgebungen komplexer werden, können die Zertifikate schwierig zu verwalten sein. Die Lösung ist ein automatisiertes System für die Zertifikatsverwaltung. Es reduziert die Komplexität und ist zudem sicherer, da es das manuelle Fehlerpotenzial eliminiert. Für Unternehmen ist es auch wichtig, die Authentifizierung auf Verzeichnisebene zu integrieren - insbesondere Active Directory von Microsoft oder Cert Manager, die beide z.B. von StarlingX unterstützt werden.
Signieren und validieren: Code kann manipuliert werden - sogar der offizielle Code in einem Register. Daher ist es wichtig, ein System zu implementieren, das den Code verifiziert. Docker unterstützt dies mit Signatur-Validierungen auf dem Client, aber es ist wichtig, dies in Kubernetes zu haben - und zwar außerhalb des Clients und der Runtime, um eine zentralere Verwaltung zu gewährleisten. Daran hat die StarlingX-Gemeinschaft gearbeitet.
Container Isolation: Container-Dateisysteme, Prozesse und andere Funktionen können über Namespaces und Cgroups isoliert werden, diese können jedoch verletzt werden. Kata-Container, die von StarlingX verwendet werden, bieten eine starke Workload-Isolation mithilfe der Hardware-Virtualisierung – und damit also eine zweite Verteidigungsschicht.
Pod Security: Pods sind Gruppen von Containern. Mit Pod-Sicherheitsrichtlinien können der Zugriff auf gemeinsam genutzte Host-Ressourcen wie Netzwerk und Speicher gesteuert und in Kubernetes implementiert werden. Es kann schwierig sein, Kubernetes-Policies großflächig zu erstellen und zu verwalten. Daher ist es hilfreich, eine Verwaltungsebene einzusetzen, um das Set-up zu vereinfachen, die Nutzung zu überwachen und die Ausführung zu verwalten. Ein System wie StarlingX bietet Standardeinstellungen und vereinfacht das individuelle Erstellen von Policies und Roles. Mit diesen Standard-Pod-Security-Policies, Roles und Rolebinding können die Pod-Security-Policies von Kubernetes aktiviert werden, ohne versehentlich die Funktionen wichtiger Benutzer zu deaktivieren.
Fazit
Das Edge-Computing expandiert unaufhaltsam, da das industrielle IoT auf dem Vormarsch ist. Aber sowohl die Geräte als auch die Daten der Unternehmen werden durch den Rückzug des klassischen Rechenzentrums gefährdet. Die Sicherung von Edge und Industrial IoT erfordert eine mehrschichtige Tiefenverteidigung: die Verwendung bewährter, vorhandener Tools von der Hardware-Ebene aufwärts ebenso wie die Arbeit mit Containern samt zusätzlicher Automatisierung und die zentralisierte Verwaltung der Cloud.
Über den Autor: Greg Waines ist „Senior Member of Technical Staff“ bei Wind River.
(ID:46935279)
:quality(80)/p7i.vogel.de/wcms/67/a9/67a9054d200229b6586805a8744250f5/0113234141.jpeg "Eine robuste Plattform für die Bereitstellung und Verwaltung von Kubernetes-Clustern kann für Unternehmen der richtige Ansatz sein, um ihre Kubernetes-Workloads zu optimieren und zugleich die Container-Sicherheit zu gewährleisten. (Bild: Sasint - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/04/c604334c7d11860c3428159c4a7beb1c/0108428493.jpeg "Microservices zerlegen Anwendungen in ihre Kernfunktionen, die jeweils als Service bezeichnet werden. Und genau das bringt viele Vorteile! (Bild: © momius - stock.adobe.com)")