Mehr Sicherheit durch hyperkonvergente, automatisierte Infrastrukturen

“Silo“-Infrastrukturen sind kompliziert und unübersichtlich– auch hinsichtlich des Themas Sicherheit. In einer Welt wachsender Bedrohungen für digitale Assets sind neue Lösungen nötig, die integrierten, automatisierten Schutz bieten. Hyperkonvergente Lösungen zeigen ein Weg dahin.

Wer sich ein Bild über den Umfang unerwünschter Datenzugriffe und Datenverluste durch Hacking machen möchte, findet die nötigen Informationen im Internet unter informationisbeatuiful.com. Es zeigt sich, dass die bei Attacken erbeuteten Datenmengen immer größer werden.

Data-Breaches (Screenshot: ZDNet.de)

Erst kürzlich beispielsweise entschwanden die Daten von rund 50 Millionen türkischen Bürgern im Dunkel des Dark Web, und selbst der als hochsicher geltende Web-Messaging-Dienst Telegram musste den Raub von 15 Millionen Datensätzen zugeben. Laut einer Untersuchung von IBM und Ponemon Institute wuchs der durchschnittliche Schaden pro Datenschutzverletzung auf nunmehr knapp 3,8 Millionen Dollar. Und das Beratungsunternehmen Price Waterhouse Cooper geht davon aus, das 45 Prozent der US-amerikanischen Finanzinstitute im vergangenen Jahr Wirtschaftskriminalität erlebt haben. Nicht immer wird dabei Internet-Kriminalität eine Rolle gespielt haben, dennoch bleibt die Zahl bemerkenswert.

Gleichzeitig steigen auch die Sicherheitsanforderungen – so gilt in Deutschland inzwischen das Informationssicherheitsgesetz, und in ganz Europa wird im Mai 2018 die europäische Datenschutzverordnung in Kraft treten, die in allen europäischen Ländern gleichermaßen strenge Anforderungen an den Datenschutz und die Datensicherheit stellt. Gleichzeitig sanktioniert sie Verstöße mit hohen Geldbußen – sie können maximal 20 Millionen Euro oder vier Prozent vom jährlichen Umsatz betragen, Summen, die auch solvente Unternehmen schwerlich kalt lassen dürften.

Spezifische Märkte in den USA aber auch darüber hinaus werden auch heute schon durch besondere Normen geschützt. Dazu gehört PCI-DSS (Payment Card Industry Data Security Standard) für die Kreditkartenindustrie, HIPAA (Health Insurance Portability and Accountability Act) für in den USA aktive Krankenversicherungen oder SOX (Sarbanes-Oxley-Act) für die Finanzindustrie.

Besonders heikel werden Sicherheitsfragen im Zusammenhang mit der Diskussion, ob und inwieweit ein Unternehmen auf eine Cloud-Infrastruktur umsteigen kann und sollte. Denn On-Premises bietet zwar die größtmögliche Kontrolle über die Infrastruktur, ist aber teuer und skaliert häufig nicht ausreichend flexibel. Der Public Cloud werden allerdings nur die wenigsten rückhaltlos alle Daten anvertrauen, zumal dieser Praxis hierzulande auch gesetzliche Grenzen gesetzt sind. Allerdings bleiben gerade die Komplexitäten, die den Betrieb einer Inhouse-Infrastruktur teuer, arbeitsaufwändig und kompliziert machen, in eine Public-Cloud-Infrastruktur aus Anwendersicht unsichtbar. Zudem ist sie schnellstens skalierbar und immer aktuell.

Eine Lösung, um einerseits von den Vorteilen der Cloud wie Agilität, Flexibilität und schnelle Spakierbarkeit und andererseits von den Vorteilen einer On-Premises-Lösung zu profitieren, ist der Einsatz eines hyperkonvergenten Systems, das „Unsichtbarkeit“ der Infrastruktur, Skalierbarkeit und Flexibilität der Public-Cloud-Infrastruktur mit der Kontrolle einer klassischen Inhouse-Infrastruktur verbindet. Zudem bietet eine solche Lösung idealerweise integrierte, automatisierte Sicherheitsmechanismen, die genauso gut oder besser arbeiten als diejenigen, die große Public-Cloud-Anbieter nutzen.

Demgegenüber wird Sicherheit in klassisch strukturierten IT- Umgebungen für jedes Infrastruktursilo – Computing, Virtualisierung und Speicherung – separat gehandhabt. Das macht die Implementierung von Applikationen komplexer und erhöht das Risiko von Fehlern und Systemausfällen.

Um hohe Sicherheitsanforderungen zu erfüllen, muss ein hyperkonvergentes System Sicherheit holistisch betrachten. Dazu gehören drei Aspekte: eine sichere Plattform, die umfassende Automatisierung aller Abläufe und leistungsfähige Partner, deren Produkte die eigene Lösung im Bereich Sicherheit ergänzen. Im Folgenden wird jeder dieser drei Aspekte detailliert beleuchtet.

Sichere Plattform

Die gesamte Entwicklung folgt bei Nutanix einem klar definierten Entwicklungszyklus (Security Development Lifecycle (SecDL). Er sorgt dafür, dass Sicherheit bei jedem Entwicklungsschritt und von Anfang an berücksichtigt wird. Das gilt für Design, Bereitstellung, Test und Härtung des Systems und jedes Softwarereleases. Resultat ist ein sicheres System, dessen Entwicklung sich durch die Berücksichtigung von Sicherheitsfragen nicht verlangsamt. Zudem arbeitet Nutanix Enterprise Cloud Plattform nahtlos mit allen wichtigen Sicherheitstechnologien zusammen.

Sicherheit in Nutanix (Bild: Nutanix)Sicherheit ist bei Nutanix in jeden Schritt des Produktentwicklungs- und Nutzungszyklus eingebaut (Bild: Nutanix)

Im Speicher der Nutanix-Plattform werden Anwender- und Applikationsdaten durch Verschlüsselung gemäß dem US-Sicherheitsstandard FIPS (Federal Information Processing Standard) 140-2 Level-2 geschützt. Eingesetzt werden in den hyperkonvergenten Systemen von Nutanix sich selbst verschlüsselnde Laufwerke, die so schnell arbeiten, dass sie die Anwendungen nicht verlangsamen. Das bedeutet: Selbst gestohlene oder verlorene Laufwerke nutzen dem Finder oder Dieb nichts, denn die Daten können ohne den nötigen Schlüssel nicht gelesen werden.

Die Schlüssel werden über Schnittstellen, die dem Key Management Interface Protocol (KMIP) entsprechen, an Schlüsselmanagementsysteme von Drittherstellern weitergegeben. Für die Authentifizierung von Nutanix-Knoten auf Systemebene wird ebenfalls ein externer Schlüsselmanagement-Server verwendet. Nach der System-Authentifizierung erzeugen die selbstverschlüsselnden Laufwerke neue Schlüssel, die sie dann in den Schlüsselmanagement-Server laden. Nach einem Stromausfall oder bei einem Neustart lädt die Nutanix-Software die Schlüssel vom betreffenden Schlüsselmanagementserver und entschlüsselt damit die Laufwerke.

Sicherheitsregeln können entsprechend den Regeln einzelner Standorte jederzeit neu definiert werden. SanDisk Crypto Erase entfernt im Notfall aktuelle Schlüssel vom Schlüsselmanagementserver, so dass effektiv keine Zugriffsmöglichkeit mehr auf die Daten auf dem betreffenden Laufwerk besteht. Gleichzeitig wird ein neues symmetrisches Schlüsselpaar erzeugt. Diese Lösung entspricht den Anforderungen von HIPAA, SOX und PCI-DSS.

Um die Sicherheit weiter zu erhöhen, bietet Nutanix die Zweifaktor-Authentisierung für den Administratorzugriff für Umgebungen mit besonders strengen Sicherheitsanforderungen an, wo eine separate Sicherheitsschicht für administrative Aktionen verlangt wird. Hier müssen Client-Zertifikat und Passwort kombiniert werden, um den Zugang freizuschalten. Auf beides kann man über lokale Konten innerhalb der Nutanix-Benutzerschnittstelle oder über ein Active Directory zugreifen.

Für die höchsten Sicherheitsanforderungen, wie sie etwa für Einrichtungen des Gesundheitswesens oder bei Regierungsinstitutionen gelten, eignet sich die Funktion Cluster Lockdown. Damit kann ein Administrator den Zugriff auf einen Nutanix-Cluster grundsätzlich verbieten, indem die interaktiven Login-Skripte der Shell automatisch abgeschaltet werden. Dadurch wird das Risiko nicht autorisierter Systemzugriffe auf Managementebene weitgehend ausgeschaltet.

Weil die Nutanix Enterprise Cloud Platform viele einschlägige Zertifizierungen besitzt, verschlingt die Zertifizierung von Anwenderlösungen auf Basis dieser Plattform nicht mehr wie üblich Monate, sondern ist in der Regel in weit kürzeren Zeiträumen abgeschlossen – vielleicht reichen schon Minuten.

Automatisierung

Normalerweise erfordert die Sicherung von Systemen sehr viele aufwändige, detailreiche und daher fehleranfällige händische Eingaben und Prozesse. Software-Patching und Upgrades, zum Beispiel des Hypervisors, sind nur zwei Beispiele. Dies gilt insbesondere für die noch immer verbreiteten Silo-Infrastrukturen. Denn hier denkt jeder Zuständigkeitsbereich aufgrund der begrenzten personellen und Zeitkapazitäten meist nur daran, die Bedrohungen abzuwehren, die für den eigenen Verantwortungsbereich relevant sind. Die Folge sind gefährliche Sicherheitslücken.

Die Risiken erhöhen sich mit der Anforderung, Applikationen schneller und flexibler zu entwickeln und zu skalieren. Denn die Sicherheitsplattform muss mit der Skalierung von Infrastruktur und Anwendungen, die darauf laufen, mithalten.

Die Lösung lautet, Sicherheitsprozesse so weitgehend zu automatisieren wie möglich. Nutanix hat fünf firmenspezifische detaillierte Implementierungsvorgaben für wichtige Themen entwickelt, die sich an entsprechenden Vorgaben für die informationstechnische Infrastruktur der amerikanischen Streitkräfte anlehnen. Die Umsetzung dieser Vorgaben verringert die Angriffsfläche der Systeme auf ein Minimum. Die Vorgaben umfassen über 800 sicherheitsbezogene Implementierungsdetails aus den Themenbereichen Speicher, Virtualisierung und Management. Zur Verfügung stehen sie in XML und als pdf-Dokument. Die XML-Variante kann von bestimmten Softwaretools gelesen werden, die dann automatisiert überprüfen, ob die vorhandene Implementierung der Vorgabe entspricht. Das verringert den Zeitbedarf von Sicherheitsüberprüfungen erheblich.

Außerdem checkt sich das System mittels Security Configuration Management Automation (SCMA) automatisch und nach festgelegten Zeitabständen selbst auf unerkannte oder nicht genehmigte Konfigurationsänderungen. Findet es welche, setzt die Funktion diese Veränderungen wieder so zurück, dass die Konformität mit den Regeln wieder gewahrt bleibt. Beispielsweise prüft die Funktion, ob regelwidrig Zugriffsrechte auf Logfiles gesetzt wurden – sei es nun mit Absicht oder aus Versehen. Im Zweifel werden sie anschließend vom System zurückgenommen und das System wieder in einen regelkonformen Zustand versetzt. So sinkt das Risiko erheblich, dass unbemerkt Änderungen vorgenommen, Daten gestohlen oder Logfiles ausgelesen werden, was das Leben der Sicherheitsverantwortlichen erleichtert.

Umfangreiche Partnerlandschaft

Niemand kann alles allein. Das gilt erst recht für das heikle Thema Sicherheit. Ein gut ausgebautes Umfeld von Sicherheitspartnern, die sich mit Spezialaufgaben befassen, sorgt für die umfassende Berücksichtigung aller sicherheitsrelevanten Themen und die Implementierung aller Technologien, die die Sicherheit eines Systems optimieren können.
Besonders wichtig, gerade für europäische Kunden, ist das Thema Datensicherheit. Selbstverschlüsselnde Platten in den Nutanix-Knoten gehören zum Lieferumfang. Für das Schlüsselmanagement allerdings setzt Nutanix auf Lösungen von Vormetric, Gemalto und IBM. So integriert Nutanix seine Lösung mit Gemalto SafeNet Key Secure, einer Software, die es ermöglicht, den verschlüsselten Speicher mit wenig Komplexität und Kosten sicher zu skalieren. Vormetrics Data Security Manager liefert Zertifikate, die Nutanix-Knoten auf Systemebene authentisieren. IBMs Security Key Lifecycle Manager zentralisiert, vereinfacht und automatisiert das Schlüsselmanagement. Schlüssel werden gespeichert, herausgegeben und während ihres gesamten Lebenszyklus bis zur Löschung überwacht.

Nutanix: Gemalto Safenet (Bild: Nutanix)Durch die Integration mit Gemalto SafeNet lässt sich Speicher in einer Nutanix-Infrastruktur nahtlos und sicher skalieren (Bild: Nutanix).

Dabei nutzt IBM OASIS KMIP (Key Management Interoperability Protocol). Die Lösung kooperiert nahtlos mit den von Nutanix verwendeten selbstverschlüsselnden Festplatten.
Durch mehr Datenverkehr zwischen virtuellen Maschinen im selben Rechenzentrum (Ost-West-Verkehr) entstehen Sicherheitslücken, da Perimeter-orientierte Lösungen hier nicht nach Eindringlingen suchen. Dagegen helfen Methoden wie Mikrosegmentierung und eine verstärkte Überwachung des RZ-internen Bereichs. Nutanix hat sich auch hier mit leistungsfähigen Partnern verbündet. Zu den Produkten, mit denen sich die Nutanix-Plattform nahtlos integrieren lässt, gehören Illumios Adaptive Security Platform, das Distributed Seyurity System von vArmour und Next Generation Firewalls von Palo Alto Networks.

Schließlich müssen auch die diversen Endgeräte geschützt werden, deren Heterogenität immer mehr zunimmt. Enge Partnerschaften verbinden Nutanix hier mit Trend Micro und McAfee. Die Antiviruslösung MOVE (Management for Optimized Virtual Environments) versorgt virtualisierte Server und Desktops mit Virenschutz. Deep Security von Trend Micro schützt umfassend Anwendungen in virtualisierten Umgebungen.
Höchste Sicherheit für sensible Anwendungen

Mit diesen Merkmalen kombiniert die hyperkonvergente Nutanix Enterprise Cloud Platform die Sicherheit einer vor unberechtigten Zugriffen und Manipulationen gut geschützten On-Premise-Umgebung mit den Effizienz- und Kostenvorteilen einer „unsichtbaren“ Infrastruktur, wie sie die Public Cloud bietet. Damit empfiehlt sich die Plattform für Unternehmen aller Art und besonders für Anwender aus sehr sicherheitssensiblen und gleichzeitig kostenbewussten Branchen.

Themenseiten: Nutanix, Nutanix Hyperconverged Infrastructure

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Mehr Sicherheit durch hyperkonvergente, automatisierte Infrastrukturen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *