Categories: Sicherheit

Überspannende Konvergenz – untergeordnete Sicherheit?

Alles für eines, eines für alles. Eine Hyperkonvergente Infrastruktur (HCI) ist aus verschiedenen Gründen reizvoll für Unternehmen. Die Akzeptanz des Ansatzes steigt kontinuierlich. Die neuen Strukturen versprechen, Investitionen in das Rechenzentrum effizienter zu machen, die Bereitstellung von Diensten agiler zu gestalten und die Skalierbarkeit zu vereinfachen. Die Absicherung dieser Strukturen ist im Gegensatz zu traditionellen, mehrdimensionalen Strukturen jedoch komplett anders und droht die anvisierten Vorteile in Teilen zunichte zu machen. Wie also kann man die Vorteile von HCI nutzen, ohne bei ihrer Absicherung Abstriche machen zu müssen?

Liviu Arsene, der Autor dieses Gastbeitrags ist leitender Bedrohungsanalyst beim Sicherheitsspezialisten Bitdefender (Bild: Bitdefender).

Warum der traditionelle Sicherheitsansatz bei HCI nicht funktioniert

Unternehmen, die bereits in HCI investiert haben, mussten zum Teil leidvoll erfahren, dass ihre Sicherheitslösungen mit der neuen hyperkonvergenten Infrastruktur nicht genauso funktionieren wie bisher. Herkömmliche Infrastrukturen setzten traditionell auf Lösungen wie Firewalls, um Hosts und Workloads vor Angriffen zu schützen. Diese Formel funktioniert bei HCI jedoch nicht gleichermaßen, weil dieser traditionelle Sicherheitsansatz nicht in der gleichen Weise wie HCI skaliert.

Ein Drittel der vorhandenen CPU-Kapazität opfern?

Hyperkonvergente Infrastrukturen sind auf eine einzige Dimension reduziert und software-definiert. Wollte man sie mit traditionellen Sicherheitslösungen absichern, so müsste man gut ein Drittel der vorhandenen CPU-Kapazität opfern, um die diversen Sicherheitsagenten auszuführen. Dies kann natürlich niemand wollen, da CPU-Performance auch bei HCI teuer bleibt und die unnötige Last im schlimmsten Fall die virtualisierten Workloads beeinträchtigen kann. Darüber hinaus müssen die vielen verschiedenen Sicherheitslösungen mühevoll manuell in den hyperkonvergenten Infrastrukturen verwaltet werden – genau das, was hyperkonvergierte Infrastrukturen eigentlich vermeiden wollen. Der Umstieg auf eine hyperkonvergente Infrastruktur erfordert also einen anderen Sicherheitsansatz und damit in den meisten Fällen neue Sicherheitslösungen. Wie jedoch müssen für HCI passende Sicherheitslösungen aufgebaut sein?

Merkmale einer für HCI-Infrastrukturen geeigneten Sicherheitslösung

Um eine geeignete Sicherheitslösung für diese Umgebungen auszuwählen, müssen Unternehmen sowohl die Hosting-Umgebung für Workloads als auch die gesamte HCI-Infrastruktur verstehen. Ein Vorteil von HCI-Umgebungen ist beispielsweise die automatische Provisionierung von Workloads. Das bedeutet aber auch, dass übergreifende Workloads sofort bei ihrer Entstehung abgesichert sein müssen, und nicht erst zu einem späteren Zeitpunkt. Sprich, die Absicherung muss anwendungsbezogen sein und sicherstellen, dass Sicherheitsrichtlinien automatisch durchgesetzt werden, basierend auf der Rolle des Workloads und nicht etwa auf seiner Position innerhalb der Infrastruktur.

Hardware-zentrierte Infrastrukturen führen die Security auf jedem einzelnen Endpoint aus. Dies verursacht in HCI-Umgebungen jedoch erhebliche Leistungseinbußen, die in völligem Widerspruch zum zentralen Leistungsversprechen von HCI stehen. Ein modernes Rechenzentrum, das auf HCI aufbaut, muss zentralisierte Sicherheitskontrollen ermöglichen und gleichzeitig leichte oder gar keine Agenten einsetzen, um die Leistung virtueller Workloads nicht zu beeinträchtigen. Das bedeutet das Hinzufügen einer zusätzlichen Abstraktionsschicht für Security oberhalb der physischen Ressourcen.

Neue, hyperkonvergente Infrastrukturen verlangen also nach neuen, passenden Sicherheitslösungen, die sich mehr auf Anwendungssicherheit als auf Hardware konzentrieren. Bedeutet dies, dass man bestehende Lösungen und Wissen über Bord werfen muss? Die Integration einer neuen Sicherheitsebene erfordert zwar, dass Unternehmen neue Sicherheitspraktiken entwickeln müssen, macht aber das bisherige Wissen über Datensicherheit nicht überflüssig. Perimeter-Firewalls und Netzwerksegmentierung sind zwei gute Beispiele für Sicherheitspraktiken, die in die HCI-Welt übergehen können. Da in hyperkonvergenten Infrastrukturen alles auf Agilität und schnelle Bereitstellung ausgerichtet ist, sollte die Bereitstellung von Sicherheit jedoch den gleichen Prinzipien folgen, die auch HCI ausmachen.

Die Kernkomponenten der Sicherheit in HCI-Infrastrukturen

Einer der Schlüsselfaktoren bei der Berücksichtigung der Sicherheit für HCI ist also die Fähigkeit der Sicherheitslösung, sich eng in die Infrastruktur zu integrieren, ohne die Leistung von virtuellen Anwendungen zu beeinträchtigen. Ein weiterer wichtiger Aspekt ist die Konsolidierung der Sicherheitslösungen auf einer übergeordneten Ebene in einer einzigen Konsole, die nicht nur vollständige Transparenz über die gesamte Infrastruktur, sondern auch die nahtlose Implementierung und Durchsetzung von Richtlinien in allen Umgebungen auf einen Schlag ermöglicht.

Der vielleicht wichtigste Aspekt der Sicherheit für HCI mag jedoch dies sein: Die notwendigerweise enge Integration der Sicherheitslösung mit den Hypervisoren, die die Hardware-Ressourcen für die virtuellen Workloads steuern, kann eine bislang unerreichbar tiefen Einblick in Bedrohungen bieten. Dies kann besonders nützlich sein, wenn man sich gegen neue oder unbekannte Schwachstellen schützen will, die virtuelle Workloads gefährden.

Hyperkonvergente Infrastrukturen erfordern passende Sicherheitslösungen, um die Vorteile der neuen Konzepte vollauf und sicher nutzen zu können. Unternehmen, die sich damit beschäftigen, HCI in ihrem Unternehmen einzusetzen, benötigen passende Lösungen, die anwendungszentriert sind und die vor allem die Sicherheit für alle Systeme mit einer einzigen Konsole auf einer Ebene konsolidieren: Eine für alles.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

So optimiert Preisüberwachung Ihre Gewinnmargen im Online-Handel

Die Transparenz der Preise ist im Online-Handel zu einer unangenehmen Herausforderung geworden. Mit nur wenigen…

2 Stunden ago

T-Systems launcht AI Foundation Services

Services stellen private und sichere Entwicklungs-, Test- und Produktionsumgebung bereit, die strengste Anforderungen an Datensicherheit…

3 Stunden ago

Februar-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Mindestens zwei Anfälligkeiten werden bereits aktiv angegriffen. Betroffen sind alle unterstützten Versionen von Windows und…

5 Stunden ago

Apple schließt Zero-Day-Lücke in iOS und iPadOS

Betroffen sind alle unterstützten iPhones und iPads sowie ältere Modelle. Apple bezeichnet die Angriffe als…

20 Stunden ago

Umfrage: Datensicherheit mit Geschäftszielen nur schwer vereinbar

Nur 14 Prozent der SRM-Führungskräfte erreichen einen wirkungsvollen Schutz und ermöglichen dabei eine Datennutzung zur…

22 Stunden ago

Facebook-Phishing-Kampagne zielt auf Unternehmen ab

Die Phishing-Nachrichten verteilen die Cyberkriminellen über eine Marketing-Tool von Salesforce. Unternehmen werden darin Urheberrechtsverletzungen auf…

24 Stunden ago