Überspannende Konvergenz – untergeordnete Sicherheit?

Alles für eines, eines für alles. Eine Hyperkonvergente Infrastruktur (HCI) ist aus verschiedenen Gründen reizvoll für Unternehmen. Die Akzeptanz des Ansatzes steigt kontinuierlich. Die neuen Strukturen versprechen, Investitionen in das Rechenzentrum effizienter zu machen, die Bereitstellung von Diensten agiler zu gestalten und die Skalierbarkeit zu vereinfachen. Die Absicherung dieser Strukturen ist im Gegensatz zu traditionellen, mehrdimensionalen Strukturen jedoch komplett anders und droht die anvisierten Vorteile in Teilen zunichte zu machen. Wie also kann man die Vorteile von HCI nutzen, ohne bei ihrer Absicherung Abstriche machen zu müssen?

Liviu Arsene, der Autor dieses Gastbeitrags ist leitender Bedrohungsanalyst beim Sicherheitsspezialisten Bitdefender (Bild: Bitdefender).

Warum der traditionelle Sicherheitsansatz bei HCI nicht funktioniert

Unternehmen, die bereits in HCI investiert haben, mussten zum Teil leidvoll erfahren, dass ihre Sicherheitslösungen mit der neuen hyperkonvergenten Infrastruktur nicht genauso funktionieren wie bisher. Herkömmliche Infrastrukturen setzten traditionell auf Lösungen wie Firewalls, um Hosts und Workloads vor Angriffen zu schützen. Diese Formel funktioniert bei HCI jedoch nicht gleichermaßen, weil dieser traditionelle Sicherheitsansatz nicht in der gleichen Weise wie HCI skaliert.

Ein Drittel der vorhandenen CPU-Kapazität opfern?

Hyperkonvergente Infrastrukturen sind auf eine einzige Dimension reduziert und software-definiert. Wollte man sie mit traditionellen Sicherheitslösungen absichern, so müsste man gut ein Drittel der vorhandenen CPU-Kapazität opfern, um die diversen Sicherheitsagenten auszuführen. Dies kann natürlich niemand wollen, da CPU-Performance auch bei HCI teuer bleibt und die unnötige Last im schlimmsten Fall die virtualisierten Workloads beeinträchtigen kann. Darüber hinaus müssen die vielen verschiedenen Sicherheitslösungen mühevoll manuell in den hyperkonvergenten Infrastrukturen verwaltet werden – genau das, was hyperkonvergierte Infrastrukturen eigentlich vermeiden wollen. Der Umstieg auf eine hyperkonvergente Infrastruktur erfordert also einen anderen Sicherheitsansatz und damit in den meisten Fällen neue Sicherheitslösungen. Wie jedoch müssen für HCI passende Sicherheitslösungen aufgebaut sein?

Merkmale einer für HCI-Infrastrukturen geeigneten Sicherheitslösung

Um eine geeignete Sicherheitslösung für diese Umgebungen auszuwählen, müssen Unternehmen sowohl die Hosting-Umgebung für Workloads als auch die gesamte HCI-Infrastruktur verstehen. Ein Vorteil von HCI-Umgebungen ist beispielsweise die automatische Provisionierung von Workloads. Das bedeutet aber auch, dass übergreifende Workloads sofort bei ihrer Entstehung abgesichert sein müssen, und nicht erst zu einem späteren Zeitpunkt. Sprich, die Absicherung muss anwendungsbezogen sein und sicherstellen, dass Sicherheitsrichtlinien automatisch durchgesetzt werden, basierend auf der Rolle des Workloads und nicht etwa auf seiner Position innerhalb der Infrastruktur.

Hardware-zentrierte Infrastrukturen führen die Security auf jedem einzelnen Endpoint aus. Dies verursacht in HCI-Umgebungen jedoch erhebliche Leistungseinbußen, die in völligem Widerspruch zum zentralen Leistungsversprechen von HCI stehen. Ein modernes Rechenzentrum, das auf HCI aufbaut, muss zentralisierte Sicherheitskontrollen ermöglichen und gleichzeitig leichte oder gar keine Agenten einsetzen, um die Leistung virtueller Workloads nicht zu beeinträchtigen. Das bedeutet das Hinzufügen einer zusätzlichen Abstraktionsschicht für Security oberhalb der physischen Ressourcen.

Neue, hyperkonvergente Infrastrukturen verlangen also nach neuen, passenden Sicherheitslösungen, die sich mehr auf Anwendungssicherheit als auf Hardware konzentrieren. Bedeutet dies, dass man bestehende Lösungen und Wissen über Bord werfen muss? Die Integration einer neuen Sicherheitsebene erfordert zwar, dass Unternehmen neue Sicherheitspraktiken entwickeln müssen, macht aber das bisherige Wissen über Datensicherheit nicht überflüssig. Perimeter-Firewalls und Netzwerksegmentierung sind zwei gute Beispiele für Sicherheitspraktiken, die in die HCI-Welt übergehen können. Da in hyperkonvergenten Infrastrukturen alles auf Agilität und schnelle Bereitstellung ausgerichtet ist, sollte die Bereitstellung von Sicherheit jedoch den gleichen Prinzipien folgen, die auch HCI ausmachen.

Die Kernkomponenten der Sicherheit in HCI-Infrastrukturen

Einer der Schlüsselfaktoren bei der Berücksichtigung der Sicherheit für HCI ist also die Fähigkeit der Sicherheitslösung, sich eng in die Infrastruktur zu integrieren, ohne die Leistung von virtuellen Anwendungen zu beeinträchtigen. Ein weiterer wichtiger Aspekt ist die Konsolidierung der Sicherheitslösungen auf einer übergeordneten Ebene in einer einzigen Konsole, die nicht nur vollständige Transparenz über die gesamte Infrastruktur, sondern auch die nahtlose Implementierung und Durchsetzung von Richtlinien in allen Umgebungen auf einen Schlag ermöglicht.

Der vielleicht wichtigste Aspekt der Sicherheit für HCI mag jedoch dies sein: Die notwendigerweise enge Integration der Sicherheitslösung mit den Hypervisoren, die die Hardware-Ressourcen für die virtuellen Workloads steuern, kann eine bislang unerreichbar tiefen Einblick in Bedrohungen bieten. Dies kann besonders nützlich sein, wenn man sich gegen neue oder unbekannte Schwachstellen schützen will, die virtuelle Workloads gefährden.

Hyperkonvergente Infrastrukturen erfordern passende Sicherheitslösungen, um die Vorteile der neuen Konzepte vollauf und sicher nutzen zu können. Unternehmen, die sich damit beschäftigen, HCI in ihrem Unternehmen einzusetzen, benötigen passende Lösungen, die anwendungszentriert sind und die vor allem die Sicherheit für alle Systeme mit einer einzigen Konsole auf einer Ebene konsolidieren: Eine für alles.