Sicherheit des Rechenzentrums Was bedeutet Sicherheit des Rechenzentrums?
Datensicherheit ist der Prozess des Schutzes digitaler Daten vor unbefugtem Zugriff, Beschädigung oder Diebstahl, der durch eine Verletzung der physischen Sicherheit, eine Datenverletzung oder einen Cyberangriff entstehen kann.
Die steigende Welle an Ost-West-Datenverkehr im Rechenzentrum (Server zu Server) definiert Sicherheitsanforderungen neu. Die Geschwindigkeit und das Volumen des Ost-West-Verkehrs in virtualisierten und containerisierten Anwendungsumgebungen erfordern neue Sicherheitslösungen, insbesondere in mandantenfähigen Szenarien, in denen Zero Trust Security unabdingbar ist.
- Sicherheit des Rechenzentrums und Zero Trust
- Komponenten eines sicheren Rechenzentrums
- Kernprinzipen von Zero Trust
- Was ist die Engerätesicherheit?
- Warum ist Infrastruktursicherheit so wichtig?
- Die neue Generation einer sicheren Rechenzentrums-Fabric
- Migration der Rechenzentrums-Fabric
Sicherheit des Rechenzentrums und Zero Trust
Die Bedrohungslandschaft im Bereich der Cybersicherheit hat sich in den letzten Jahren erheblich verändert. Und Angreifer sind heute motivierter denn je, in Rechenzentren in Unternehmen einzudringen und wertvolle Informationen zu stehlen. Für das Rechenzentrum bedeutet dies, dass man standardmäßig keiner Entität im Netzwerk vertraut und dem gesamten Datenverkehr misstraut, es sei denn, eine Sicherheitsrichtlinie erlaubt dies ausdrücklich.
Bei Microservices-basierten Anwendungen wird der Datenverkehr möglicherweise nie von einer Hardware-Firewall, einem IPS oder anderen Sicherheitsgeräten überprüft, sodass Unternehmen anfällig für Angriffe aus dem Unternehmen selbst sind.
Nach NIST SP 800-207 gehen,„Zero Trust-Sicherheitsmodelle davon aus, dass ein Angreifer in der Umgebung vorhanden ist" und dass eine Zero Trust-Architektur darauf ausgelegt ist, Datenverletzungen zu verhindern und interne Seitwärtsbewegungen einzuschränken.“
Die beiden größten Bedrohungen für Rechenzentren sind:
- Angriffe auf die Infrastruktur: Unternehmen sind zur Aufrechterhaltung ihres Betriebs auf ihre technologischen Ressourcen angewiesen, sodass der Schutz der technologischen Infrastruktur die Organisation selbst schützt. Aktionen gegen die Funktionalität von Rechenzentrumskomponenten (Datenspeicher, Rechner und Netzwerk) führen zum Verlust von Leistung, Verfügbarkeit, proprietären Daten und geistigem Eigentum und haben negativen Einfluss auf die Rentabilität von Firmen.
- Cyberangriffe: Die Bedrohungen für die technologische Infrastruktur reichen von Phishing-Versuchen und Ransomware-Angriffen bis hin zu DDoS-Exploits (Distributed Denial of Service) und IoT-Botnets (Internet of Things). Dedizierte Sicherheitssysteme mit erweiterter Überwachung, anwendungsbezogener Richtliniendurchsetzung und Bedrohungserkennung sorgen dafür, dass geschäftskritische und kundenorientierte Anwendungen reibungslos ausgeführt werden können.
Komponenten eines sicheren Rechenzentrums
Moderne Sicherheit des Rechenzentrums erfordert detaillierte Transparenz, Richtlinienkontrolle sowie automatische Erkennung und -minderung von Sicherheitsbedrohungen ohne zusätzliche Komplexität.
1. Vollständige Transparenz
Rechenzentrumsnetzwerke verändern sich schnell. Die größte Herausforderung besteht darin, die Betriebsstabilität und Transparenz für Benutzer beim Verschieben oder Aktualisieren von Computer- und Datenspeicherressourcen aufrechtzuerhalten.
Zwar können Telemetriedaten aus vielen Arten von Sicherheitsinfrastrukturen aggregiert werden, doch ist dies häufig zeitaufwändig und identifiziert Probleme erst, wenn diese bereits aufgetreten sind.
2. Segmentierung
Um Richtlinien dafür zu definieren, welche Verbindungen zugelassen werden und welche verweigert werden müssen, ist es notwendig, die verschiedenen mit Anwendungen und Daten verknüpften Benutzerprofile zu verstehen. Durch die Ermittlung der Anforderungen können entsprechende Rechenzentrumszugriffsprofile entwickelt werden. Segmentierung ist eine logische Trennung von Rechenzentrumshosts, zwischen denen eine Sicherheitsrichtlinie durchgesetzt werden kann.
Die Segmentierung verhindert unerwünschte seitliche Bewegungen, indem sie den gesamten Ost-West-Verkehr im Rechenzentrum zustandsabhängig überprüft und Richtlinien anwendet, die verhindern, dass sich böswillige Akteure durch das interne Netzwerk bewegen. Mit der Mikrosegmentierung ist kein neues Architekturkonzept erforderlich.
Die Mikrosegmentierung kann auf eine Teilmenge von Hosts angewendet werden, die ein hohes Maß an Kontrolle erfordern, oder allgemeiner, um die Sicherheit eines Rechenzentrums zu optimieren.
3. Bedrohungen mindern
Für eine moderne Rechenzentrumsinfrastruktur ist es zwingend erforderlich, Bedrohungen im Voraus erkennen und Angriffe eindämmen zu können. Eine zentrale Management-Richtlinie trägt dazu bei, unbekannte Bedrohungen einzudämmen und zu blockieren.
Automatisierte und richtlinienbasierte Netzwerksegmentierung und Mikrosegmentierung sind notwendig, zentralisierte Sicherheitsanwendungen sind für die Ausweitung des Datenverkehrs ineffizient. Eine direkte Verknüpfung von Datenverkehr mit Hardware-Appliances am Edge des Rechenzentrums beeinträchtigt die Anwendungsleistung, schränkt die Skalierbarkeit ein, erhöht die Kosten und die Latenz.
Kernprinzipen von Zero Trust
Mit kontinuierlicher Überprüfung und Bestätigung ermöglichen Zero Trust Security-Architekturen die schnelle Erkennung vieler Arten von Cyberangriffen und stoppen Eindringlinge oft, bevor sie da sind. Ein Zero-Trust-Modell unterstützt die Mikrosegmentierung und ermöglicht es der IT-Abteilung, Netzwerkressourcen abzutrennen, sodass potenzielle Bedrohungen leicht eingedämmt werden können.
Umfassende Transparenz
Mit der zunehmenden Nutzung des IoT wird die vollständige Transparenz über sämtliche Geräte und Benutzer im Netzwerk zu einer immer wichtigeren und gleichzeitig anspruchsvolleren Herausforderung. Ohne diese Transparenz sind wichtige Sicherheitskontrollen, die ein Zero-Trust-Modell unterstützen, kaum umzusetzen. Faktoren wie Automatisierung, KI-basiertes maschinelles Lernen und die Fähigkeit, Gerätetypen sofort zu identifizieren, sind unverzichtbar.
Authentifizieren und autorisieren
Niemals vertrauen und immer prüfen. Zur gleichzeitigen Unterstützung einer Vielzahl von Anwendungsfällen können mehrere Authentifizierungsmethoden verwendet werden, wie beispielsweise die Multifaktor-Authentifizierung auf der Grundlage von Anmeldezeiten, Sicherheitsüberprüfungen und anderen Kontexten, zum Beispiel neuer Benutzer, neues Gerät usw.
Identitätsbasierte Zugriffskontrolle nach dem Prinzip der geringsten Rechte
Durch den identitätsbasierten Zugriff nach dem Prinzip der geringsten Rechten können Benutzer und Geräte nur auf die Ressourcen zugreifen, die sie für die Erfüllung ihrer Aufgaben benötigen – nur so lange, wie sie sich ihrer Rolle entsprechend verhalten. Eine Zugriffskontroll-Richtlinie schränkt den Zugriff auf Ressourcen ein und passt ihn dynamisch an, wenn ein auffälliges Verhalten beobachtet oder ein Verstoß vermutet wird.
Was ist die Engerätesicherheit?
Endpunktsicherheit schützt das wertvolle Kapital des Unternehmens – Daten – vor Schwachstellen und Bedrohungen, indem sie Netzwerkendpunkte (Hardware wie Desktops, Laptops, Tablets und andere mobile Geräte, die für den Zugriff auf das Unternehmensnetzwerk verwendet werden) sichert. Verschiedene Arten von Endgerätesicherheit:
- Netzwerkzugriffssteuerung (NAC): verwendet Firewalls, um den Zugriff von Endgeräten auf das Netzwerk zu kontrollieren.
- Verhinderung von Datenverlust: schützt Dateien oder Daten, die über Phishing-Schemata oder an Endpunkten installierte Malware gehackt/exfiltriert wurden.
- Datenklassifizierung: Ermittelt, welche Daten in Ihrem Unternehmen besonders sensibel sind, und stuft ihre Schwachstellen höher ein, sodass der Zugriff darauf entsprechend gewährt werden kann.
- URL-Filterung: begrenzt die Anzahl der Websites, mit denen Endpunkte eine Verbindung herstellen können, und schützt vor Malware.
- Cloud-Perimeter-Sicherheit: platziert eine Firewall um sensible Cloud-basierte Daten und Apps, um einzuschränken, welche Endpunkte auf die Daten zugreifen können.
- Sandboxing: richtet eine virtuelle Umgebung ein, die das Netzwerk für den Betrieb des Endpunkts des Benutzers nachahmt und so den Zugriff auf vertrauliche Informationen beschränkt.
Warum ist Infrastruktursicherheit so wichtig?
Durch die zunehmende Vernetzung und den vermehrten Einsatz von Cloud-Services, Microservices und Software-Komponenten über verschiedene Cloud-Plattformen hinweg sowie am Edge der Unternehmensnetzwerke wird die Sicherung der Technologie-Infrastruktur komplexer und wichtiger als je zuvor. Die Einführung von Zero Trust-Sicherheitsarchitekturen ist eine Möglichkeit, wie Unternehmen dieser Herausforderung begegnen können.
Gleichzeitig ist es sehr wichtig, Mitarbeitende im Umgang mit Passwörtern und Anmeldeinformationen zu schulen, um die IT-Infrastruktur zu schützen, da der menschliche Faktor das schwächste Glied in der Sicherheitsstrategie eines Unternehmens sein kann. Die Infrastruktursicherheit implementiert die Datensicherung im gesamten Technologiebereich eines Unternehmens auf diesen vier Ebenen:
- Physisch: Schutz der physischen Infrastruktur vor Diebstahl, Vandalismus usw. Pläne zur Datenwiederherstellung, die Offsite-Sicherungen an verschiedenen Standorten beinhalten, sind ebenfalls Teil einer physischen Sicherheitsstrategie.
- Netzwerk: Überwachung des eingehenden und ausgehenden Netzwerkverkehrs – ob vor Ort, in der Cloud über eine Firewall oder über eine Multi-Faktor-Authentifizierung (MFA) – um eine Überprüfung durchzuführen, bevor der Zugriff auf Netzwerkressourcen gestattet wird.
- Anwendung: Stellt sicher, dass Software- und Firmware-Updates im gesamten Unternehmensnetzwerk verteilt und angewendet werden, da veraltete Software Schwachstellen enthalten kann, die Cyberangreifer ausnutzen können, um Zugriff auf IT-Systeme zu erhalten.
- Daten: Schutz der Daten durch gängige Sicherheitsmaßnahmen für Unternehmensendgeräte wie URL-Filter, Antiviren-Tools, Sandboxing, sichere E-Mail-Gateways, EDR-Tools (Endpoint Detection and Response) und Datenverschlüsselung.
Die neue Generation einer sicheren Rechenzentrums-Fabric
Während sich das Data Center Networking in den letzten zehn Jahren weiterentwickelt hat und leistungsfähigere 25/100/400G Leaf-Spine-Topologien bereitstellen, um dem Umfang und dem Tempo der neuen Anwendungsarchitekturen gerecht zu werden, ist dies bei den Sicherheits- und Service-Architekturen nicht der Fall.
Anders als bei herkömmlichen Perimeter-Sicherheitskonzepten sehen Zero Trust Sicherheitsarchitekturen Vertrauenswürdigkeit als Schwachstelle an. Sie gehen davon aus, dass kein Benutzer standardmäßig als vertrauenswürdig angesehen werden kann, selbst wenn er für das Netzwerk zugelassen ist, da der Benutzer kompromittiert sein könnte. Innerhalb des Netzwerks sind Gerätebeglaubigungen und Authentifizierungen erforderlich. Jede einzelne Komponente innerhalb des Netzwerks muss unabhängig ihre Vertrauenswürdigkeit nachweisen und durch jede andere Komponente, mit der sie interagiert, authentifiziert werden, einschließlich bestehender Sicherheitsmaßnahmen an den Punkten. Die Kernprinzipien der Zero Trust Security-Strategie:
- Niemals vertrauen, immer prüfen
- Mit Datenschutzverletzungen rechnen
- Explizite Verifizierung
Eine Architektur für verteilte Services dehnt Zero Trust tiefer in das Rechenzentrum aus – an den Edge von Netzwerk-Servern, wo es eine feinkörnige Mikrosegmentierung sowie eine starke Skalierung und Stärkung der Sicherheit geschäftskritischer Workloads bietet.
Migration der Rechenzentrums-Fabric
Zugehörige Lösungen, Produkte oder Services
Zugehörige Themen
Edge-zentrierte, Cloud-fähige und datenorientierte Architekturlösungen von HPE Aruba Networking.