Virtualisierung

Software-defined Datacenter und IT-Sicherheit

10.10.2019
Von   IDG ExpertenNetzwerk


Hans-Peter Bauer ist Vice President Central Europe bei McAfee. Er wechselte zum 1. Januar 2008 von Juniper Networks, wo er zuletzt als Vice President für das Enterprise-Geschäft in EMEA verantwortlich war. Er bringt eine mehr als 20-jährige Erfahrung in der Computer- u. Informationstechnologie-Branche in seine Position ein.  
Software-definierte Rechenzentren können nicht nur die Hardware-Kosten von Unternehmen reduzieren, sie ermöglichen auch einige neue Sicherheitsansätze.

Unternehmen migrieren Anwendungen und Infrastrukturen heute vor allem in softwaredefinierten Umgebungen, um Kosten zu senken und die Skalierbarkeit zu erhöhen, aber auch die Sicherheit ist inzwischen zu einem Treiber dieser Migration geworden.

Das Software-defined Datacenter soll nicht nur Vorteile bezüglich Ressourcen- und Kosteneffizenz bieten, sondern auch im Bereich der IT-Sicherheit.
Das Software-defined Datacenter soll nicht nur Vorteile bezüglich Ressourcen- und Kosteneffizenz bieten, sondern auch im Bereich der IT-Sicherheit.
Foto: Timofeev Vladimir - shutterstock.com

Eine der größten Schwachstellen, die bösartige Hacker ausnutzen können, ist die wachsende Komplexität bei der Verwaltung starrer Netzwerkarchitekturen. Hinzu kommen veraltete Sicherheitsinfrastruktur sowie Inkonsistenzen bei Sicherheitsrichtlinien und Durchsetzungsmechanismen. Sicherheitsteams stehen unter enormem Druck, die Risiken zu minimieren, die sich aus der Hyper-Konnektivität, den verteilten Ressourcen und der sich schnell entwickelnden Technologie ergeben. Das Ergebnis ist eine geringere Transparenz, was Angreifern mehr Chancen eröffnet, kritische Daten zu stehlen. Durch das Software Defined Data Center (SDDC) soll hier mehr Übersicht geschaffen werden.

SDDC Im Kontext der IT-Sicherheit

Die Datenverarbeitung von der physischen Infrastruktur zu entkoppeln soll die Speicher- und Verarbeitungskapazitäten von vorhandenen Servern besser nutzbar machen. Das wiederum kann Ressourcenverbrauch und Kosten senken.

Virtualisierte Plattformen schaffen darüber hinaus einen Grad an Automatisierung, der es im Vergleich zu traditionellen IT-Umgebungen erlaubt, die Anwendungsbereitstellung zu beschleunigen. Außerdem begünstigt die Skalierbarkeit Software-definierter Infrastrukturen agile Arbeitsweisen.

Bezüglich der IT-Sicherheit können IT-Teams mit SDDC isolierte und redundante Sicherheitsinvestitionen eliminieren und einen konsistenten Satz von Data-Governance-Richtlinien und Durchsetzungsmechanismen etablieren. Die größten Vorteile liegen hier:

  • agile und granulare Sicherheitslösungen: Traditionelle Lösungen setzen oft auf relativ pauschale Regeln, die sich auf physische Segmentierung und die Gruppierung von Maschinen stützen. Im Gegensatz dazu erlaubt ein SDDC Mikrosegmentierung, die bis auf das Level von einzelnen virtuellen Maschinen (VMs), Containern oder sogar Services heruntergebrochen werden kann. Damit können Richtlinien definiert werden, die sich auf die Attribute eines spezifischen Workloads einer virtuellen Maschine beziehen. Anstelle von IP-Adresse, Port oder Protokoll können Attribute wie laufende Anwendungen als Grundlage für Sicherheitsrichtlinien dienen. Wenn etwa eine virtuelle Maschine von einem privaten Rechenzentrum in die Public Cloud wechselt, bleibt dadurch dieselbe Richtlinie erhalten.

  • skalierbare Sicherheit: Der Zweck und das Verhalten von virtuellen Maschinen, die eine Anwendung unterstützen, kann durch SDDC transparenter werden. Die Aktivität von Gast-VMs lässt sich nutzen, um ungewöhnliches Verhalten oder Funktionsaufrufe zu identifizieren. Wenn jemand den Prozess einer Maschine innerhalb der Anwendungsebene, beispielsweise eines Krankenakten-Systems, manipuliert und etwas anderes kommuniziert als das, was im sogenannten Manifest steht, ist dies ein klares Signal für bösartiges Verhalten. Ein Manifest ist eine von der VM zur Verfügung gestellte Datei, in der die normalen Funktionen und Dienste einer Maschine zusammengefasst sind.

  • Richtlinien flexibel durchsetzen: Viele Unternehmen, die gerade auf ein SDDC umstellen, implementieren in diesem Zug auch automatisierte Response-Mechanismen. IT-Sicherheitsverantwortliche können dabei mit manueller Durchsetzung von Richtlinien beginnen und dann sukzessive automatisierte Durchsetzungsauslöser einführen. Ein SDDC ist so zunehmend in der Lage, Richtliniendurchsetzung und automatisierte Response auf Anwendungs-, Datenbank- und Web-Ebene bereitzustellen.

  • vereinfachte Compliance: Die zunehmende Komplexität der Compliance-Landschaft ist einer der Schlüsselfaktoren für die Einführung von Software-definierten Umgebungen. Der Ansatz ermöglicht kontinuierliche Sichtbarkeit von Workloads über alle Clouds hinweg. Dadurch lassen sich Compliance-Herausforderungen reduzieren und gleichzeitig die Datenverwaltung verbessern. Steigende Anforderungen an die Datenhoheit und den Datenschutz können so einfacher erfüllt werden.

  • Least-Privilege-Ansatz: SDDC kann auch die Authentifizierung und sichere Kommunikation im Zusammenhang mit einem Zero-Trust-Modell unterstützen. Dazu wird ein Least-Privilege-Prinzip mit skalierbaren, herstellerunabhängigen Sicherheitsdiensten implementiert. Der Ansatz entlastet den Verwaltungsaufwand, indem er Richtlinien-Einschränkungen nutzt, um den Diebstahl von Zugangsdaten zu verhindern. Sicherheitsprodukte wie Malware-Prävention, Intrusion Prevention Systeme (IPSs) und Web Application Firewalls (WAF) können verkettet werden, um mehr Kohärenz bei der Identifizierung und Isolierung kompromittierter Anwendungen zu gewährleisten.

  • Sicherheit bei DevOps: Die IT-Bereitstellung wandelt sich zu einem DevOps-Ansatz, der bei der Anwendungsentwicklung mit agiler Methodik stark auf die Cloud-Infrastruktur setzt. Unternehmen können Sicherheitsprodukte und -dienste von Drittanbietern hinzufügen, die an Hybrid- und Multi-Cloud-Umgebungen anpassbar sind. Ein SDDC kann Sicherheitslösungen unterstützen, die Software-Schwachstellenanalysen, Dateiintegritätsüberwachung, Anwendungs-Whitelisting, Workload-Firewall-Management, Konfigurationssicherheitsüberwachung, Intrusion Prevention, Malware Prevention, Multifaktor-Authentifizierung, Server-Zugriffs-Management und Netzwerk-Traffic-Erkennung durch den von DevOps-Teams verwendeten Deployment Code durchführen können.

Hürden bei der Migration

Eine der größten Herausforderungen, die den schnellen Rollout von SDDC behindern, ist die Heterogenität der heutigen Software-Umgebungen. Ein reibungsloser Übergang zum SDDC erfordert sichere Konnektivität und nahtloses Management der Netzwerk- und Sicherheitsinfrastruktur, unabhängig davon, ob sie sich in einer Private Cloud, einer Public Cloud oder einer hybriden Architektur befindet. Vereinfachung ist hier der Schlüssel, um Störungen zu vermeiden und Risiken zu minimieren. Ziel ist es, die Bereitstellung und Verwaltung der Netzwerkinfrastruktur weniger komplex zu gestalten und eine intelligente Netzwerkautomatisierung zu erreichen.

Mehr Erfolg mit sicheren Daten

Auch die verfügbaren Ressourcen und bestehenden Praktiken eines Unternehmens gilt es zu berücksichtigen. Eine SDDC-Strategie muss auf die jeweilige Branche und mit Software-Entwicklern sowie Sicherheitsexperten abgestimmt werden. Konsistente Management- und Sicherheits-Frameworks für alle Anwendungen helfen dabei, die Implementierung zu vereinfachen. Management-Lösungen, die über ein Technologie- und Servicepartner-Ökosystem verfügen, können unterstützen, eine nahtlose Verwaltungs- und Sicherheitsumgebung über öffentliche und private Cloud-Ressourcen hinweg aufzubauen.

Fazit

Software-definierte Rechenzentren können nicht nur die Agilität von Unternehmen fördern, sondern können auch für mehr Sicherheit sorgen. Dank des zentralisierten Managements über eine Konsole können Bedrohungen besser erkannt werden. Außerdem lassen sich Richtlinien rasch auf die gesamte Infrastruktur anwenden. Dennoch bleiben die Sicherheitsrichtlinien flexibel und skalierbar. Das fördert den Einsatz agiler Methoden, wie DevOps, und steigert die Transparenz für bessere Compliance. (jd)