5-Punkte-Plan zur Absicherung virtualisierter Datacenter

Der Autor ist Systems Engineer Switzerland bei Palo Alto Networks. Würden Autohersteller Fahrzeuge ohne Sicherheitsgurte oder Airbags fertigen, wären die Kunden wohl kaum bereit, die hohen Mehrkosten für die notwenige Nachrüstung in Kauf zu nehmen. Die nachträglichen Einbauten hätten zudem auch Auswirkungen auf die korrekte Funktion und die Gesamtcharakteristik des Produkts. Das ist in einem virtualisierten Rechen­zentrum nicht viel anders. Es empfiehlt sich daher, von Anfang an auf integrierte Sicherheit zu achten. Die folgenden fünf Schritte helfen dabei:

Am Anfang steht die Definition einer Sicherheitsrichtlinie. Sie ist die Vorlage für die Sicherheitsziele, -regeln und -vorgaben einer Organisation. Die Security Policy kann beispielsweise einen Recovery-Plan enthalten sowie staatliche oder brancheninterne Vor­gaben. Die Sicherheitsrichtlinien sollten eng an den Unternehmenszielen ausgerichtet sein, sie müssen dokumentiert, kommuniziert und umgesetzt werden. Für virtualisierte Rechenzentren gelten besondere Merkmale, etwa die Fähigkeit, Services dynamisch und nach Bedarf bereitzustellen. Virtualisierungs-Workloads mit verschiedenen Sicherheitsstufen können zudem auf demselben Server landen. Die Policy muss dies berücksichtigen und zum Beispiel die Frage klären, ob eine Live-Migration von Virtual Machines (VM) auf Server beschränkt werden sollte, die nur Workloads mit der gleichen Sicherheitsstufe unterstützen. Zumindest in der Anfangsphase eines virtualisierten Rechenzentrums sollten zunächst nur Workloads mit derselben Sicherheitsstufe auf einem Server laufen. Später kann der Wechsel zu einer Policy geplant werden, die auch Intra-Host-VM-Traffic-Prüfungen innerhalb des Servers unterstützt. Lesen Sie auf der nächsten Seite: Applikationen definieren

In einem virtualisierten Rechenzentrum sollten sich die Applikationen an einer positiven Umsetzungsrichtlinie orientieren. Das heisst, dass der Betreiber sowohl feststellt als auch kontrolliert und zulässt, was für den Geschäftsbetrieb erforderlich ist. Im Gegensatz dazu würde bei einem negativen Ansatz alles nicht Freigegebene geblockt werden. Das würde allerdings einen beträchtlichen und permanenten Aufwand bedeuten. Applikationen in einem virtualisierten Rechenzentrum zu identifizieren und sicher freizugeben, gestaltet sich schwieriger, als es zunächst scheint. Applikationsentwickler implementieren ihre Anwendungen bekanntermassen auf jedem Port, der gerade zweckmässig erscheint, oder sie umgehen die Sicherheitskontrollen gleich ganz. Oftmals nutzen auch technisch versierte Mitarbeiter Remote-Zugriffs-Tools für nicht standardmässige Ports. Dasselbe gilt für Datenbankadministratoren, die gerne auch mal SQL-Instanzen auf nicht standardmässigen Ports laufen lassen. Mit der einfachen Erstellung und Freigabe von Applikationen im vir­tualisierten Rechenzentrum und in der Cloud könnte sich diese Problematik sogar noch verschärfen. Das Problem besteht darin, dass App-likationen auch als Startrampe für Angriffe verwendet werden können, etwa über nicht standardmässige Ports, Port Hopping, Verstecken in der SSL-Verschlüsselung oder Tunnel mit üblichen Services. Next Generation Firewalls – im Monitor-Modus betrieben – schaffen Transparenz über den gesamten Traffic des Rechenzentrums und helfen so beim Aufbau einer Liste der erlaubten, von der IT abgesegneten Applikationen. Darauf aufbauend lassen sich präzise Sicherheits­regeln für verschiedene Applikationsfunktionen anlegen. Sobald alle Applikationen identifiziert sind, können auch alle erlaubten Applikationen auf eingebettete Bedrohungen überprüft werden. In einem gut aufgebauten Rechenzentrum sollte der unbekannte Traffic nur einen sehr geringen Prozentsatz einnehmen. Die Fähigkeit zur Identifikation und Analyse von unbekanntem Traffic ist daher essenziell. Lesen Sie auf der nächsten Seite: Zugriff kontrollieren

Zweck eines Rechenzentrums ist es, Benutzern Applikationen zur Verfügung zu stellen – ob Mitarbeitern, externen Geschäftspartnern oder Zulieferern. Zu wissen, wer auf diese Applika­tionen zugreift und wie, ist für die Auslegung und Absicherung eines Rechenzentrums von entscheidender Bedeutung. Daher empfiehlt es sich, die Sicherheitslösung integral in den Userpool einzuplanen, um Richtlinien nutzerbasiert statt auf Basis von IP-Adressen umsetzen und in Reports und Dashboards über Nutzerinformationen verfügen zu können.

Virtualisierungsspezifische Bedrohungen und Sicherheitslücken sind inzwischen gut dokumentiert. Da der virtualisierte Server aus verschiedenen Komponenten besteht – vom Hypervisor über das Gastbetriebssystem und die Applikation –, muss jede dieser Komponenten abgesichert werden. Darüber hinaus gilt es, andere Bedrohungen im Blick zu behalten, die auch im herkömmlichen Rechenzentrum auftreten können. So ist ein zum Internet hin offenes virtualisiertes Rechenzentrum Denial-of-Service-Attacken oder automatisierten Angriffen von Script Kiddies ausgesetzt. Aber auch interne virtualisierte Rechenzentren können Zielscheibe schleichender, mehrschichtiger Eindringungsversuche werden.

Der beste Ansatz für den Aufbau eines virtualisierten Rechenzentrums ist die Segmentierung. Ziel ist, die empfindlichen Segmente des Rechenzentrums von anderen Teilen des Netzwerks zu isolieren. Des Weiteren können spe­zielle Server, die besonderen gesetzlichen Vorgaben unterliegen, segmentiert werden, um das Risiko zu steuern und Compliance sicher­zustellen. Dadurch lässt sich der Schaden begrenzen, falls es doch einmal einen Hacker­angriff geben sollte. Auch in flachen Layer-2-Netzwerken ist Segmentierung einer der besten Ansätze. Dazu müssen Systeme mit ähnlichen Risikofaktoren und Sicherheitsklassen logisch gruppiert werden. So sind zum Beispiel alle gemeinsam genutzten Infrastruktur-Services wie Active Directory oder NTP-Server besonders verwundbar, da sie üblicherweise mit allen anderen Services kommunizieren können. Die gemeinsam genutzten Services müssen daher von anderen Serverebenen abgegrenzt werden. Hochrisikoserver können in Sicherheitszonen angesiedelt werden. Der Traffic zwischen den Sicherheitszonen sollte selektiv entsprechend der Sicherheitsrichtlinie und mit entsprechender Zugangskontrolle freigegeben werden. Wichtig ist, die Segmentierung mithilfe von Next Generation Firewalls, nicht mit VLANS oder Switch ACLs umzusetzen. Nur Erstere sind
in der Lage, die Segmentierung benutzer- und applikationsbasiert statt auf Basis von Port und IP umzusetzen. Lesen Sie auf der nächsten Seite: Sicherheitsdesign: die wichtigsten Schritte

Next Generation Network Security

! KASTEN !

Sicherheitsdesign: die wichtigsten Schritte

- Schutz des Ein- und Ausgangs bzw. des «Nord/Süd-Verkehrs» des Rechenzentrums und Abschotten mittels einer Next Generation Firewall auf Applikationsebene, sodass der «Angriffsvektor» effektiv reduziert wird. - Erhöhen der Transparenz im Rechenzentrum durch Segmentierung der virtualisierten Applikationen in verschiedene Ver­trauensstufen, um so eine Sicht auf Appli­kation und User-Ebene zu ermöglichen. - Automation und Verfolgen von VM-Erstellung bzw. Bewegungen durch Sicherheitsrichtlinien in Firewalls. Diese müssen die Möglichkeit besitzen, der Dynamik moderner Datacenter folgen zu können. - Schutz gegen bekannte und unbekannte Malware ohne Einbrüche der Performance. - Ein konsistentes Management durch eine einheitliche Managementumgebung zwischen virtuellen und physischen Firewalls möglich machen.