Mehr Sicherheit im Datacenter

Der Autor ist Mitglied der Geschäftsleitung von United Security Providers Was die strategische Ausrichtung der IT-Infrastruktur betrifft, sind derzeit zwei Trends zu beobachten: Zum einen setzen CIOs und IT-Leiter immer häufiger auf Standardlösungen und Managed Services. Zum anderen nimmt das Bedürfnis der Unternehmen nach höherer Mobilität und örtlicher Unabhängigkeit zu. Beides führt dazu, dass sich Webapplikationen und Webservices in den modernen Applikations­architekturen immer mehr etablieren. Als Anbieter von skalierbaren Hosting- und Applikationsservices können Rechnenzentrums­betreiber von dieser Entwicklung profitieren – sofern sie die gestiegenen Sicherheitsbedürf­nisse ihrer Kunden durch entsprechende Lösungen erfüllen können. Moderne Datacenter befriedigen schon heute viele Sicherheitsanforderungen: Brandschutz, Zutrittsschutz, Einbruchmeldung, Gebäudesicherheit, ausfallsichere Stromver­sorgung und Kühlung, redundante Carrier-Netzanbindung und vieles mehr. Die Rechenzentren zeichnen auch für die Sicherheit der bei ihnen betriebenen Webapplikationen verantwortlich. Trotzdem fehlen standardisierte und skalierbare Services für deren Schutz. Die erforderlichen Schutzmechanismen werden deshalb meist vom Kunden auf Applikationsebene realisiert.Erhöhtes Schutzbedürfnis Immer mehr Unternehmen erkennen den erhöhten Schutzbedarf, der für webgestützte Anwendungen besteht – egal ob es um das Firmenportal, das Extranet, ERP-Lösungen, Webmail oder eine komplette Collaboration-Plattform geht. Die Anforderungen sind vielschichtig, darunter zum Beispiel: - Sichere Authentifizierung - Single-Sign-On - Schutz vor Angriffen über das Internet (DoS, Injections) - Erkennen neuer Bedrohungen - Erhöhung der Verfügbarkeit/Wartbarkeit Die Gründe, die für das erhöhte Sicherheits­bedürfnis genannt werden, sind unterschied­licher Natur: Compliance-Anforderungen sind zu erfüllen, neue Policies werden eingeführt oder es tritt eine verschärfte Gesetzgebung in Kraft. Vielfach beruht das steigende Interesse an Sicherheit auch auf bereits erlittenen Vorfällen, in denen geschäftskritische Anwendungen Ziel eines Angriffs aus dem Internet waren. Allein die kontinuierliche Zunahme der Google-Suchanfragen nach «Web Application Firewalls» beweist: Der Schutz von Webanwendungen entwickelt sich zu einem Mainstream-Thema. Für die Betreiber von Rechenzentren bedeuten die wachsenden Bedürfnisse im Security-Bereich eine Chance. Managed Security Services sind dazu prädestiniert, diese zu erfüllen. Datacenter mit einem entsprechenden Angebot differenzieren sich von Mitbewerbern und ver­fügen über einen wertvollen Wettbewerbsvorteil. «Software as a Service» (SaaS) inklusive «Security as a Service» ist ein Geschäftsmodell mit hervorragenden Zukunftsaussichten. Die verbesserten Marktchancen sind aber nur ein Grund, ein umfassendes Angebot mit Fokus auf den Schutz der Kundenapplikationen einzuführen. Die Initialinvestitionen für eine zentral gemanagte Security-Lösung, die auch die Integrität der Zugriffe und die Authentisierung der Benutzer garantiert, rechnen sich innert kurzer Frist mehrfach. Durch Virtualisierung wird dem steigenden Stromverbrauch – ein wachsendes Problem der Data­center – entgegengewirkt, was wiederum die Wertschöpfung steigert. Mit dem Einsatz von einheitlichen, mandantenfähigen und skalierbaren Produkten und Lösungen können schnell Skaleneffekte erreicht werden. Eine bessere Wertschöpfung pro Kunde ist die Folge. Das Interesse an Managed Security Services und im Speziellen am Schutz von Webapplikationen war in den Rechenzentren lange Zeit kaum vorhanden. Das brach liegende Potenzial ist vor allem auf bisher unpassende Geschäftsmodelle der Technologieanbieter zurückzuführen: fehlende Mandantenfähigkeit, ungenügende Skalierbarkeit, schlechte Manageability und zu hohe Komplexität der Technologie. Inzwischen haben die Technologieanbieter aber diese Bedürfnisse erkannt und bieten entsprechend flexible Lösungen an. Die Umsetzung in der Praxis Angenommen, ein Schweizer «Komplett-Outsourcer» will die Sicherheitsmechanismen von Webanwendungen auf eine zentrale Lösung konsolidieren, ohne diese vorfinanzieren zu müssen. Er kann diese nun in Form eines Pay-as-you-Earn-Modells im Rechenzentrum abonnieren. Konkret heisst das, es fallen keine Ini­tialinvestitionen an, die Finanzierung erfolgt parallel zur Nutzung und wird mit den damit erzielten Einnahmen abgedeckt. Für den Datacenter-Betreiber ist in diesem Fall insbesondere die effiziente Einbindung der Einzellösungen von zentraler Bedeutung. Die Integration der eingesetzten Umsysteme sollte möglichst einfach – quasi per Mausklick – erfolgen. Die grösste Herausforderung ist dabei vor allem die Ablösung der bisherigen, heterogenen Web?Security-Komponenten: Sicherheitskritische Anwendungen werden oft sehr individuell und anwendungsspezifisch geschützt. Das Problem ist, diese nun innert kurzer Zeit alle unter einem Hut zu vereinen. Diese Klippe kann jedoch durch die Wahl eines Systems, das auch mit abzulösenden Komponenten problemlos interagiert, quasi «out of the box» umschifft werden. Für den Einsatz auf einer VM-Ware-Infrastruktur (z.B. ESX Host) eignet sich als Technologie eine virtualisierte Appliance auf Basis eines gehärteten Linux-OS, zum Beispiel der USP Secure Entry Server. Bei Datacenter ohne virtualisierte Infrastruktur kommt eine komplett vorkonfigurierte Hardware-Appliance basierend auf Standard-Hardware mit Onsite Service zum Einsatz. Das Management der zahlreichen Instanzen und Appliances wird mittels einer zentralen Managementplattform sichergestellt. Fazit: Multiplizierter Nutzen Von der zentralen Security profitieren beide Seiten. Alle Anfragen auf die Webapplikationen werden auf Integrität geprüft, Angriffe sofort erkannt und abgewehrt – ohne Systemausfall. Mit den Mechanismen zur sicheren Benutzer­authentisierung sowie Single-Sign-On profiliert sich die IT gegenüber ihren Endkunden. Den Kunden steht andererseits über Reportings eine transparente Sicht über den Zustand ihrer geschützten Anwendungen zur Verfügung. Ein Datacenter, das seinen Kunden den Schutz der Webapplikationen und -dienste als Managed Security Service anbieten kann, multipliziert seinen Nutzen und damit seine Chancen im Wettbewerb. Mehrwert für Datacenter Der Effizienzdruck in den IT-Abteilungen eröffnet Rechenzentren neue Chancen. So nutzen Sie diese:Kundennähe: Prüfen und quantifizieren Sie das Geschäftspotenzial im Zielkundensegment (Neukunden bzw. Serviceerweiterung für Bestandskunden), indem Sie einen kleinen und pragma­tischen Business-Case erstellen. Bieten Sie den Kunden zeitnahen Zusatznutzen. Betriebseffizienz: Ermitteln Sie das Konsolidierungs­potenzial Ihrer Infrastruktur (Reduktion von Heterogenität, Nutzung mandanten­fähiger Lösungen). Geschwindigkeit: Beginnen Sie – mit dem grossen Ziel vor Augen – in kleinen Schritten, dafür rasch. Setzen Sie «step by step» die ersten Migrationen um (kein Big Bang). Nutzen Sie die mit der Konsolidierung frei werdenden Kapazitäten anderweitig. Multiplizieren: Vervielfachen Sie das Potenzial durch die Integration des Services in Ihr Standard­angebot. Nutzen Sie das Optimum an Effektivität im Betrieb.