Komplexität und allzu Menschliches

Die SDDC-Fehler Anderer

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska / Ulrike Ostler

Die ersten schwerwiegenden Fehler bei der Umstellung auf Software Defined Datacenter (SDDC) sind gemacht; daraus lässt sich lernen.
Die ersten schwerwiegenden Fehler bei der Umstellung auf Software Defined Datacenter (SDDC) sind gemacht; daraus lässt sich lernen. (Bild: Open Compute Project)

Bei der Umsetzung erhabener Wünsche nach einem vollständig Software-definierten Datacenter (SDDC) haben sich einige der ersten Pioniere durch kostspielige Missgriffe unvergesslich gemacht. Aus Fehlern zu lernen ist gut, aus Fehlern anderer zu lernen ist noch besser. Gerade am Anbruch der SDDC-Ära lässt sich derart wertvolle Gratis-Praxiserfahrung in Gold aufwiegen.

Damit sich die zahlreichen Vorteile der Virtualisierung von Massenspeicher-, Compute- und Netzwerk-Ressourcen - agile Bereitstellung von Diensten, operative Effizienz, reduzierte Hardware-Abhängigkeiten und reduzierte Betriebskosten, um nur einige zu nennen - in einem Datencenter tatsächlich in klingender Münze nieder schlagen können gilt es, folgenschwere SDDC-Fehler zu vermeiden. Die Belegschaft muss die neuen SDDC-Konzepte verinnerlichen, um daraus Nutzen ziehen zu können.

SDDC wird vielerorts als das Allheilmittel für Performance-Engpässe und eine unzureichende Flexibilität der Infrastruktur angepriesen. Die schmerzhafte Erfahrung vieler Pioniere lehrt aber, dass es sich bei SDDC durchaus um ein zweischneidiges Schwert handeln kann. Die bei Weitem gravierendsten Probleme stellen Sicherheitsverletzungen und menschliches Versagen dar.

Sicherheitsverletzungen und ihre Ursachen

Obwohl die Betreiber von Datacenter kontinuierlich in die Sicherheit des Rechenzentrums investieren, kommen diese Bemühungen offenbar vielerorts zu kurz. Das Forschungsinstitut Gartner beziffert die Verluste der gesamten US-amerikanischen Wirtschaft, die sich auf IT-Sicherheitsmängel zurückführen lassen, auf stolze 500 Milliarden Dollar pro Jahr. Die sicherheitsbezogenen IT-Investitionen mögen zwar in den letzten Jahren kontinuierlich gestiegen sein, sind jedoch offenbar unzureichend, denn mit einem Gesamtwert in Höhe von 71,1 Milliarden Dollar pro Jahr kommen sie gerade mal auf zirka 14,22 Prozent der geschätzten Schäden.

Alleine die Rechenzentren der US-Bundesbehörden hatten im Laufe ihrer Umstellung auf SDDC-Technologie mehr statt weniger Probleme bewältigen müssen. Im Jahre 2014 - der letzte Zeitraum, für den vollständige Daten bereits vorliegen - wurden 70.000 Sicherheitsvorfälle erkannt, 15 Prozent mehr als nur im Jahr zuvor.

In zwei separaten Netzwerk-Einbrüchen der US-Personalbehörde OPM (Office of Personnel Management des Department of Homeland Security) konnten Hacker Millionen von Datensätzen über Bundesbeamte, Bewerber und Auftragnehmer erbeuten. Dabei hatte das US-amerikanische Department of Homeland Security (die US-Entsprechung des deutschen Bundesnachrichtendienstes) mit dem Projekt „Einstein“ ein 3 Milliarden schweres Sicherheitsbudget für die eigenen Datacenter zur Verfügung.

Ergänzendes zum Thema
 
Fazit der Autoren

Der Netzwerkverkehr im RZ

Ganze 80 Prozent des Datenverkehrs in einem Rechenzentrum spielt sich nach dem East-West-Modell (in einem SDDC auf einer nun virtualisierten Matrix oberhalb des physikalischen Netzwerk-Fabric) ab und gerade diese Aktivitäten werden im Hinblick auf möglichen Missbrauch kaum untersucht. Sobald es ein Angreifer in der North-South-Ausrichtung (also von außen nach innen) geschafft hat, ins Rechenzentrum einzudringen, stehen ihm oft alle Türen offen.

Konventionelle Perimeter-basierte Sicherheitskontrollen erweisen sich in einem SDDC als unzureichend vor allem dann, wenn die Administratoren nach althergebrachter Arbeitsweise zu Werke schreiten, statt SDDC-spezifische Maßnahmen zu ergreifen und sich die Technologie zu Nutze zu machen, die ihnen bereits ohnehin zur Verfügung stehen.

Ein SDDC ermöglicht eine nahezu kostenneutrale Mikrosegmentierung des Datacenter in Sicherheitszonen, darunter DMZs (demilitarisierte Zonen). Mit Lösungen wie verteilten Firewalls und Systemen zur Erkennung von Eindringlingen (Intrusion Detection Systems) lassen sich unlautere Aktivitäten in einem SDDC wirksam unterbinden (Bei „VMware NSX“ kann praktisch jeder vSwitch eine eigene Firewall beinhalten.). Rechenzentrumbetreiber sind gut beraten, aus diesen Möglichkeiten Gebrauch zu machen, und dennoch über die Implikationen ihrer Entscheidungen kritisch nachzudenken.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43630099 / Middleware)