Mikro-Segmentierung des Datacenter

Datacenter haben ihre Abwehrmaßnahmen bisher vorwiegend auf den Perimeter fokussiert. Doch wie die zahlreichen Sicherheitsvorfälle und nicht zuletzt die kürzlich aufgedeckte Backdoor in NetScreen-Firewalls des Sicherheitsspezialisten Juniper Networks verdeutlichen, sind diese bei Weitem nicht unüberwindlich. Neue Ansätze sollen Abhilfe schaffen.

Der Perimeter-basierte Ansatz zur Netzwerksicherheit lässt sich am besten mit der „Funktionsweise“ einer Kokusnuss vergleichen: Sobald sich die Hacker mehr oder weniger mühsam durch das harte Äußere der Schalenfrucht hindurch gebohrt haben, leistet praktisch nichts mehr einen Widerstand. Bei Rechenzentren gilt diese Analogie immer noch viel zu oft, denn sobald die Eindringlinge den Datacenter-Perimeter durchbrochen haben sollten, stehen ihnen im Innern kaum noch Zugriffseinschränkungen im Wege.

Wie trügerisch es ist, beim Schutz des Datacenter auf die bloße Perimetersicherheit zu vertrauen, zeigen hochkarätige Fälle von Sicherheitspannen in den USA wie auch in Europa. Vom Angriff auf die US-Amerikanische Bundesbehörde OPM (Office of Personnel Management), welcher persönliche Daten von Mitarbeitern und Auftragnehmern der US-Regierung in Mitleidenschaft zog, über die spektakulären Hacks der World Bank in Genf (Schweiz) bis hin zu Datenschutzverletzungen bei der US-Tochter von T-Mobile auf Grund einer Panne in der Datenverarbeitung durch die Kreditauskunftsagentur Experian: In jedem dieser Fälle hat der Perimeter-basierte Ansatz kläglich versagt.

Sicherheitspannen am Perimeter

Während zumindest die private Wirtschaft über Möglichkeiten einer Nachbesserung intensiv nachgrübelt, zeichnet sich bei der OPM bisher kein grundlegender Richtungswechsel ab. Beim ersten Breach des OPM-Rechenzentrums seien „lediglich“ 5,6 Millionen Datensätze kompromittiert worden. Die Eindringlinge konnten dabei nicht „nur“ die Namen und die Sozialversicherungsnummern entwenden, sondern auch biometrische Daten wie die Fingerabdrücke von Mitarbeitern der US-amerikanischen Geheimdienste, detaillierte Angaben über Familienmitglieder und Freunde sowie geheime Protokolle der Sicherheitsüberprüfungen der direkt Betroffenen herunterladen.

Whitepaper Empfehlung

Open Source in der Datacenter-Administration Teil 1

Open Source in der Datacenter-Administration Teil 2

Die Backdoor in Hardware-Firewalls von Juniper Networks, die mindestens seit 2011 existierte, sei kürzlich mit Updates von ScreenOS auf die Version 6.2.0r19 und 6.3.0r21 gepatcht worden, doch ein bitterer Nachgeschmack bleibt. (Bild: Juniper Networks)

Die Datacenter-Administratoren sollen zwar Gegenmaßnahmen wie die erstmalige Einführung der Datenverschlüsselung ergriffen haben, doch haben sich diese offenbar als weitaus unzureichend erwiesen, denn der Personenkreis der Geschädigten soll sich durch wiederholte Hacks der Rechenzentren auf inzwischen 22,5 Millionen Personen erweitert haben.

Die Sicherheitsprobeleme bei Juniper Networks liegen offenbar tiefer: Die fehlerhafte SSL-Konfiguration der Domains von Juniper lässt wohl kaum Vertrauen in die Kompetenzen des Firewalls-Anbieters aufkommen (zum Vergleich: DataCenter-Insider.de hat die Note A: datacenter-insider.de_Note_A.png) (Bild: Qualys SSL Labs)

Wie kostspielig und riskant sich das missverstandene Vertrauen in die Perimetersicherheit erweisen kann, wie im Falle der kürzlich aufgedeckten und inzwischen gepatchten Backdoor in Firewalls von Juniper Networks auf der Basis von „ScreenOS“, wurde inzwischen in zahlreichen Studien nachgewiesen. Eine von IBM geförderte Studie des Ponemon Instituts hat die Gesamtkosten einer Datenschutzverletzung zuletzt auf einen (weltweiten) Durchschnittswert von 3,79 Millionen Dollar beziffert (154 Dollar pro gestohlenem Datensatz).