SDDC für eine „Zero-Trust“-Sicherheitsstrategie

Mikro-Segmentierung des Datacenter

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska* / Ulrike Ostler

Ein Vergleich zwischen einem traditionellen Datacenter und einem NSX-basierten Rechenzentrum: NSX skaliert die virtualisierte Netzwerkinfrastruktur ohne menschliche Eingriffe herauf und herunter.
Ein Vergleich zwischen einem traditionellen Datacenter und einem NSX-basierten Rechenzentrum: NSX skaliert die virtualisierte Netzwerkinfrastruktur ohne menschliche Eingriffe herauf und herunter. (Bild: VMware)

Datacenter haben ihre Abwehrmaßnahmen bisher vorwiegend auf den Perimeter fokussiert. Doch wie die zahlreichen Sicherheitsvorfälle und nicht zuletzt die kürzlich aufgedeckte Backdoor in NetScreen-Firewalls des Sicherheitsspezialisten Juniper Networks verdeutlichen, sind diese bei Weitem nicht unüberwindlich. Neue Ansätze sollen Abhilfe schaffen.

Der Perimeter-basierte Ansatz zur Netzwerksicherheit lässt sich am besten mit der „Funktionsweise“ einer Kokusnuss vergleichen: Sobald sich die Hacker mehr oder weniger mühsam durch das harte Äußere der Schalenfrucht hindurch gebohrt haben, leistet praktisch nichts mehr einen Widerstand. Bei Rechenzentren gilt diese Analogie immer noch viel zu oft, denn sobald die Eindringlinge den Datacenter-Perimeter durchbrochen haben sollten, stehen ihnen im Innern kaum noch Zugriffseinschränkungen im Wege.

Wie trügerisch es ist, beim Schutz des Datacenter auf die bloße Perimetersicherheit zu vertrauen, zeigen hochkarätige Fälle von Sicherheitspannen in den USA wie auch in Europa. Vom Angriff auf die US-Amerikanische Bundesbehörde OPM (Office of Personnel Management), welcher persönliche Daten von Mitarbeitern und Auftragnehmern der US-Regierung in Mitleidenschaft zog, über die spektakulären Hacks der World Bank in Genf (Schweiz) bis hin zu Datenschutzverletzungen bei der US-Tochter von T-Mobile auf Grund einer Panne in der Datenverarbeitung durch die Kreditauskunftsagentur Experian: In jedem dieser Fälle hat der Perimeter-basierte Ansatz kläglich versagt.

Sicherheitspannen am Perimeter

Während zumindest die private Wirtschaft über Möglichkeiten einer Nachbesserung intensiv nachgrübelt, zeichnet sich bei der OPM bisher kein grundlegender Richtungswechsel ab. Beim ersten Breach des OPM-Rechenzentrums seien „lediglich“ 5,6 Millionen Datensätze kompromittiert worden. Die Eindringlinge konnten dabei nicht „nur“ die Namen und die Sozialversicherungsnummern entwenden, sondern auch biometrische Daten wie die Fingerabdrücke von Mitarbeitern der US-amerikanischen Geheimdienste, detaillierte Angaben über Familienmitglieder und Freunde sowie geheime Protokolle der Sicherheitsüberprüfungen der direkt Betroffenen herunterladen.

Die Backdoor in Hardware-Firewalls von Juniper Networks, die mindestens seit 2011 existierte, sei kürzlich mit Updates von ScreenOS auf die Version 6.2.0r19 und 6.3.0r21 gepatcht worden, doch ein bitterer Nachgeschmack bleibt.
Die Backdoor in Hardware-Firewalls von Juniper Networks, die mindestens seit 2011 existierte, sei kürzlich mit Updates von ScreenOS auf die Version 6.2.0r19 und 6.3.0r21 gepatcht worden, doch ein bitterer Nachgeschmack bleibt. (Bild: Juniper Networks)

Die Datacenter-Administratoren sollen zwar Gegenmaßnahmen wie die erstmalige Einführung der Datenverschlüsselung ergriffen haben, doch haben sich diese offenbar als weitaus unzureichend erwiesen, denn der Personenkreis der Geschädigten soll sich durch wiederholte Hacks der Rechenzentren auf inzwischen 22,5 Millionen Personen erweitert haben.

Ergänzendes zum Thema
 
Das Fazit der Autoren

Die Sicherheitsprobeleme bei Juniper Networks liegen offenbar tiefer: Die fehlerhafte SSL-Konfiguration der Domains von Juniper lässt wohl kaum Vertrauen in die Kompetenzen des Firewalls-Anbieters aufkommen (zum Vergleich: DataCenter-Insider.de hat die Note A: datacenter-insider.de_Note_A.png)
Die Sicherheitsprobeleme bei Juniper Networks liegen offenbar tiefer: Die fehlerhafte SSL-Konfiguration der Domains von Juniper lässt wohl kaum Vertrauen in die Kompetenzen des Firewalls-Anbieters aufkommen (zum Vergleich: DataCenter-Insider.de hat die Note A: datacenter-insider.de_Note_A.png) (Bild: Qualys SSL Labs)

Wie kostspielig und riskant sich das missverstandene Vertrauen in die Perimetersicherheit erweisen kann, wie im Falle der kürzlich aufgedeckten und inzwischen gepatchten Backdoor in Firewalls von Juniper Networks auf der Basis von „ScreenOS“, wurde inzwischen in zahlreichen Studien nachgewiesen. Eine von IBM geförderte Studie des Ponemon Instituts hat die Gesamtkosten einer Datenschutzverletzung zuletzt auf einen (weltweiten) Durchschnittswert von 3,79 Millionen Dollar beziffert (154 Dollar pro gestohlenem Datensatz).

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?
Unabhängig davon ist es ohne Frage beschämend für Juniper, dass Sie ihrem Hostingprovider eine...  lesen
posted am 14.01.2016 um 14:27 von AnnaKobylinska

Ich kann mich nur wiederholen: Die Backdoor in Firewalls hat nicht das geringste mit der...  lesen
posted am 14.01.2016 um 08:20 von is-chertel

Auf Grund der fehlerhaften SSL-Konfiguration, welche die unternehmenseigenen Systeme von Juniper...  lesen
posted am 12.01.2016 um 20:08 von AnnaKobylinska

nicht von Juniper selbst @is-chertel: Ruhig Blut mit jungen Pferden. Juniper Networks hat...  lesen
posted am 12.01.2016 um 15:20 von FilipeMartins

Die fehlerhafte SSL-Konfiguration der Domains von Juniper lässt wohl kaum Vertrauen in die...  lesen
posted am 11.01.2016 um 20:13 von is-chertel


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43804679 / Software)