SDDC für eine „Zero-Trust“-Sicherheitsstrategie Mikro-Segmentierung des Datacenter
Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska* / Ulrike Ostler
Datacenter haben ihre Abwehrmaßnahmen bisher vorwiegend auf den Perimeter fokussiert. Doch wie die zahlreichen Sicherheitsvorfälle und nicht zuletzt die kürzlich aufgedeckte Backdoor in NetScreen-Firewalls des Sicherheitsspezialisten Juniper Networks verdeutlichen, sind diese bei Weitem nicht unüberwindlich. Neue Ansätze sollen Abhilfe schaffen.
Ein Vergleich zwischen einem traditionellen Datacenter und einem NSX-basierten Rechenzentrum: NSX skaliert die virtualisierte Netzwerkinfrastruktur ohne menschliche Eingriffe herauf und herunter.
(Bild: VMware)
Der Perimeter-basierte Ansatz zur Netzwerksicherheit lässt sich am besten mit der „Funktionsweise“ einer Kokusnuss vergleichen: Sobald sich die Hacker mehr oder weniger mühsam durch das harte Äußere der Schalenfrucht hindurch gebohrt haben, leistet praktisch nichts mehr einen Widerstand. Bei Rechenzentren gilt diese Analogie immer noch viel zu oft, denn sobald die Eindringlinge den Datacenter-Perimeter durchbrochen haben sollten, stehen ihnen im Innern kaum noch Zugriffseinschränkungen im Wege.
Wie trügerisch es ist, beim Schutz des Datacenter auf die bloße Perimetersicherheit zu vertrauen, zeigen hochkarätige Fälle von Sicherheitspannen in den USA wie auch in Europa. Vom Angriff auf die US-Amerikanische Bundesbehörde OPM (Office of Personnel Management), welcher persönliche Daten von Mitarbeitern und Auftragnehmern der US-Regierung in Mitleidenschaft zog, über die spektakulären Hacks der World Bank in Genf (Schweiz) bis hin zu Datenschutzverletzungen bei der US-Tochter von T-Mobile auf Grund einer Panne in der Datenverarbeitung durch die Kreditauskunftsagentur Experian: In jedem dieser Fälle hat der Perimeter-basierte Ansatz kläglich versagt.
Sicherheitspannen am Perimeter
Während zumindest die private Wirtschaft über Möglichkeiten einer Nachbesserung intensiv nachgrübelt, zeichnet sich bei der OPM bisher kein grundlegender Richtungswechsel ab. Beim ersten Breach des OPM-Rechenzentrums seien „lediglich“ 5,6 Millionen Datensätze kompromittiert worden. Die Eindringlinge konnten dabei nicht „nur“ die Namen und die Sozialversicherungsnummern entwenden, sondern auch biometrische Daten wie die Fingerabdrücke von Mitarbeitern der US-amerikanischen Geheimdienste, detaillierte Angaben über Familienmitglieder und Freunde sowie geheime Protokolle der Sicherheitsüberprüfungen der direkt Betroffenen herunterladen.
Die Backdoor in Hardware-Firewalls von Juniper Networks, die mindestens seit 2011 existierte, sei kürzlich mit Updates von ScreenOS auf die Version 6.2.0r19 und 6.3.0r21 gepatcht worden, doch ein bitterer Nachgeschmack bleibt.
(Bild: Juniper Networks)
Die Datacenter-Administratoren sollen zwar Gegenmaßnahmen wie die erstmalige Einführung der Datenverschlüsselung ergriffen haben, doch haben sich diese offenbar als weitaus unzureichend erwiesen, denn der Personenkreis der Geschädigten soll sich durch wiederholte Hacks der Rechenzentren auf inzwischen 22,5 Millionen Personen erweitert haben.
Die Sicherheitsprobeleme bei Juniper Networks liegen offenbar tiefer: Die fehlerhafte SSL-Konfiguration der Domains von Juniper lässt wohl kaum Vertrauen in die Kompetenzen des Firewalls-Anbieters aufkommen (zum Vergleich: DataCenter-Insider.de hat die Note A: datacenter-insider.de_Note_A.png)
(Bild: Qualys SSL Labs)
Wie kostspielig und riskant sich das missverstandene Vertrauen in die Perimetersicherheit erweisen kann, wie im Falle der kürzlich aufgedeckten und inzwischen gepatchten Backdoor in Firewalls von Juniper Networks auf der Basis von „ScreenOS“, wurde inzwischen in zahlreichen Studien nachgewiesen. Eine von IBM geförderte Studie des Ponemon Instituts hat die Gesamtkosten einer Datenschutzverletzung zuletzt auf einen (weltweiten) Durchschnittswert von 3,79 Millionen Dollar beziffert (154 Dollar pro gestohlenem Datensatz).
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/e3/09/e3096d6dce558738c51c5ca878041061/0107846251.jpeg "Am 20. Oktober 2022 konnten die Gewinner der diesjährigen Leserwahl zu den DataCenter-Insider-Awards ihre Preise bei einer Abendgala in Empfang nehmen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/4e/d04ed61cedb2e95dd4239fe7dc09da1c/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953100/1953154/original.jpg "Die Leserwahl zum DataCenter-Insider-Award hat begonnen. (Vogel IT-Medien GmbH)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883458/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre DataCenter-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ca/73/ca73e1a1c00d3a3728f6e29ee244f223/0108554610.jpeg "Ein ganzes Rechenzentrum im Fuß eines Windrad-Masts: Windcores n der Nähe von Paderborn (Bild: Westfalen Wind IT)")
:quality(80)/p7i.vogel.de/wcms/6c/be/6cbed1106d3736e2ad81355fcb5d66f8/0108612317.jpeg "Rechenzentren benötigen zum Teil viel Wasser zur Kühlung; Amazon Web Services hat nun angekündigt, in seinen Anlagen etwas dagegen zu tun. (Bild: chathuporn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/a3/1ba3dc6bc6d672b1bcdaefb1bcc54988/0108468275.jpeg "Das Rechnergebäude des Leibniz-Rechenzentrums auf dem Forschungscampus in Garching. (Bild: LRZ)")
:quality(80)/p7i.vogel.de/wcms/64/e8/64e8edeb34816f3c033182b46f668d47/0108468013.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/26/90/26909d6cc230c0ffabfea7d3528e52b6/0108531241.jpeg "Die Gehäuse der EcoStruxture-R-Serie von Schneider Electric sind auch rauen Umgebungen gewachsen. (Bild: Schneider Electric)")
:quality(80)/p7i.vogel.de/wcms/10/a8/10a89f6e40883c0b2b42a97ee9de152a/0108614949.jpeg "Der HPE-Server „DL365 Gen10 Plus“ gehört nun zur Liste der für die Verwendung mit Graphcore KI-Systemen validierten Systeme. (Bild: Graphcore)")
:quality(80)/p7i.vogel.de/wcms/74/2d/742d4ccaaf906b4e405ef051322db269/0108602470.jpeg "(Bild: AMD)")
:quality(80)/p7i.vogel.de/wcms/03/77/037739d86bdf6a67a294c00bdba61ff3/0108559839.jpeg "Supermicro unterstützt seine H13-Reihe mit dem neuen JumpStart-Zugangsprogramm. (Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/4f/01/4f01954939bffdcc83c6fc98c7d75060/0108157736.jpeg "Cloud-Ressourcen sind nicht nur in sich redundant. Sie lassen sich auch dafür nutzen, um on-premises betriebene Workloads abzusichern. (Bild: gemeinfrei: Hnas)")
:quality(80)/p7i.vogel.de/wcms/a8/d1/a8d1a0aec17ce8f33d998f81b3bf60b7/0108701141.jpeg "SAP-Software kann nahezu uneingeschränkt in Public Clouds, in Private Clouds, gemanaged, on premises und im eigenen Rechenzentrum laufen. Doch die Kundschaft entscheidet sehr selten für den reinen Public-Cloud-Betrieb. (Bild: Yabresse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/8d/1b8ded2b19874dadee503022f57a6999/0108615454.jpeg "Eigentlich eine gute Sache: Beachtung der Menschenrechte entlang globaler und komplexer Lieferketten. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/95/de956d7c20e239fb31e7fac22ce9e8b0/0108559804.jpeg "Am Standort in Amberg setzt Siemens künftig auf Red Hat OpenShift. (Bild: Siemens AG)")
:quality(80)/p7i.vogel.de/wcms/1d/ed/1dede1310686ba3c35ebf4d46e6c7153/0108501203.jpeg "Low Code, Governance und E-Learning waren einige der Themen der SAP TechEd in Las Vegas. (Bild: © Norbert Steinhauser/SAP SE)")
:quality(80)/p7i.vogel.de/wcms/33/e0/33e0154ca24402520eb0327009af6b0c/0108266577.jpeg "Das neue HPE-Hauptquartier in Spring, Texas, ist einen Katzensprung von der Metropole Houston entfernt. (Bild: HPE )")
:quality(80)/p7i.vogel.de/wcms/39/28/3928d95dfbc0223c2b46723a2852aa8e/0108284902.jpeg "Aus dem Wunsch heraus, die Komplexität zu reduzieren und die Cloudifizierung des Netzes im Rahmen der EU-Anforderungen bezüglich Datenschutz, Sicherheit und Energie-Effizienz zu beschleunigen, haben fünf europäische Netzbetreiber und zwei Hersteller eine Absichtserklärung (MOU) zur Gründung des „Sylva“-Projekts unterzeichnet. (Bild: gemeinfrei: Michal Jarmoluk)")
:quality(80)/p7i.vogel.de/wcms/b7/31/b7316de494f6cf64d7cf9ea557955986/0108284930.jpeg "Das Lieferkettengesetz bringt mehr Bürokratie - birgt aber auch Chancen. (Bild: Mohamed Hassan)")
:quality(80)/p7i.vogel.de/wcms/7b/4c/7b4cb4e5c8832211b86aeacc17399e2e/0108701997.jpeg "Eines der Green Datacenter: dieses Befindet sich auf dem Campus „Zürich City“ (Bild: Green)")
:quality(80)/p7i.vogel.de/wcms/b1/7d/b17d95af383399466af22fc13a872035/0108674713.jpeg "NewTelco hat einen Colocation-Standort in Frankfurt am Main in Betrieb genommen und eine Kooperation mit DE-CIX gestartet. (Bild: Screenshot / NewTelco)")
:quality(80)/p7i.vogel.de/wcms/de/f7/def7ab33706dd7953a4a8a772ac8ffc7/0108004213.jpeg "Mit Hilfe von Technologiepartnern wie SVA können Unternehmen HPE GreenLake zur Einrichtung einer flexiblen Cloud-Umgebung im eigenen Rechenzentrum nutzen. (Bild: Alex_AdobeStock_291559105)")
:quality(80)/p7i.vogel.de/wcms/d0/e7/d0e7a448a8653c4f287d92b1aa312a6f/0108285255.jpeg "Thomas Joos klaubt für Admins die Rosinen aus „vSphere 8“ von VMware heraus. (Bild: gemeinfrei: Grégory ROOSE)")
:quality(80)/p7i.vogel.de/wcms/ca/fc/cafce6bb81643ffccc57e6c8dca740d0/0107931331.jpeg "Kioxia hat seine neuen Datacenter-SSDs der XD7P-Serie vorgestellt. (Bild: KIOXIA)")
:quality(80)/p7i.vogel.de/wcms/b5/ef/b5ef4580bc841cbc4dd30143cd480a02/0107772831.jpeg "Bis Ende des Jahres liefert Huawei die Storage-Systeme OceanStor Dorado 3000 V6 und 5000 V6 innerhalb von zwei Wochen an seine Kunden aus. (Bild: Huawei Technologies)")
:quality(80)/p7i.vogel.de/wcms/2f/55/2f555528a90066f622d1c08e7d72571c/0107709821.jpeg "(Bild: OCP)")
:quality(80)/p7i.vogel.de/wcms/57/8d/578d27aee31ff897613424eb0d862da1/0106928885.jpeg "Samsungs NVMe SSD 990 PRO soll vor allem mit hoher Performance punkten. (Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/13/63/1363a35b2b64a9fa8732ca051a27d7eb/0108310501.jpeg "(Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/c9/37/c9374b91c2613b49713c9252e5f828b1/0107915000.jpeg "Auch die Rechenzentrumsbetreiber und Cloud-Anbieter treibt die Energiekrise um; aktuell werden beispielsweise die Frankfurter Datacenter zu rund 40 Prozent mit Strom aus Gasturbinen versorgt, so die German Datacenter Association. (Bild: gemeinfrei: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/f9/e1/f9e19d0f9f9aaf8766810316d619033d/0107311638.jpeg "NovaStor DataCenter verfügt nun über mehr Automatisierung, Transparenz und ein überarbeitetes User-Interface. (Bild: NovaStor)")
:quality(80)/p7i.vogel.de/wcms/e5/72/e572b803497e8166d525754dc1c2b248/0107483586.jpeg "Die digitale Souveränität, das weltweite Internet und die Cloud-Provider waren das Keynote-Thema bei den Open Source Automation Days 2022 von ATIX (Bild: Atix AG)")
:quality(80)/p7i.vogel.de/wcms/20/5a/205a5830a008c60cf088890fd3f1a1d5/0108599885.jpeg "Mark Mattingley-Scott, Euripachef des australisch-deutschen Unternehmens Quantum Brilliance, kommentiert das Verhältnis von Quanten- zu Supercomputing. (Bild: Robin Schimko )")
:quality(80)/p7i.vogel.de/wcms/05/b4/05b4a4e9a49081c31d903cd6db94c65e/0108254622.jpeg "Hohe Rechenleistung benötigen industrielle Anwendungen in den Bereichen Optimierung, Simulation oder Maschinelles Lernen. (Bild: gemeinfrei Tayeb Mezahdia)")
:quality(80)/p7i.vogel.de/wcms/35/8c/358cd91ba208c0d26fabb13c72e21cfd/0108230179.jpeg "Rolls-Royce wird künftig die Classiq-Plattform für die Entwicklung modernster Quantenschaltungen nutzen. (Bild: Classiq)")
:quality(80)/p7i.vogel.de/wcms/6a/33/6a336b603d5bd2800b227d85239b27c8/0108034838.jpeg "Chips auf Silizium-Wafer: In zwei Projekten entstehen modulare, skalierbare Quantencomputer auf Ionenfallen-Basis. Mehrere Chips werden dabei zu einer universellen Quantencomputer-Architektur vernetzt.
(Bild: Universal Quantum Deutschland GmbH)")
:quality(80)/p7i.vogel.de/wcms/fd/7a/fd7a3f27c1905255d03a7d0410626a7d/0106490349.jpeg "(Bild: EMC - Home of Data)")
:quality(80)/p7i.vogel.de/wcms/62/21/622158e210b9f8d95012333d2fd8ca70/0106351175.jpeg "Das Projekt „PeerDC“ auf der <A target="_blank" HREF="https://datacenter-group.com/de/news/meldungen/peerdc.php">Website der DataCenter Group</A> (Bild: ilya_levchenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/01/6c01af6a5ac83a0b20d1eba8b4a6fc6d/0105851480.jpeg "Autor Harald Lutz interviewt Marina Köhn vom Umweltbundesamt zu laufenden Projekten, die zum Ziel haben, den Energieverbrauch von Rechenzentren für die Nutzer transparent zu machen und der Umwelt zuliebe zu senken. (Bild: Weissblick - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1950800/1950880/original.jpg "Wie können Datacenter hinsichtlich ihrer Energei-Effizienz oder in Bezug auf Nachhaltigkeit bewertet werden? Das Rechenzentrum von Global Switch im australischen Sidney beispielsweise rühmt sich unter anderem einer ISO-Zertifizierung nach dem globalen Standard ISO 50001 Energy Management Standard. (Global Switch)")
:quality(80)/p7i.vogel.de/wcms/90/40/904072c10c6cfb25aa589ccdc2b731a0/0105957803.jpeg "Diese bunten Rohrleitungen befinden sich nicht in London, sondern im Kühlraum des Google-Rechenzentrums in Singapur. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/28/91/2891191f43d783185e01b7838e3ae6cd/0105726161.jpeg "Aufnahme aus dem islandischen Rechenzentrum „ICE01 DC“ von Atnorth (Bild: Atnorth)")
:quality(80)/p7i.vogel.de/wcms/53/46/5346a50e5bca503a89be890d8ccafb2f/0105679922.jpeg "2020 hat Envia Tel bereits das dritte Rechenzentrum am Standort Taucha in Betrieb genommen; jetzt wurde noch einmal erweitert. (Bild: Envia Tel)")
:quality(80)/p7i.vogel.de/wcms/a9/09/a909a89fc9b2c609af477e658cb5bb16/0105133613.jpeg "Die Vreienzelungsanlagen „Circlelock Solo“ von Boon Edam dient der physischen Sicherheit von Rechenzentren. (Bild: Boon Edam GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/7e/607ec90540e07/nvidia.png "nvidia.png (https://en.logodownload.org/nvidia-logo/)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1943300/1943379/original.jpg "Die Juniper-Networks-Suite „Apstra“ erlaubt das Management von Rechenzentren, auch ganz vielen, wie bei einer Fabric. Das Tool ist Hardware- und Hersteller-agnostisch, erlaubt Regeln zu definieren und deren Einhaltung in Echtzeit zu überwachen. (gemeinfrei: Ugochukwu Ebu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1915800/1915815/original.jpg "Den Experten von NVIDIA zufolge werden Colocation, KI und Zero Trust eine wichtige Rolle im kommenden Jahr spielen. (3D Animation Production Company)")