Suchen

SDDC für eine „Zero-Trust“-Sicherheitsstrategie

Mikro-Segmentierung des Datacenter

Seite: 2/3

Firma zum Thema

Wie Mikro-Segmentierung funktioniert

Das Aufkommen von SDDC hat neue Möglichkeiten zur Umsetzung einer „Zero-Trust“-Sicherheitsstrategie mit sich gebracht. Vor dem Anbruch der Ära der Netzwerkvirtualisierung war die Implementierung physikalischer Sicherheitsmaßnahmen viel zu kostspielig und auch die manuelle Wartung nicht nur aufwändig, sondern nebenbei auch fehlerträchtig. Bei jedem Versuch, Workloads zu migrieren oder zu skalieren, mussten neue Firewall-Boxen hinzugekauft und in Betrieb genommen werden.

Bei jeder Neusegmentierung, zum Beispiel zur Abwehr vor einer DDoS-Attacke, bestand immer die Gefahr, durch einen menschlichen Konfigurationsfehler den Angreifern Tür und Tor zu öffnen (siehe hierzu: „DDoS-Attacken mit aktiver Cloud-Verstärkung abwehren“). Laut Gartner handelt es sich bei 95 Prozent aller Firewall-Breaches nicht um Schwächen in der Firewall, sondern um „menschliches Versagen“ im Sinne einer Fehlkonfiguration.

Erst Automatisierungswerkzeuge mit Fähigkeiten zur netzwerkweiten Überwachung der Konnektivität in einem SDDC können die Herausforderungen im Zusammenhang mit der dynamischen Provisionierung von Netzwerkressourcen überwinden. Denn der Aufwand im Zusammenhang mit den erforderlichen Änderungen an den Firewalls wächst exponentiell mit der Anzahl der Workloads und des zunehmend dynamischen, bedarfsgerechten Aufbau der Infrastruktur. Eine solche Lösung ist VMwares NSX-Plattform.

Der Anbruch der Ära des mikrosegmentierten Datacenter

Der Perimeter-zentrische Ansatz zum Schutz eines SDDC vor Angriffen hat sich als unzureichend erwiesen (siehe dazu den Artikel „Die SDDC-Fehler Anderer“). DDoS-Angriffe mit Mehrfach-Attackvektoren machen sich die Schwächen der Perimeter-zentrischen Verteidigung zu Nutze, indem sie Hardware-Firewalls außer Gefecht setzen und zum Teil sogar Intrusion-Detection-Systeme umgehen (zum Beispiel indem sie verschlüsselte Datenströme durchtunneln).

Haben sie die Zugangsdaten autorisierter Benutzer etwa durch Phishing oder Malware erbeutet, können Eindringlinge noch weitaus größeren Schaden anrichten. Oft wird der erstmalige Einbruch als nicht signifikant eingestuft und führt zu weiteren Vorfällen.

In einem traditionellen Sicherheitsansatz werden in der Regel Kompromisse zwischen den Anforderungen der Überwachung der Datacenter-Umgebung und der Isolation der Workloads getroffen. Diese laufen oft darauf hinaus, dass die erforderlichen Kontrollen in das Host-Betriebssystem verbaut werden. Dieser Ansatz ermöglicht es den Administratoren, zu sehen, auf welche Anwendungen und Daten zugegriffen wird und welche Benutzer das System in Anspruch nehmen; scheinbar eine gute Strategie.

Doch da sich die Steuerung innerhalb der angegriffenen Domain befindet, ist ein Angreifer in der Lage, diese Mechanismen zu deaktivieren. Ein solche Isolierung ist äußerst ungeschickt und funktioniert leider nur auf dem Papier. Es wäre ungefähr so als ob man den Ein- und Ausschalter einer Alarmanlage am Auto gut sichtbar und zudem noch von außen leicht zugänglich anbringen würde.

Niemand würde eine solche Lösung nur im Entferntesten in Betracht ziehen. Doch genau dies geschieht, wenn man es auf das Umfeld eines Datencenters überträgt, Tag ein und Tag aus. Die Integration der benötigten Sicherheitsvorkehrungen in die physikalische Infrastruktur führt die Komplexität der Administration ad absurdum und treibt die Kosten der Anschaffung neuer Hardware in die Höhe.

Zum Glück geht es dank „NSX“-basierter RZ-Virtualisierung auch anders.

(ID:43804679)