Suchen

SDDC für eine „Zero-Trust“-Sicherheitsstrategie Mikro-Segmentierung des Datacenter

Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska* / Ulrike Ostler

Datacenter haben ihre Abwehrmaßnahmen bisher vorwiegend auf den Perimeter fokussiert. Doch wie die zahlreichen Sicherheitsvorfälle und nicht zuletzt die kürzlich aufgedeckte Backdoor in NetScreen-Firewalls des Sicherheitsspezialisten Juniper Networks verdeutlichen, sind diese bei Weitem nicht unüberwindlich. Neue Ansätze sollen Abhilfe schaffen.

Firmen zum Thema

Ein Vergleich zwischen einem traditionellen Datacenter und einem NSX-basierten Rechenzentrum: NSX skaliert die virtualisierte Netzwerkinfrastruktur ohne menschliche Eingriffe herauf und herunter.
Ein Vergleich zwischen einem traditionellen Datacenter und einem NSX-basierten Rechenzentrum: NSX skaliert die virtualisierte Netzwerkinfrastruktur ohne menschliche Eingriffe herauf und herunter.
(Bild: VMware)

Der Perimeter-basierte Ansatz zur Netzwerksicherheit lässt sich am besten mit der „Funktionsweise“ einer Kokusnuss vergleichen: Sobald sich die Hacker mehr oder weniger mühsam durch das harte Äußere der Schalenfrucht hindurch gebohrt haben, leistet praktisch nichts mehr einen Widerstand. Bei Rechenzentren gilt diese Analogie immer noch viel zu oft, denn sobald die Eindringlinge den Datacenter-Perimeter durchbrochen haben sollten, stehen ihnen im Innern kaum noch Zugriffseinschränkungen im Wege.

Wie trügerisch es ist, beim Schutz des Datacenter auf die bloße Perimetersicherheit zu vertrauen, zeigen hochkarätige Fälle von Sicherheitspannen in den USA wie auch in Europa. Vom Angriff auf die US-Amerikanische Bundesbehörde OPM (Office of Personnel Management), welcher persönliche Daten von Mitarbeitern und Auftragnehmern der US-Regierung in Mitleidenschaft zog, über die spektakulären Hacks der World Bank in Genf (Schweiz) bis hin zu Datenschutzverletzungen bei der US-Tochter von T-Mobile auf Grund einer Panne in der Datenverarbeitung durch die Kreditauskunftsagentur Experian: In jedem dieser Fälle hat der Perimeter-basierte Ansatz kläglich versagt.

Sicherheitspannen am Perimeter

Während zumindest die private Wirtschaft über Möglichkeiten einer Nachbesserung intensiv nachgrübelt, zeichnet sich bei der OPM bisher kein grundlegender Richtungswechsel ab. Beim ersten Breach des OPM-Rechenzentrums seien „lediglich“ 5,6 Millionen Datensätze kompromittiert worden. Die Eindringlinge konnten dabei nicht „nur“ die Namen und die Sozialversicherungsnummern entwenden, sondern auch biometrische Daten wie die Fingerabdrücke von Mitarbeitern der US-amerikanischen Geheimdienste, detaillierte Angaben über Familienmitglieder und Freunde sowie geheime Protokolle der Sicherheitsüberprüfungen der direkt Betroffenen herunterladen.

Die Backdoor in Hardware-Firewalls von Juniper Networks, die mindestens seit 2011 existierte, sei kürzlich mit Updates von ScreenOS auf die Version 6.2.0r19 und 6.3.0r21 gepatcht worden, doch ein bitterer Nachgeschmack bleibt.
Die Backdoor in Hardware-Firewalls von Juniper Networks, die mindestens seit 2011 existierte, sei kürzlich mit Updates von ScreenOS auf die Version 6.2.0r19 und 6.3.0r21 gepatcht worden, doch ein bitterer Nachgeschmack bleibt.
(Bild: Juniper Networks)

Die Datacenter-Administratoren sollen zwar Gegenmaßnahmen wie die erstmalige Einführung der Datenverschlüsselung ergriffen haben, doch haben sich diese offenbar als weitaus unzureichend erwiesen, denn der Personenkreis der Geschädigten soll sich durch wiederholte Hacks der Rechenzentren auf inzwischen 22,5 Millionen Personen erweitert haben.

Die Sicherheitsprobeleme bei Juniper Networks liegen offenbar tiefer: Die fehlerhafte SSL-Konfiguration der Domains von Juniper lässt wohl kaum Vertrauen in die Kompetenzen des Firewalls-Anbieters aufkommen (zum Vergleich: DataCenter-Insider.de hat die Note A: datacenter-insider.de_Note_A.png)
Die Sicherheitsprobeleme bei Juniper Networks liegen offenbar tiefer: Die fehlerhafte SSL-Konfiguration der Domains von Juniper lässt wohl kaum Vertrauen in die Kompetenzen des Firewalls-Anbieters aufkommen (zum Vergleich: DataCenter-Insider.de hat die Note A: datacenter-insider.de_Note_A.png)
(Bild: Qualys SSL Labs)

Wie kostspielig und riskant sich das missverstandene Vertrauen in die Perimetersicherheit erweisen kann, wie im Falle der kürzlich aufgedeckten und inzwischen gepatchten Backdoor in Firewalls von Juniper Networks auf der Basis von „ScreenOS“, wurde inzwischen in zahlreichen Studien nachgewiesen. Eine von IBM geförderte Studie des Ponemon Instituts hat die Gesamtkosten einer Datenschutzverletzung zuletzt auf einen (weltweiten) Durchschnittswert von 3,79 Millionen Dollar beziffert (154 Dollar pro gestohlenem Datensatz).

Wie Mikro-Segmentierung funktioniert

Das Aufkommen von SDDC hat neue Möglichkeiten zur Umsetzung einer „Zero-Trust“-Sicherheitsstrategie mit sich gebracht. Vor dem Anbruch der Ära der Netzwerkvirtualisierung war die Implementierung physikalischer Sicherheitsmaßnahmen viel zu kostspielig und auch die manuelle Wartung nicht nur aufwändig, sondern nebenbei auch fehlerträchtig. Bei jedem Versuch, Workloads zu migrieren oder zu skalieren, mussten neue Firewall-Boxen hinzugekauft und in Betrieb genommen werden.

Bei jeder Neusegmentierung, zum Beispiel zur Abwehr vor einer DDoS-Attacke, bestand immer die Gefahr, durch einen menschlichen Konfigurationsfehler den Angreifern Tür und Tor zu öffnen (siehe hierzu: „DDoS-Attacken mit aktiver Cloud-Verstärkung abwehren“). Laut Gartner handelt es sich bei 95 Prozent aller Firewall-Breaches nicht um Schwächen in der Firewall, sondern um „menschliches Versagen“ im Sinne einer Fehlkonfiguration.

Erst Automatisierungswerkzeuge mit Fähigkeiten zur netzwerkweiten Überwachung der Konnektivität in einem SDDC können die Herausforderungen im Zusammenhang mit der dynamischen Provisionierung von Netzwerkressourcen überwinden. Denn der Aufwand im Zusammenhang mit den erforderlichen Änderungen an den Firewalls wächst exponentiell mit der Anzahl der Workloads und des zunehmend dynamischen, bedarfsgerechten Aufbau der Infrastruktur. Eine solche Lösung ist VMwares NSX-Plattform.

Der Anbruch der Ära des mikrosegmentierten Datacenter

Der Perimeter-zentrische Ansatz zum Schutz eines SDDC vor Angriffen hat sich als unzureichend erwiesen (siehe dazu den Artikel „Die SDDC-Fehler Anderer“). DDoS-Angriffe mit Mehrfach-Attackvektoren machen sich die Schwächen der Perimeter-zentrischen Verteidigung zu Nutze, indem sie Hardware-Firewalls außer Gefecht setzen und zum Teil sogar Intrusion-Detection-Systeme umgehen (zum Beispiel indem sie verschlüsselte Datenströme durchtunneln).

Haben sie die Zugangsdaten autorisierter Benutzer etwa durch Phishing oder Malware erbeutet, können Eindringlinge noch weitaus größeren Schaden anrichten. Oft wird der erstmalige Einbruch als nicht signifikant eingestuft und führt zu weiteren Vorfällen.

In einem traditionellen Sicherheitsansatz werden in der Regel Kompromisse zwischen den Anforderungen der Überwachung der Datacenter-Umgebung und der Isolation der Workloads getroffen. Diese laufen oft darauf hinaus, dass die erforderlichen Kontrollen in das Host-Betriebssystem verbaut werden. Dieser Ansatz ermöglicht es den Administratoren, zu sehen, auf welche Anwendungen und Daten zugegriffen wird und welche Benutzer das System in Anspruch nehmen; scheinbar eine gute Strategie.

Doch da sich die Steuerung innerhalb der angegriffenen Domain befindet, ist ein Angreifer in der Lage, diese Mechanismen zu deaktivieren. Ein solche Isolierung ist äußerst ungeschickt und funktioniert leider nur auf dem Papier. Es wäre ungefähr so als ob man den Ein- und Ausschalter einer Alarmanlage am Auto gut sichtbar und zudem noch von außen leicht zugänglich anbringen würde.

Niemand würde eine solche Lösung nur im Entferntesten in Betracht ziehen. Doch genau dies geschieht, wenn man es auf das Umfeld eines Datencenters überträgt, Tag ein und Tag aus. Die Integration der benötigten Sicherheitsvorkehrungen in die physikalische Infrastruktur führt die Komplexität der Administration ad absurdum und treibt die Kosten der Anschaffung neuer Hardware in die Höhe.

Zum Glück geht es dank „NSX“-basierter RZ-Virtualisierung auch anders.

Mikrosegmentierte SDDCs auf NSX-Basis mit NSX-basierter Workload-Isolierung

Mit der NSX-Plattform möchte VMware eine Software entwickelt haben, welche erweiterte Automatisierung der Netzwerkkontrolle (siehe hierzu: „Open-Source-Tools für mehr Automatisierung im Rechenzentrum“) und robuste Sicherheits-Features miteinander verbindet ohne die Leistung aufs Spiel zu setzen.

Die NSX-Plattform von VMware kann zum Schutz kritischer Workloads auf dreierlei Weisen beitragen:

  • durch die Isolation von Workloads,
  • die Segmentierung des Datacenter und
  • den Einsatz erweiterter Dienste zur Verkettung von Datenflüssen (chaining) und
  • Datenstromlenkung (traffic steering) mit Möglichkeiten der Einbindung spezialisierter Lösungen von Drittanbietern wie Symantec, Trenmicro, Rapid1 und Palo Alto.

VMware NSX implementiert automatische Provisionierung mit Netzwerkisolierung und Mikrosegmentierung auf der Ebene des Hypervisors ohne die Notwendigkeit, zusätzliche Hardwareboxen hinzuzuschalten. Jeder zusätzliche Host erweitert die Fähigkeiten der Datenverarbeitung durch die NSX-Plattform um derzeit jeweils bis zu 20 Gigabit pro Sekunde.

VMware NSX läuft auf einem beliebigen Hypervisor und integriert sich in das bestehende physikalische Netzwerk.
VMware NSX läuft auf einem beliebigen Hypervisor und integriert sich in das bestehende physikalische Netzwerk.
(Bild: VMware)

Mikrosegmentierung gewährleistet nicht nur die Isolierung des virtualisierten Netzwerkes von den verwendeten Netzwerkressourcen, sondern erzwingt auch automatisch die Durchsetzung der festgelegten Schutzregeln für die betreffenden Workloads. Jedes isolierte Netzwerk kann aus Workloads bestehen, die auf Ressourcen kreuz und quer durch das gesamte Datencenter verteilt zugreifen.

Zudem dürfen sich VMs im Falle von NSX-basierten SDDCs sowohl auf demselben als auch auf einem beliebigen anderen Hypervisor befinden. Ein praktisches Beispiel: Die Isolierung zwischen verschiedenen virtuellen Netzwerken erlaubt die Nutzung von IP-Adressen, die sich gegenseitig überlappen. Auf diese Weise ist es in NSX möglich, Entwicklungs-, Test- und Produktionsumgebungen umzusetzen, die beispielsweise jeweils mit verschiedenen Applikationsversionen laufen, aber gemeinsame IPs teilen und alle dennoch gleichzeitig auf einer und derselben darunterliegenden physikalischen Hardware ablaufen.

Mikrosegmentierte Firewalls im SDN-Overlay in Vmare NSX
Mikrosegmentierte Firewalls im SDN-Overlay in Vmare NSX
(Bild: VMware)

Die Mikrosegmentierung hat zwar Gemeinsamkeiten mit der Isolierung, kann aber zusätzlich auch auf ein virtuelles Multi-Tier-Netzwerk angewendet werden. Die Mikrosegmentierung ist, genau wie die Isolierung, eines der Top-Features von VMwares virtualisierter NSX-Netzwerkplattform. Ein virtuelles Netzwerk kann auch eine Multi-Tier-Netzwerkumgebung, wie sie in einem SDDC üblich ist, unterstützen. Hierbei kommen zum Beispiel mehrere L2-Segmente mit L3-Segmentierung oder eine Mikrosegmentierung auf einem einzelnen L2-Segment unter Nutzung einer verteilten Firewall mit Workload-spezifischen Sicherheitsrichtlinien zum Einsatz.

Die „Zero-Trust“-Sicherheitsstrategie: Zugriffsidentität als der neue Perimeter

Ein VPN-Zugang zum Inneren eines Datacenter erfüllt bei Weitem nicht mehr die aktuellen Anforderungen der IT, zumal sich die gebotenen Dienste immer Öfter über die Grenzen eines einzelnen Datencenters hinaus ausstrecken. Mit wachsender Komplexität der Dienste und explodierender Anzahl von Endgeräten in Benutzung durch eine zunehmend mobile Belegschaft sind viele Unternehmen zu der Erkenntnis gelangt, dass der neue Perimeter rund um eine Benutzeridentität - und nicht um ein einzelnes Rechenzentrum herum - entstehen muss. Föderierte Identitäten mit Multi-Faktor-Authentifizierung wird zur Pflicht. Lösungen von Anbietern von Authentifizierungslösungen wie CA Technologies oder SafeNet/Gemalto können Abhilfe schaffen.

Bei der praktischen Umsetzung der Mikrosegmentierung gilt es, zu ermitteln, welche Ressourcen und Dienste innerhalb wie auch außerhalb eines einzelnen Datencenters einen besonderen Schutz benötigen und wer unter welchen Bedingungen auf diese Ressourcen zugreifen können soll. Viele Unternehmen müssen zudem noch ganz bestimmte gesetzliche Auflagen erfüllen.

Insgesamt gilt es, bei der Implementierung drei Problemfelder zu adressieren:

  • die Provisionierung von Workloads muss samt der fehlerfreien Konfiguration der zugehörigen Netzwerkressourcen in Software zuverlässig automatisiert werden;
  • das SDDC muss sich mit Hardware-Firewalls und Intrusion-Detection-Systemen im Perimeter nahtlos integrieren lassen (diese Voraussetzung erfüllen unter anderem VM-Series Firewalls von Palo Alto Networks mit dem Management-System Palo Alto Networks Panorama);
  • die resultierende Mikrosegmentierung muss eine lückenlose Isolierung der Workloads gewährleisten und Benutzeridentitäten als den neuen, softwaredefinierten Perimeter handhaben.

*Das Autoren-Duo

Filipe Pereira Martins und Anna Kobylinska arbeiten für die Soft1T S.a r.l. Beratungsgesellschaft mbH, McKinley Denali Inc. (USA).

(ID:43804679)