SDDC für eine „Zero-Trust“-Sicherheitsstrategie

Mikro-Segmentierung des Datacenter

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska* / Ulrike Ostler

Wie Mikro-Segmentierung funktioniert

Das Aufkommen von SDDC hat neue Möglichkeiten zur Umsetzung einer „Zero-Trust“-Sicherheitsstrategie mit sich gebracht. Vor dem Anbruch der Ära der Netzwerkvirtualisierung war die Implementierung physikalischer Sicherheitsmaßnahmen viel zu kostspielig und auch die manuelle Wartung nicht nur aufwändig, sondern nebenbei auch fehlerträchtig. Bei jedem Versuch, Workloads zu migrieren oder zu skalieren, mussten neue Firewall-Boxen hinzugekauft und in Betrieb genommen werden.

DDoS-Attacken mit aktiver Cloud-Verstärkung abwehren

Der Mechanik massiver DDoS-Angriffe auf der Spur

DDoS-Attacken mit aktiver Cloud-Verstärkung abwehren

19.05.15 - DDoS-Attacken haben im Zuge der Cloud-Revolution an ihrer Intensität und Dauer zugenommen. Nicht nur bietet die Cloud keinen Schutz vor DDoS, sondern stellt vielmehr auf Grund der elastischen Skalierbarkeit ein Instrument zur Amplifizierung von DDoS-Attacken dar. lesen

Bei jeder Neusegmentierung, zum Beispiel zur Abwehr vor einer DDoS-Attacke, bestand immer die Gefahr, durch einen menschlichen Konfigurationsfehler den Angreifern Tür und Tor zu öffnen (siehe hierzu: „DDoS-Attacken mit aktiver Cloud-Verstärkung abwehren“). Laut Gartner handelt es sich bei 95 Prozent aller Firewall-Breaches nicht um Schwächen in der Firewall, sondern um „menschliches Versagen“ im Sinne einer Fehlkonfiguration.

Erst Automatisierungswerkzeuge mit Fähigkeiten zur netzwerkweiten Überwachung der Konnektivität in einem SDDC können die Herausforderungen im Zusammenhang mit der dynamischen Provisionierung von Netzwerkressourcen überwinden. Denn der Aufwand im Zusammenhang mit den erforderlichen Änderungen an den Firewalls wächst exponentiell mit der Anzahl der Workloads und des zunehmend dynamischen, bedarfsgerechten Aufbau der Infrastruktur. Eine solche Lösung ist VMwares NSX-Plattform.

Der Anbruch der Ära des mikrosegmentierten Datacenter

Der Perimeter-zentrische Ansatz zum Schutz eines SDDC vor Angriffen hat sich als unzureichend erwiesen (siehe dazu den Artikel „Die SDDC-Fehler Anderer“). DDoS-Angriffe mit Mehrfach-Attackvektoren machen sich die Schwächen der Perimeter-zentrischen Verteidigung zu Nutze, indem sie Hardware-Firewalls außer Gefecht setzen und zum Teil sogar Intrusion-Detection-Systeme umgehen (zum Beispiel indem sie verschlüsselte Datenströme durchtunneln).

Die SDDC-Fehler Anderer

Komplexität und allzu Menschliches

Die SDDC-Fehler Anderer

06.10.15 - Bei der Umsetzung erhabener Wünsche nach einem vollständig Software-definierten Datacenter (SDDC) haben sich einige der ersten Pioniere durch kostspielige Missgriffe unvergesslich gemacht. Aus Fehlern zu lernen ist gut, aus Fehlern anderer zu lernen ist noch besser. Gerade am Anbruch der SDDC-Ära lässt sich derart wertvolle Gratis-Praxiserfahrung in Gold aufwiegen. lesen

Haben sie die Zugangsdaten autorisierter Benutzer etwa durch Phishing oder Malware erbeutet, können Eindringlinge noch weitaus größeren Schaden anrichten. Oft wird der erstmalige Einbruch als nicht signifikant eingestuft und führt zu weiteren Vorfällen.

Ergänzendes zum Thema
 
Das Fazit der Autoren

In einem traditionellen Sicherheitsansatz werden in der Regel Kompromisse zwischen den Anforderungen der Überwachung der Datacenter-Umgebung und der Isolation der Workloads getroffen. Diese laufen oft darauf hinaus, dass die erforderlichen Kontrollen in das Host-Betriebssystem verbaut werden. Dieser Ansatz ermöglicht es den Administratoren, zu sehen, auf welche Anwendungen und Daten zugegriffen wird und welche Benutzer das System in Anspruch nehmen; scheinbar eine gute Strategie.

Doch da sich die Steuerung innerhalb der angegriffenen Domain befindet, ist ein Angreifer in der Lage, diese Mechanismen zu deaktivieren. Ein solche Isolierung ist äußerst ungeschickt und funktioniert leider nur auf dem Papier. Es wäre ungefähr so als ob man den Ein- und Ausschalter einer Alarmanlage am Auto gut sichtbar und zudem noch von außen leicht zugänglich anbringen würde.

Niemand würde eine solche Lösung nur im Entferntesten in Betracht ziehen. Doch genau dies geschieht, wenn man es auf das Umfeld eines Datencenters überträgt, Tag ein und Tag aus. Die Integration der benötigten Sicherheitsvorkehrungen in die physikalische Infrastruktur führt die Komplexität der Administration ad absurdum und treibt die Kosten der Anschaffung neuer Hardware in die Höhe.

Zum Glück geht es dank „NSX“-basierter RZ-Virtualisierung auch anders.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?
Unabhängig davon ist es ohne Frage beschämend für Juniper, dass Sie ihrem Hostingprovider eine...  lesen
posted am 14.01.2016 um 14:27 von AnnaKobylinska

Ich kann mich nur wiederholen: Die Backdoor in Firewalls hat nicht das geringste mit der...  lesen
posted am 14.01.2016 um 08:20 von is-chertel

Auf Grund der fehlerhaften SSL-Konfiguration, welche die unternehmenseigenen Systeme von Juniper...  lesen
posted am 12.01.2016 um 20:08 von AnnaKobylinska

nicht von Juniper selbst @is-chertel: Ruhig Blut mit jungen Pferden. Juniper Networks hat...  lesen
posted am 12.01.2016 um 15:20 von FilipeMartins

Die fehlerhafte SSL-Konfiguration der Domains von Juniper lässt wohl kaum Vertrauen in die...  lesen
posted am 11.01.2016 um 20:13 von is-chertel


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43804679 / Software)