:quality(80)/p7i.vogel.de/wcms/b9/73/b9735c8154dce59c989b3eec4ec2618f/0115491393.jpeg "Der Einsatz von HPC und KI bietet nicht nur in Medizin und Forschung zahlreiche Möglichkeiten, um künftige Herausforderungen zu bewältigen. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/77/69/7769ea9a9d22460f0b4834c0cf6600e4/0115332866.jpeg "High Performance Computing (HPC) und Künstlche Intelligenz (KI) ziehen sich magisch an und vereinen sich im großen und sehr großen Cluster. (Bild: Nicolas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/5f/f15f8d985e7f046a0894341ec8790609/0115366023.jpeg "Die ARM-Chips von Ampere Computing sind bei den großen Cloud-Anbietern wie Google, AWS und Oracle längst im Einsatz. Nun will auch Scaleway damit punkten - bei KI-Inferenz-Angeboten. (Bild: Ampere Computing)")
:quality(80)/p7i.vogel.de/wcms/c2/8a/c28a3e2b1e5a668e85a60ab1513f0505/0114961639.jpeg "Alle Gewinner der diesjährigen 'DataCenter-Insider-Awards' plus Ulrike Ostler Chefredakteurin DataCenter-Insider (l.) und Moderatorin Margit Lieverz. Das gesamte Redaktionsteam bedankt sich herzlich bei allen, die abgestimmt und bei allen, die den Gala-Abend unvergesslich gemacht haben. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/51/6b/516b6a7be304ba9862e972c6e11c9fec/0114109625.jpeg "DataCenter-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/e3/09/e3096d6dce558738c51c5ca878041061/0107846251.jpeg "Am 20. Oktober 2022 konnten die Gewinner der diesjährigen Leserwahl zu den DataCenter-Insider-Awards ihre Preise bei einer Abendgala in Empfang nehmen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/4e/d04ed61cedb2e95dd4239fe7dc09da1c/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/39/5e/395e9e412ed7fd5fae0b1a5c5dc43fdb/0115512869.jpeg "Statt Finanzbilanz sollen Unternehmen auch mithilfe von „SAP Green Ledger“ eine Bilanz aus ihren Umweltdaten erstellen (können) - jedenfalls, wenn sie das in der Cloud erledigen. (Bild: megaflopp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/54/4f54a2b3b6a57d8ebe3bae525ae3ec3b/0115462631.jpeg "(Bild: frei lizenziert: SGL Carbon)")
:quality(80)/p7i.vogel.de/wcms/69/cc/69cc870a79b0fc5569c23fc533f87e88/0115492438.jpeg "Der Rechenzentrumscontainer in Massivholz; gegenüber einem Stahlcontainer punktet er mit weniger Umweltbelastung im Verhältnis 3 zu1. Übrigens: Brennen tut das Rechenzentrumsmodul „Timbermod“ auch nicht. (Bild: Vertiv)")
:quality(80)/p7i.vogel.de/wcms/bc/bc/bcbc6294a9380f55b19548522a63c462/0115460147.jpeg "Der Stammsitz des Unternehmens Technotrans SE ist in Sassenberg. (Bild: Technotrans SE)")
:quality(80)/p7i.vogel.de/wcms/27/5e/275e02a9d45e13737df434ce78225139/0115293991.jpeg "„Die Zukunft der Primärenergieversorgung von Großrechenzentren liegt in der Modularität und in Microgrids“, sagt Dieter Tolsdorf, Sales Director DACH bei der Piller Germany GmbH & Co. KG.
(Bild: Shooting Star Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/85/4d85dc79ca752a4948f2eaed2940906a/0115360937.jpeg "Ein Blick, den nur wenige im Kopf haben, wenn sie an Rechenzentren denken: die Rückkühler auf dem Dach eines solchen. Die IT muss gekühlt werde, da sie sonst im wahsrsten Sinne des Wortes schmilzt. Lässt sich hier die Effizienz steigern, geht es um riesigen Mengen an Strom, die gespart werden können, um Umweltbelastung und um viel Geld. (Bild: arkady_z - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/ff/45ff4f909820bca4c8b105f142dc94db/0115464525.jpeg "Stierhatz oder das Lasso und die Leine in der Hand? Das abgebildete Monumento al Encierro von Rafael Huerta steht im Pamplona. (Bild: frei lizenziert: Soli Darnos )")
:quality(80)/p7i.vogel.de/wcms/89/ef/89ef97d1fbcf81f933003232a6ff1233/0115517736.jpeg "Martina Klement (l.) und Anne Lolas bei der offiziellen Eröffnung des Open-Source-Kompetenzzentrums. (© ITDZ Berlin)")
:quality(80)/p7i.vogel.de/wcms/67/85/6785d9a752e796d46667b19efccd7c4e/0115461630.jpeg "Eine Vielzahl an unterstützten APIs und Protokollen macht „Graylog“ zu einer vielseitigen Lösung im Bereich des Log-Managements. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/6a/71/6a719705d82bece19d7e6a88d3823b4d/0115517608.jpeg "Klare Strukturen ist oftmals das, was sich an der Edge nicht bietet. Zededa kombiniert Edge-Computing mit Native-Cloud-Technik und will damit gleichermaßen aufräumen. (Bild: frei lizenziert: Александра Туркина )")
:quality(80)/p7i.vogel.de/wcms/5b/ff/5bffbf2a137dce17847abf0e3818e366/0115281807.jpeg "Die Voraussagen in Glückskeksen passen immer - irgendwie. Fundierter sind die von Dr. Thomas King, CTO der Internet-Knoten DE-CIX. (Bild: frei lizenziert: Nicole Köhler)")
:quality(80)/p7i.vogel.de/wcms/ef/67/ef67f622c22b1029695dad658d96b2e5/0115203650.jpeg "Das Testbild aus den Anfängen des Farbfernsehens, Das so genannte FuBK-Testbild wurde laut Wikipedia n Deutschland gegen Ende 1973 eingeführt; FuBK steht für Funkbetriebskommission nach dem Pflichtenheft der ARD. Auf den Seiten unseres Portals war in den vergangenen Tagen nicht einmal ein solches zu sehen. (Bild: frei lizenziert: Christian Dorn)")
:quality(80)/p7i.vogel.de/wcms/e4/ca/e4ca6c1c4304327d02bbd79fcaf352bd/0114645257.jpeg "Ganz oben auf der Hype-Wellte: GenAI - Zurecht, bekräftigt Gartner-Analyst Arun Chandrasekaran: „Die Popularität vieler neuer KI-Techniken wird tiefgreifende Auswirkungen auf Wirtschaft und Gesellschaft haben. Das massive Pre-Training und die Skalierung von KI-Grundmodellen, die virale Verbreitung von Conversational Agents und die Verbreitung von generativen KI-Anwendungen läuten eine neue Welle von Mitarbeiterproduktivität und maschineller Kreativität ein". (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/59/4a/594a71a568c3aa0406c2b8cad5263f87/0115598489.jpeg "Das Proxmox Virtual Environment erhält in Version 8.1 unter anderem Support für Secure Boot und Software-defined Networking. (Bild: Proxmox)")
:quality(80)/p7i.vogel.de/wcms/46/94/4694ad5b534cf05843ecf35b6643addc/0115514944.jpeg "Schon beim Aufspannen der Fäden liegt beim Weben das Design des Stoffs fest; ähnlich müssen Multicloud-anstrebende Unternehmen vorgehen, wenn sie sich Cloud-Computing nutzbar und das Design nicht nachträglich, an der Oberffläche und wenig gebrauchsfreundlich aufdrucken wollen. (Bild: frei lizenziert: DavidJConelli)")
:quality(80)/p7i.vogel.de/wcms/cf/5a/cf5ab2030d6afc08869ebe97f73f92da/0115315575.jpeg "(Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/f0/e1/f0e1b550e76d395594b7ca1a050a597a/0114825555.jpeg "Vast Data ud Cerebras haben bereits zusammengearbeitet und können auf erfolgreiche Projekte verweisen: Dazu gehört der kürzlich angekündigte Supercomputer „Condor Galaxy“, der in Zusammenarbeit mit G42 Cloud aufgebaut wurde und jetzt Teil von Core42 ist und speziell KI-Lasten verarbeitet. (Bild: ©2022 Cerebras Systems Inc.)")
:quality(80)/p7i.vogel.de/wcms/5e/ca/5eca30effe330bc9791334e10f372633/0113847116.jpeg "Pang Xin, Vice President der Huawei Data Storage Production Line (l.), und Frank Hua, Vice President für Automotive- und Industriedienstleistungen bei Dekra China, bei der offiziellen Verkündung der Zertifizierungen. (Bild: Huawei)")
:quality(80)/p7i.vogel.de/wcms/19/c3/19c359f249da0701360715edec5a000d/0113792109.jpeg "Computergenerierte Daten in DNA speichern? Ja, das geht, ist aber teuer. (Bild: frei lizenziert: Placidplace)")
:quality(80)/p7i.vogel.de/wcms/19/f2/19f29ccf47d713dcb42526d3dafc4bad/0113770470.jpeg "Der „Storage SuperServer SSG-221E-NE324R“ von Supermicro: Das ist ein
Dual Socket E (LGA-4677)-Rechner, der mit der 4. Generation des Intel-Prozessors „Xeon Scalable“ ausgestattet ist. Er fasst 32 DIMM Slots.
(Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/b2/03/b20330de29b22c6c515b4b2eb79f0dfe/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/e0/d8/e0d8d6e56b512a7dd3494875dfd620cd/0115069313.jpeg "Die Ära der Quantencomputer scheint zum Greifen nah. Höchste Zeit also, sich mit den bevorstehenden Risiken für die IT-Sicherheit zu befassen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/2f/642f92f4440c07ddac2b4db9ef8f0386/0115033934.jpeg "Zu den technischen Möglichkeiten und Restriktionen für die Gebäude-Automation von Rechenzentren kommen gesetzliche hinzu wie auch Normen. (Bild: frei lizenziert: RavindraPanwar)")
:quality(80)/p7i.vogel.de/wcms/cd/c3/cdc3f7ee22bada55cff0b0fddfdb196c/0115326186.jpeg "„... und wir werden erleben, wie die Leistung von Algorithmen die ihrer Schöpfer übertrifft“, sagt ikhil Malhotra ist Global Head des Makers Lab, einem 'Thin-Q-Bator'-Raum von Tech Mahindra. (Bild: frei lizenziert: deselect )")
:quality(80)/p7i.vogel.de/wcms/46/92/46922439ef659b323d111e056529c79b/0115077772.jpeg "Das Hightech-Unternehmen Quantum Machines zieht es zu Spätzle und Maultschen. (Bild: Q.M Technologies Ltd.)")
:quality(80)/p7i.vogel.de/wcms/3d/be/3dbe66bf152104556edc50b22d6c61b2/0115026945.jpeg "Quantencomputerplattform der nächsten Generation: Atom Computing hat ein atomares Array mit 1.225 Plätzen entwickelt, das derzeit mit 1.180 Qubits bestückt ist. (Bild: Atom Computing)")
:quality(80)/p7i.vogel.de/wcms/f3/da/f3dacd38e5834ae3f3c9d0a4bc9664d3/0113348475.jpeg "Das vom Umweltbundesamt beauftragte Projekt „Public Energy Efficiency Register of Data Centres “ (PeerDC), ist nach Einschätzung der Beteiligten Marina Köhn (UBA), Peter Radgen (IER Uni Stuttgart) und Felix Behrens (Öko-Institut e.V.) ein Erfolg auf ganzer Linie. Das sah DataCenter-Chefredakteurin Ulrike Ostler nach dem DataCenter-Diaries Podcast #16 nicht ganz so rosa. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/f5/90f56ec6cb3ddbdabca2162fd5477836/0113078524.jpeg "(Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/0f/09/0f097990002b7600075e43c92af4a3fd/0110524571.jpeg "(Bild: frei lizenziert/Krystsina Radzewich)")
:quality(80)/p7i.vogel.de/wcms/66/ae/66ae9e32738784b57e2ad8c1a4b0986f/0109756744.jpeg "Eines der in Deutschland befindlichen NTT-Datacenter - in Hattersheim - und das PeerDC-Logo. (Bild: NTT Global Data Centers )")
:quality(80)/p7i.vogel.de/wcms/bb/80/bb80be0c5bd76440174fa8736c0fc68a/0109079523.jpeg "(Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/90/40/904072c10c6cfb25aa589ccdc2b731a0/0105957803.jpeg "Diese bunten Rohrleitungen befinden sich nicht in London, sondern im Kühlraum des Google-Rechenzentrums in Singapur. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/28/91/2891191f43d783185e01b7838e3ae6cd/0105726161.jpeg "Aufnahme aus dem islandischen Rechenzentrum „ICE01 DC“ von Atnorth (Bild: Atnorth)")
:quality(80)/p7i.vogel.de/wcms/53/46/5346a50e5bca503a89be890d8ccafb2f/0105679922.jpeg "2020 hat Envia Tel bereits das dritte Rechenzentrum am Standort Taucha in Betrieb genommen; jetzt wurde noch einmal erweitert. (Bild: Envia Tel)")
IT-Sicherheit in der Rack-Stromversorgung Schwachstellen erkennen und beseitigen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/102100/102109/65.png "VMW_09Q3_LOGO_Corp_K.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/57100/57113/65.jpg "FNT_rgb_300dpi.jpg ()")
Zahlreiche Geräte in Rechenzentren besitzen einen Netzwerkanschluss mit Webinterface oder anderen Netzwerkprotokollen, nicht nur aktive Netzwerkkomponenten, sondern auch Peripheriegeräte wie intelligente PDUs oder KVM-over-IP-Switches. Damit sind sie potentielle Einfallstore und müssen abgesichert werden, wie jede andere Netzwerkkomponente. Am Beispiel von intelligenten Rack-PDUs wird deutlich, wie umfangreich diese Sicherheitsmaßnahmen sein müssen.
In Zeiten des massenhaften Remote Access von Mitarbeitern werden die Netzwerkverantwortlichen peinlich darauf achten, dass der Fernzugriff sicher erfolgt. Doch in einem Rechenzentrum befinden sich mittlerweile unzählige Komponenten mit Netzwerkkarte und verschiedenen Kommunikationsprotokollen. Sie lassen sich remote ansprechen und sind häufig in ein Datacenter-Infrastruktur-Management-(DCIM-)System eingebunden. Damit bieten auch sie sich als Einfallstor in die Unternehmens-IT an.
Passwortschutz alleine reicht nicht
Deshalb müssen diese Komponenten genauso umfassend abgesichert werden wie klassische Netzwerkkomponenten oder Home-Office-Arbeitsstationen. Der reine Passwortschutz reicht hier nicht aus. Die Kommunikation sollte verschlüsselt erfolgen, mit einer sicheren Authentifizierung und einem auf geprüften Zertifikaten basierendem Ident-Management.
Auch ein Firewall-Schutz gehört dazu. Hinzu kommen Aspekte wie sichere Geräte-Einstellungen, regelmäßige Firmware-Updates und natürlich die physische Absicherung. Denn Hacker sind heute große professionelle Expertengruppen mit eigenen Rechenzentren, die bei Angriffen systematisch nach Sicherheitslücken suchen.
Deshalb sollte ein Datacenter-(DC-)Verantwortlicher bei der Auswahl der Komponenten nur Produkte von Herstellern verwenden, bei denen die nötige IT-Security-Expertise vorhanden ist, sodass sich die Produkte möglichst umfassend absichern lassen.
Beispiel intelligente PDUs
Intelligente PDUs (Power Distribution Units) beispielsweise sind in der Regel per Ethernet-Schnittstelle an das Datacenter-Management-System angebunden und besitzen unter anderem ein Web-Interface zur Konfiguration. Sie geben Messwerte aus und melden Alarm bei Überschreitung von Grenzwerten.
Doch die Hersteller sind oft keine Ethernet- und IP-Spezialisten, sondern kommen aus der Welt der Energieverteilung mit Modbus und serieller Kommunikation. Wenn hier nur rudimentäres Wissen zum Thema IT-Security vorhanden ist, geht das zu Lasten der Sicherheit der Produkte.
Verschlüsselung
Da die PDUs in der Regel an das sensible DC-Managementnetz angeschlossen sind, müssen alle Daten, die von den PDUs gesendet oder empfangen werden, mit leistungsfähigen Verfahren verschlüsselt werden. So sollten Verbindungen mit SNMP v3 (Simple Network Management Protocol) AES-verschlüsselt sein in Kombination mit möglichst langen Passwörtern, die in keiner Datenbank abgespeichert sind.
Bei der direkten Betrachtung von Daten über das Webinterface gilt: die meisten Browser unterstützen heute eine 256-Bit-Verschlüsselung. Diese sollte auch angewandt werden. Doch einige PDU-Hersteller setzen immer noch eine 128-Bit-Verschlüsselung ein oder verschlüsseln ihre PDUs gar nicht, sodass der gesamte Datenverkehr, der über die PDUs läuft, mit entsprechenden Tools einfach abgefangen werden kann. Über dieses Einfallstor können Hacker Passwörter stehlen oder zum Beispiel einfach nur die Steckdosen der PDU ausschalten.
Bei Webbrowser-Verbindungen sollte möglichst https und TLS 1.3 mit 256-Bit-Verschlüsselung gewählt werden. Denn TLS 1.3 gewährleistet den verschlüsselten Transport der Benutzer-Anmeldeinformationen von der PDU zum Remote-Authentifizierungsserver. Außerdem sollte der Port 80 deaktiviert sein, um unsichere http-Verbindungen zu unterbinden.
Kommuniziert die PDU über SSH-Verbindungen, wird per Public Key authentifiziert. Dies ist grundsätzlich dringend zu empfehlen und nicht nur, falls die Passwort-Authentifizierung nicht ausreichend oder aufgrund der verwendeten Skripte nicht durchführbar ist. Der Administrator sollte auch das unsichere Telnet-Protokoll immer deaktivieren.
Passwörter
Trotz der vielen verfügbaren Sicherheitsmaßnahmen bleiben Passwörter einer der kritischsten Bereiche der Sicherheit. Deshalb sollte jeder Nutzer und jede IT-Abteilung sorgsam mit den Anmeldedaten (Credentials) umgehen:
- Keine Team-Credentials oder Weitergabe von Credentials
- Einschränkung der mehrfachen gleichzeitigen Verwendung desselben Login-Credentials durch mehrere Clients
- Sichere Passwörter erfordern mindestens acht Zeichen mit Klein- und Großbuchstaben, Zahlen und Sonderzeichen und verbieten die Verwendung der drei vorherigen Passwörter.
- Ein Erzwingen von Passwort-Änderungen stellt sicher, dass das Standardpasswort nach dem ersten Einloggen geändert wird. Standardpasswörter sind der einfachste Weg für Hacker, die Kontrolle über angeschlossene Geräte zu übernehmen.
- Passwörter mit Ablaufdatum stellen sicher, dass die Passwörter regelmäßig geändert werden.
Die letzte Maßnahme begrenzt den Schaden, den ein etwa über Social Engineering an Hacker preisgegebenes Passwort anrichten kann. Doch Passwörter sollten auch nicht zu oft geändert werden, da diese dann gerne auf unsichere Art dokumentiert werden.
Sichere Authentifizierung
Am effizientesten ist eine serverbasierte Authentifizierung. Hier werden die Zugriffsrechte zentral auf einem Radius-Server oder über die Active Directory Domain Services verwaltet. Hier kann es zum Beispiel bei einem Personalwechsel nicht passieren, dass auf einem Gerät noch veraltete Zugriffsrechte aktiv sind.
Falls kein Authentifizierungs-Server verfügbar ist, bieten die meisten Geräte auch eine lokale Authentifizierung an. Diese sollte jedoch so konfiguriert werden, dass dies nur möglich ist, wenn der Authentifizierungs-Server nicht verfügbar ist. Am besten wird jedoch diese Funktion deaktiviert.
Bei der Autorisierung der einzelnen Nutzer sollte man möglichst granular aufgeteilte Benutzerrollen vergeben können. IT-Konfigurationen wie Authentication Settings, Network Settings oder SNMP Settings liegen im Aufgabenbereich des IT-Administrators; die Schwellwert- und Schutzeinstellungen oder die Konfiguration einer angeschlossenen Kamera sollte den jeweiligen Experten überlassen werden. Man kann ja übergreifende Ansichtsrechte vergeben.
Um Distributed-Denial-of-Service(DDoS)-Angriffe abzuwehren, ist es sinnvoll, wenn das System den Zugriff nach einer festgelegten Anzahl von fehlgeschlagenen Anmeldeversuchen abblockt und zudem die Quelle der Login-Versuche protokolliert. Das heißt auch, der Administrator muss für eine PDU die Anzahl der möglichen Versuche und den Zeitraum der Blockierung festlegen können. Zudem sollte das Gerät nicht nur bei Schwellwertüberschreitungen Alarme ausgeben, sondern auch bei sicherheitsrelevanten Ereignissen.
Firewall
Auf Rack-PDUs wird aus verschiedenen Gründen über IP zugegriffen - von der Datenerfassung über kritische Warnmeldungen bis hin zum Schalten der Ausgänge. Bei Systemen und Benutzern, die einen solchen Zugriff aus verschiedenen Segmenten des Unternehmensnetzwerks benötigen, ist es von entscheidender Bedeutung, den unbefugten Zugriff durch entsprechende Maßnahmen zu verhindern. Hierzu kann der Administrator über Regeln für die IP-basierten Zugriffskontrolllisten (IP ACL) bestimmen, ob der Datenverkehr zu und von den PDUs basierend auf der IP-Adresse des sendenden oder empfangenden Hosts akzeptiert oder verworfen wird.
Zusätzlich bietet sich eine rollenbasierte Zugriffskontrolle (RBAC) für die PDUs an. Hier ist die zugeteilte Rolle des jeweiligen Benutzers mit den zugehörigen Autorisierungen entscheidend für den Zugriff.
Zertifikate
Rack-PDUs werden zunehmend auch über öffentliche Netzwerke angesprochen. Dabei schützen gültige Zertifikate vor Man-in-the-Middle-Angriffen. X.509-Zertifikate stellen sicher, dass beide Parteien in einer sicheren Verbindung (TLS) authentifiziert sind. Um dies so effizient wie möglich zu gestalten, sind folgende Vorkehrungen sinnvoll:
CA-Zertifikate sind von öffentlichen und zertifizierten Stellen nach gründlicher Überprüfung der Geschäftstätigkeit des Benutzers ausgestellt und signiert. Idealerweise generiert die PDU-Schnittstelle sogar die Anforderung zur Zertifikatsunterzeichnung zur Vorlage bei Zertifizierungsstellen wie Verisign oder Digi-cert.
Wenn ein CA-Zertifikat nicht als notwendig oder geeignet erachtet wird, kann mit selbstsignierten Zertifikaten gearbeitet werden. Dazu sollte die PDU eine Schnittstelle zur Erzeugung solcher selbstsignierter Zertifikate bieten.
Darüber hinaus sollte der PDU-Hersteller die Meldungen von Zertifizierungsstellen wie US-CERT auf Hinweise auf Sicherheitslücken überwachen und diese möglichst umgehend zum Beispiel über ein Firmware-Update schließen.
:quality(80)/images.vogel.de/vogelonline/bdb/1627100/1627170/original.jpg "(Kentix)")
Interview mit Jan Sanders, Chief Sales Officer der Kentix GmbH
Neuste Trends in der physischen Sicherheit für Rechenzentren
Firmware-Updates
Firmware(FW)-Updates ergänzen die PDU nicht nur um neue Funktionen, sie beheben auch Softwarefehler und schließen Sicherheitslücken. Schon deshalb sollte eine PDU stets auf dem neuesten Firmware-Stand sein. Zudem spart das Zeit bei Support-Anfragen, denn spätestens dann muss die PDU den aktuellen FW-Stand aufweisen. Sollten schon längere Zeit keine Updates mehr durchgeführt worden sein, ist es möglich, dass sich das
Gerät gar nicht mehr updaten lässt, weil dies u. U. schrittweise erfolgen muss und alle benötigten Versionen nicht mehr vom Hersteller online verfügbar sind. Haben die installierten PDUs unterschiedliche FW-Stände kann es zum Beispiel bei kaskadierten Systemen zu Inkompatibilität kommen. Auch bei der Einbindung in Monitoring- oder DCIM-Software könnte das zu Problemen führen.
Ein Backup der PDU-Konfiguration vor der Installation eines FW-Updates erleichtert die Neukonfiguration. Um keine bösen Überraschungen zu erleben, sollte der Administrator zudem vorher die Release Notes lesen und berücksichtigen und gegebenenfalls die neue FW-Version zunächst an einer nicht produktiven PDU testen.
Weitere Sicherheitsmaßnahmen
Rack-PDUs spielen eine entscheidende Rolle bei der Verwaltung der Strominfrastruktur und bei der Steuerung der Stromversorgung sowie bei der Serververwaltung. Daher muss sichergestellt sein, dass wirklich nur explizit autorisierte Systeme und Nutzer darauf zugreifen können. Folgende zusätzlichen Konfigurationen und Maßnahmen sind hier hilfreich:
- Time Out inaktiver Sitzungen
- Enforcing Restricted Service Agreement
- Nutzung fester IP-Adressen statt DHCP
- Variation von Portnummern für beispielsweise SSH, TLS
- IPv6-Unterstützung, auch als Investitionsschutz
- Hersteller nutzt Vulnerability Scanner, um bekannte Sicherheitslücken aufzuspüren; Raritan etwa nutzt den von Nessus
- PDU basiert auf Open Source Software und wird als gehärtetes System betrieben.
Bei einem gehärteten System werden alle nicht benötigten Services mit deren Zugangs-Toren nicht mitkompiliert.
Physische Sicherheit
Die PDU ermöglicht ein Zurücksetzen einschließlich der Anmeldedaten auf die Werkseinstellung wenn man physischen Zugang zur PDU hat. Deshalb ist es wichtig, sich auch über die physische Absicherung Gedanken zu machen.
Damit auch vor Ort kein Unbefugter auf die PDUs zugreifen kann, sollte der Schrank oder der entsprechende DC-Bereich mit einem intelligenten Türschloss ausgestattet sein, bei dem das Einrichten von definierten Wartungsfenstern plus Authentifizierung am Rack möglich ist. Eine Netzwerkkamera ermöglicht beim Öffnen des Schlosses die Protokollierung der Person.
Um Zugriffe auf die Racks nachvollziehen zu können, müssen sämtliche Ereignisse an ein zentrales Managementsystem gemeldet und dort zum Beispiel zusammen mit den zugehörigen Video-Aufzeichnungen gespeichert werden. Bei den intelligenten PDUs der „PX“-Serie von Raritan beispielsweise ermöglichen Sensor-Ports die Integration einer Schranküberwachung, die in ein gängiges DCIM-System eingebunden werden kann.
Weitere Aspekte
Die komplexe Konfiguration einer PDU allein für das Sicherheits-Management kann sehr zeitaufwändig und fehleranfällig sein. Eine Bulk-Konfiguration etwa per USB-Stick beschleunigt den Vorgang und gewährleistet eine korrekte Konfiguration mit den globalen und individuellen Parametern.
Fazit des Autors
Auch die Schnittstellen für die Monitoring-Software sowie Konsolenserver, KVM-over-IP-Switches und Ähnliches mehr müssen in vergleichbarer Weise abgesichert werden. Auch sie sind potentielle Einfallstore für Hacker. Grundsätzlich sollte ein DC-Verantwortlicher nur Technologien mit umfassenden Sicherheitsmechanismen nutzen und diese dann auch möglichst im vollen Umfang einsetzen.
Zudem ist es zum Beispiel für die Schließung von Sicherheitslücken entscheidend, dass der Hersteller Expertise im Bereich Netzwerk/IP und IT-Security nachweisen kann. Damit auch das Personal oder Servicetechniker vor Ort nicht unbefugt auf die IT-Schränke zugreifen können, ist der physische Schutz der Geräte mindestens ebenso wichtig.
* Wolfgang Goretzki leitet das Sales Engineering EMEA bei Legrand Systems. Raritan ist ein Unternehmen der Legrand Group.
(ID:46600660)
:quality(80)/p7i.vogel.de/wcms/7f/87/7f87c8c1bc7b0729c73e25db533144a2/0112580800.jpeg "What a mess! Eigentlich gäbe es die Sicherheitsmechanismen ja, aber auch Schlamperei und vergessene Sicherheitslücken werden zum Einfallstor für Cyber-Kriminelle. (Bild: Eky Rima Nurya Ganda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/b1/eeb144ce51f74416b7b099478320dccb/0113219786.jpeg "Die Autoren Sam Quinn and Jesse Chick haben Stromleisten und eine Software für das Datacenter Infrastructure Management (DCIM) untersucht, um genau zu sein, das Modul für das Energie-Management und haben insgesamt neun Schwachstellen gefunden, mit denen sich ein riesiger Schaden anrichten lässt. (Bild: frei lizenziert: chat-GPT)")