Gegen blinde Flecken

Wie Datacenter-Security zukünftig aussehen sollte

| Autor / Redakteur: Thorsten Rosendahl* / Ulrike Ostler

Einblick ohne Durchblick: Die Komplexität steigt und damit die Gefahr blinder Flecken. Im Rechenzentrum soll nun Encrypted Traffic Analytics (ETA) eingeschleuste Malware identifizieren, ohne Datenpakete entschlüsseln zu müssen.
Einblick ohne Durchblick: Die Komplexität steigt und damit die Gefahr blinder Flecken. Im Rechenzentrum soll nun Encrypted Traffic Analytics (ETA) eingeschleuste Malware identifizieren, ohne Datenpakete entschlüsseln zu müssen. (Bild: gemeinfrei - Hans/Pixabay / CC0)

Egal ob Public, On-Premise oder Hybrid: Moderne Rechenzentren sind dynamischer denn je. Damit einher geht Komplexität, insbesondere in Sicherheitsfragen. Dabei mangelt es nicht an Security-Angeboten von zahlreichen Herstellern. Doch die Herausforderung liegt darin, als Verantwortlicher einen Überblick über die rapide Entwicklung neuer Infrastrukturen, Anwendungen, verteilter Systeme und Endgeräte zu behalten. Doch wie sind blinde Flecken zu vermeiden und die Sicherheit im Rechenzentrum zu gewährleisten?

Die Grundvoraussetzung für ein sicheres Rechenzentrum ist der Dreiklang aus Visibilität, Segmentierung sowie Abwehr von Angriffen – mit dem Ziel eines einfachen, sicheren Datacenter-Managements. Das Paradigma „Viel hilft viel“ führt in puncto Sicherheit im Rechenzentrum jedoch oft zum genauen Gegenteil. Denn genau dort, wo verschiedene Sicherheitslösungen koexistieren, entstehen die Leerstellen, da keine vollständige Abdeckung und Einblicke vorhanden sind.

Gerade Gefahren wie bösartiger Datenverkehr, der sich im „Rauschen“ des Rechenzentrums versteckt, kann dabei leicht übersehen werden – seien es niedrigschwellige und langfristige Angriffe, der Aufbau von Command&Control-Kanälen oder Datendiebstahl. Die Komplexität in der Architektur zu reduzieren, genießt höchste Priorität. Nur durch vollständige Transparenz ist es möglich, die Angriffsfläche zu verringern. Dafür müssen alle „Gewerke“ wie Zahnräder ineinandergreifen.

Das setzt voraus, dass Projektteams mit einem einheitlichen Verständnis an die Analyse bestehender Infrastrukturen herangehen. Unabhängig davon, wo das Rechenzentrum gehostet wird, gilt es unternehmenskritische Informationen zu sichern, Daten zu schützen und Schwachstellen proaktiv zu identifizieren und eliminieren.

Visibilität als Grundpfeiler

Dazu gehören die Übersicht über den jeweils aktuellen Zustand des Rechenzentrums, die Einhaltung der Compliance, geschäftliche und technische Ziele, Visionen, Geschäftsstrategien und Problemstellungen. Zusammen mit dem Wissen über die Stärken und Schwächen bestimmter Kombinationen von verfügbaren Produkt- und Servicelösungen lässt sich dann eine Roadmap entwickeln – im besten Fall entlang des genannten Dreiklanges hin zu einer sicheren Datacenter-Security.

Durch Agenten-basierte Technologie, wie über „Cisco Tetration“ bereitgestellt, kann jeder einzelne Server individuell beobachtet und kontrolliert werden. Dazu gehören auch der Einblick in die Historie und eine Echtzeit-Kontrolle, um jederzeit Abweichungen zu erkennen. Dabei hilft der „Röntgenblick“ dieser Technologie auch bei der Ursachensuche, denn sie macht nicht nur ungewöhnliches Verhalten sichtbar, sondern auch deutlich, durch welchen Prozess oder welche Applikation es ausgelöst wurde.

Unerlässlich ist dabei zudem den Kontext zu verstehen, um bei der Übertragung von Anwendungen und Mikro-Anwendungen beurteilen zu können, ob der jeweilige Datenverkehr schädlich ist. Die steigende Komplexität rührt ferner daher, dass immer mehr Benutzer außerhalb der Unternehmensumgebung arbeiten und dabei auch von mobilen Devices aus auf die Ressourcen zugreifen. Der „Röntgenblick“ muss daher sowohl mit einer 360-Grad- als auch einer Fern-Sicht über den Firmenstandort hinaus kombiniert werden, um tatsächlich vollständige Transparenz in Bezug auf Benutzer, Geräte, Netzwerke, Anwendungen, Workloads und Prozesse herzustellen.

Auf Basis dieser Tiefenanalyse gelingt es auch, Angriffe zu isolieren und weitere Infektionen des Netzwerks zu unterbinden. Und gerade, weil C&C-Angriffe sehr langfristig angelegt sind, reicht es nicht, die Symptome zu kurieren, sondern die Ursache muss bekämpft werden.

Segmentierung und Richtliniendurchsetzung

Nachdem die Transparenz gewährleistet ist, folgt mit der Segmentierung der nächste wichtige Schritt. Sowohl die Segmentierung am Edge als auch die Mikrosegmentierung sind entscheidende Maßnahmen zum Schutz sensibler Daten – und werden gemäß des „Cisco Annual Cybersecurity Report 2017“ doch lediglich von 38 Prozent durchgeführt.

Mikro-Segmentierung des Datacenter

SDDC für eine „Zero-Trust“-Sicherheitsstrategie

Mikro-Segmentierung des Datacenter

11.01.16 - Datacenter haben ihre Abwehrmaßnahmen bisher vorwiegend auf den Perimeter fokussiert. Doch wie die zahlreichen Sicherheitsvorfälle und nicht zuletzt die kürzlich aufgedeckte Backdoor in NetScreen-Firewalls des Sicherheitsspezialisten Juniper Networks verdeutlichen, sind diese bei Weitem nicht unüberwindlich. Neue Ansätze sollen Abhilfe schaffen. lesen

Durch die Segmentierung lassen sich eine rollenbasierte und von der Topologie und Zugriffsart unabhängige Zugriffskontrolle auf Netzwerksegmente und -ressourcen anhand des Kontextes sowie je nach Benutzer, Gerät und Standort gemäß der jeweiligen Sicherheitsrichtlinie erzeugen. So lassen sich die richtigen Zugriffsebenen für die Benutzer und die Auswirkungen von Vorfällen durch eine per Software definierte Segmentierung reduzieren.

Mikrosegmentierung und Whitelists für Anwendungen verhindern laterale Bewegungen von Angreifern im Netzwerk und reduzieren so die Angriffsflächen. Auf Bedrohungen kann zudem in Echtzeit reagiert werden. Durch die zentrale Policy und die Segmentierung des Netzwerks wird darüber hinaus die Einhaltung gesetzlicher Bestimmungen erleichtert. So kann man beispielsweise eine zentrale Policy anwenden und die Teile des Netzwerks, in denen sensible Daten verarbeitet werden, vom Rest der Umgebung abtrennen. Auf diese Weise entsteht eine weitere wichtige Schicht der ganzheitlichen Sicherheitsarchitektur, die ihre volle Leistung in Kombination mit dedizierten Sicherheitslösungen wie „Cisco ACI“, „Identity Services Engine“ (ISE) und Tetration entfaltet.

Gegen Verschlüsselung und Gefahren von innen

Ein nicht unwesentliches Zahnrad im Getriebe der Datacenter-Security ist außerdem der Blick auf den Client beziehungsweise dessen Anwender. Erwiesenermaßen suchen Angreifer sich das schwächste Glied aus, um die Sicherheitskette zu knacken und sich durch diese Persistant Backdoors im Netzwerk bis zum Rechenzentrum voran zu arbeiten.

Dagegen wirken Tools, die sich auf moderne Machine-Learning-Modelle stützen und dadurch bekannte wie künftige Bedrohungen aufdecken, Verbindungen zu gefährlichen Webseiten auf DNS- und IP-Ebene unterbinden, gefährliche URLS auf HTTP/S-Ebene („Cisco Umbrella“, „Cisco Cognitive Threat Analytics“, „Cisco AMP“) abwehren und schädliche Dateien auch in der Cloud erkennen und blockieren.

Der autor des Beitrags ist Thorsten Rosendahl, Cybersecurity Architect bei Cisco.
Der autor des Beitrags ist Thorsten Rosendahl, Cybersecurity Architect bei Cisco. (Bild: Cisco)

Eine zusätzliche Herausforderung stellt der wachsende Trend zur Datenverschlüsselung dar. Der Anteil des verschlüsselten Datenverkehrs liegt laut Cisco Cybersecurity Report 2018 bereits bei rund 50 Prozent. Das macht auch das Rechenzentrum in gewisser Hinsicht blind. Das heute dagegen eingesetzte Konzept der Deep Packet Inspection gerät aus Gründen wie Netzwerkperformance und der mittelfristig immer breiteren Anwendung von TLS 1.3 - sollte Encrypted SNI (Server Name Indication) innerhalb TLS 1.3verabschiedet werden - immer weiter ins Abseits.

Einen neuen Ansatz bietet Encrypted Traffic Analytics (ETA), das eingeschleuste Malware wirksam identifiziert, ohne Datenpakete entschlüsseln zu müssen, sondern anhand des initialen Datenpakets, der SPLT (Sequenz von Paketlängen und Timings) und der Byte Distribution Auffälligkeiten aufdeckt. Ein positiver Nebeneffekt für die Sicherheitsverantwortlichen im Rechenzentrum sind die dabei mitgelieferten Informationen wie beispielsweise die auf die Datenpakete angewandten Verschlüsselungsprotokolle.

Encrypted Traffic Analytics (ETA) im Datacenter ersetzt Deep Packet Inspection

Tief im Rechenzentrumsnetz

Encrypted Traffic Analytics (ETA) im Datacenter ersetzt Deep Packet Inspection

18.07.18 - Die Ära der Netzwerküberwachung auf der Basis von Deep Packet Inspection neigt sich in Rechenzentren ihrem Ende zu. Encrypted Traffic Analytics, kurz ETA, füllt diese Lücke. Um die Gunst der IT-Entscheider buhlen neben dem Platzhirsch Cisco mit „Stealthwatch Enterprise“ auch zwei aufstrebende Spezialisten für das Maschinelle Lernen. lesen

Die Erkennung basiert auf der Metadaten-Analyse der eingehenden Datenpakete und komplexen Berechnungen (Supervised Machine Learning) aus Milliarden von Datenpunkten mit globaler Visibilität. Obwohl ETA aufgrund seiner Beschaffenheit nicht direkt im Datacenter, sondern zum Schutz der Clients eingesetzt wird, profitiert von den dort gewonnen Erkenntnissen zur IT-Sicherheit auch der Rechenzentrumsbetrieb; denn auf diese Weise werden alle ins Internet abfließenden Verbindungen begutachtet. Damit ist ETA in Zukunft eine wertvolle Basis-Komponente im Getriebe der skizzierten Dreiklang-Struktur einer nachhaltigen Datacenter-Security.

* Thorsten Rosendahl ist Technical Solutions Architect Cybersecurity bei Cisco.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45618315 / Software)