Wissen Sie noch, was vor einem Jahrzehnt passiert ist? Obwohl 2011 gar nicht so lange her zu sein scheint (Sie erinnern sich bestimmt an die königliche Hochzeit, die Scheidung von Kim Kardashian und natürlich an den berüchtigten Ausraster von Charlie Sheen), hat sich in 10 Jahren doch sehr viel verändert. In den meisten Rechenzentren wurde damals gerade erst mit Virtualisierung experimentiert. Erinnern Sie sich noch an die Zeit, als Virtualisierung nur für eine Handvoll unwesentlicher Workloads als sicher erachtet wurde? Heute ist ungefähr die Hälfte der Server weltweit virtualisiert und es geht um viel mehr als nur Virtualisierung. Beinahe jedes Enterprise-Rechenzentrum hat sich zu einer Hybridumgebung mit einer Mischung aus physischen und virtuellen Storage- und Computing-Ressourcen entwickelt. Container und ihre unterstützenden Technologien fassen allmählich Fuß. Und selbstverständlich ist Cloud Computing nun in sämtlichen Bereichen des Enterprise Computing allgegenwärtig.
Die geschäftlichen Vorteile eines modernen Software-Defined Datacenter sind zahlreich, insbesondere im Hinblick auf Ressourceneffizienz und Kosteneinsparungen. Jedoch hat sich zweifelsohne auch die Komplexität erhöht, da dieselben Ressourcen (Computing, Storage, Switching, Routing) nach wie vor benötigt werden und diese nun in beliebiger Anzahl On-Premises oder in der Cloud bereitgestellt werden. Neben dem Aufrechterhalten von Konnektivität, Erfüllen von Performance-Anforderungen und Schritthalten mit geschäftlichen sowie technologischen Veränderungen stellt das Management moderner Rechenzentren eine echte Herausforderung dar. Und dabei wurde noch nicht einmal die dringlichste Herausforderung der Vorstandsetagen, Führungskräfte und IT-Fachleute diskutiert – die Sicherheit.
Im Folgenden werden einige Sicherheitsherausforderungen für moderne Rechenzentren aufgezeigt:
1. Kein Schutz ohne Transparenz
Zunächst geht es um das Thema Transparenz. In einem kürzlich stattgefundenen Webinar mit Omdia wurde der Lebenszyklus für Cyber-Security-Abläufe erläutert, der verschiedene Schritte für effektive SecOps-Prozesse umfasst. Wie in Rechenzentren beginnt auch bei diesem Lebenszyklus alles mit Transparenz. Letzten Endes können Sie Ihre Umgebung nicht schützen, wenn Sie sie nicht verstehen. Rechenzentrumstransparenz erfordert zuverlässige Echtzeitinformationen zu Workloads, Anwendern, Geräten und Netzwerken sowie Sensibilisierung im Hinblick auf sich verändernde Zustände, eskalierende Risiken oder neue Bedrohungen. Insbesondere während und hoffentlich bald auch nach der Pandemie sehen
Sie sich höchstwahrscheinlich einer hochgradig verteilten Anwenderbasis gegenüber, die im Grunde genommen dauerhaft über Remote-Standorte auf Rechenzentrumsressourcen zugreift.
Angesichts dessen stellt sich folgende Frage: Wie viele Unternehmen können mit 100-prozentiger Sicherheit sagen, dass sie über eine angemessene Rechenzentrumstransparenz verfügen? Falls Sie das nicht können, sollten Sie sich fragen, ob Sie Ihren Sicherheitsplan erfolgreich umsetzen. Denn letztendlich gilt: je weniger Transparenz, desto mehr Sicherheitslücken.
2. Kein Patentrezept für Anwendungssicherheit
Dann wäre da noch die Anwendungssicherheit. Dieses Thema hätte
eigentlich einen eigenen Blog verdient. Sicherheitskontrollen innerhalb Ihrer Anwendungen und um diese herum sind unerlässlich. Dafür sind unterschiedliche Ansätze erforderlich, je nachdem, ob es sich um herkömmliche On-Premises- oder SaaS-Anwendungen handelt. Darüber hinaus stellt das Schritthalten mit Richtlinienanforderungen für Ihre Anwendungen eine fortlaufende Herausforderung dar. Viele Anwendungen werden zunehmend komponentisiert. Aufgrund dessen müssen Sie auf DevSecOps-Prozesse zurückgreifen und damit gewährleisten, dass Sicherheit in die Instanzen integriert ist, die containerbasierte oder gar serverlose Anwendungsfunktionen unterstützen.
3. Die einzige Konstante ist Veränderung – Schnelle Veränderung
Als Nächstes geht es um das steigende Veränderungstempo. Es mag etwas klischeehaft klingen, doch fast jedes Unternehmen durchläuft eine Art von digitaler Transformation. Dazu gehört in unterschiedlichem Maße auch ein erheblicher IT-Infrastrukturwandel. Doch das kleine schmutzige Geheimnis der digitalen Transformation liegt darin, dass damit ein dauerhaft beschleunigtes Veränderungstempo einhergeht: mehr Cloud-Infrastruktur, mehr SaaS, mehr Containerisierung. Und in diesem Jahrzehnt werden Sie es außerdem noch mit Herausforderungen wie IoT und 5G zu tun bekommen. Dies bedeutet einen exponentiellen Anstieg von Geräten, die sich mit Ihrem Rechenzentrum verbinden und Daten einspeisen. Technologien für Rechenzentrumssicherheit müssen sich daher auf einen richtlinienbasierten, automatisierten Ansatz konzentrieren, der dem stetig zunehmenden Veränderungstempo gewachsen ist.
4. Explodierendes East-West-Traffic-Volumen – Ein Paradies für Hacker
Eine spezifische Herausforderung bezieht sich auf den East-West-Traffic.
Mit der Weiterentwicklung von Rechenzentren ist der East-West-Traffic innerhalb von Rechenzentren sprunghaft angestiegen. Kompaktere, effizientere Rechenzentren umfassen mehr Workloads, die mehr Netzwerkdatenverkehr produzieren. In den meisten Unternehmen weist der East-West-Traffic mittlerweile ein deutlich höheres Volumen als der North-South-Traffic auf, der das Rechenzentrum passiert. Und nur weil East-West-Traffic Ihr Rechenzentrum nicht physisch verlässt, bedeutet das nicht, dass er vertrauenswürdig ist.
East-West-Traffic ist ein Traumszenario für Angreifer, die eine böswillige laterale Ausbreitung verschleiern möchten. Dies stellt wohl die größte Sorge in modernen Rechenzentrumsumgebungen dar. Denken Sie über das gängigste Szenario nach, das üblicherweise zu einer lateralen Ausbreitung führt. Es ist der Diebstahl gültiger Anmeldedaten. Situationen, in denen sich Angreifer mithilfe von zulässigen Anmeldedaten bei Systemanwendungen authentifizieren können, erfordern Kontrollen auf Netzwerkebene, um bösartigen Datenverkehr zu identifizieren und zu verhindern, dass dieser Ihr Netzwerk durchquert und Eindringversuche noch verschlimmert. So gesehen bestehen keine Zweifel, dass der East-West-Traffic im Wesentlichen der neue Netzwerkperimeter ist.
Eine neue Art von Firewall
Eines liegt deutlich auf der Hand: Wo ein Netzwerkperimeter ist, muss auch eine Firewall vorhanden sein. Infolgedessen benötigen Unternehmen nun Firewalling-Funktionen innerhalb ihrer Rechenzentren. Jedoch funktionieren herkömmliche Perimeter-Firewallansätze nicht zwangsläufig auch bei East-West-Traffic. Dies wird nun ausführlicher erläutert.
Rechenzentrumstopologie als Problem
Besonders in Software-Defined Datacenter-Umgebungen ist es unter Umständen nicht möglich, virtuelle Firewalling-Funktionen zwischen alle Workloads zu integrieren. Außerdem ist es nicht effizient, East-West-Traffic zum Standort dedizierter Firewalls zu leiten. Dies führt dazu, dass physische Engpässe unnötigerweise in virtuellen Umgebungen entstehen, wodurch die Vorteile des effizienten, flexiblen Software-Defined-Modells zunichtegemacht werden. Berücksichtigen Sie darüber hinaus die Art und Weise, wie Firewalls Datenverkehr kontrollieren, sowie die entsprechenden Datenverkehrstypen. Am Perimeter blockieren Sie hauptsächlich spezifische Ports und Protokolle sowie IP-Adressbereiche. Mit Firewalls der nächsten Generation hingegen kontrollieren Sie Datenverkehr basierend auf Anwendungstypen und Anwendergruppen. Das ist gut so, jedoch müssen die Kontrollen im East-WestKontext deutlich detaillierter sein. Eine einzelne Anwendung hat viele verschiedene Funktionen, z.B. Web-, Anwendungs- und Datenbankschichten. Sie alle benötigen unterschiedliche Kontrollen. Ihre Firewall muss neben Datenverkehr und Anwendungen auch die jeweiligen Anwendungskomponenten sowie die Geschäftslogik nachvollziehen können, um zu definieren, welche Kommunikationen zulässig sind.
Verschlüsselter Datenverkehr
Bei verschlüsseltem Workload-Datenverkehr führen das Entschlüsseln, Überprüfen und erneute Verschlüsseln der Pakete zu einem massiven Overhead und der Datenverkehr ist oftmals nicht realisierbar. Allerdings können Sie diesen Datenverkehr auch nicht einfach ignorieren, da Sie nicht wissen, was er enthält.
Deshalb benötigen Sie East-West-Firewalling-Funktionen, was jedoch nicht heißt, dass Sie die herkömmlichen Einschränkungen physischer und virtueller Firewalls hinnehmen müssen. Es gibt noch einen anderen Weg. Und dieser führt Sie zum Konzept virtueller Perimeter oder genauer gesagt, Mikrosegmentierung.
Der virtuelle Perimeter: Altes Konzept, neuer Ansatz
Mikrosegmentierung beschreibt den Einsatz von Software und Richtlinien, um detaillierte Netzwerksegmentierung auf Anwendungs- und Workload-Ebene zu implementieren. Es handelt sich um kein völlig neues Konzept, doch viele Unternehmen müssen es erst noch umsetzen. Obwohl Mikrosegmentierung viele Funktionen herkömmlicher Firewalls umfasst, verschleiert sie Firewalling in einer Funktion innerhalb virtueller Instanzen. Anders ausgedrückt: Sicherheitskontrollen werden auf Workload-Ebene integriert. Für Rechenzentrumsfirewalls ist das ein wesentlicher Schritt nach vorne. Künftig wird sich Firewalling zunehmend von zweckgebundenen physischen und virtuellen Appliances zu einer in Anwendungen, Workloads oder Containern integrierten Funktion entwickeln.
Rechenzentrumssicherheit: Mehr Einfachheit und Effizienz
In den meisten Unternehmen zählt Cyber-Security zu den wichtigsten Geschäftsprioritäten, jedoch muss Sicherheit ein Business Enabler sein. Sicherheitsexperten, die schon lange in diesem Bereich arbeiten, wissen, dass die Führungsebene Worst-Case-Szenarien vermeiden möchte. Gleichzeitig darf der Geschäftsbetrieb nicht durch Sicherheitsarchitekturen beeinträchtigt werden, die Mitarbeiter, Prozesse, Technologien und Innovationen ausbremsen.
Einer der Vorteile von Microservices und funktionsbasiertem Firewalling besteht darin, dass es deutlich einfacher wird, Sicherheit in Geschäftsprozesse zu integrieren, auch wenn sich diese Prozesse schnell anpassen und verändern. Sehen Sie sich das herkömmliche virtuelle Firewallmodell auf der linken Seite der nachstehenden Abbildung an. Die einzige Option ist es, virtuelle Firewallinstanzen zwischen verschiedene Workloads und Workload-Gruppen einzufügen. Firewallanbieter werden Ihnen sagen, dass Sie für eine ordnungsgemäße Netzwerksegmentierung zahlreiche Firewalls benötigen. Das ist keine große Überraschung. Dieses Modell ist jedoch kompliziert bereitzustellen und zu verwalten. Es ist ineffizient, kaum kostengünstig und für die geschäftliche Agilität sicherlich nicht förderlich.
Auf der rechten Seite der Abbildung sehen Sie ein Modell mit Mikrosegmentierung. Es umfasst dieselben Firewallfunktionen, allerdings sind diese in die einzelnen Workloads integriert. Sie verfügen über eine entsprechende Richtlinie, die die Firewall- und weitere Netzwerksicher-heitseinstellungen festlegt. Sicherheitsrichtlinien werden bereits bei der Workload-Erstellung implementiert.
Aus Business-Sicht ist die direkte Integration von Sicherheitsfunktionen in wichtige Rechenzentrumsressourcen mit einem hohen Mehrwert verbunden. Mit dieser Art von richtlinienbasierter Mikrosegmentierung lassen sich die entsprechenden Sicherheitskontrollen bei der Workload-Bereitstellung einrichten. Sie können die laterale Ausbreitung von Bedrohungen verhindern, Anwendungsdatenverkehr einschränken und von sämtlichen Vorteilen des Zero-Trust-Zugriffs profitieren. Darüber hinaus können Sie sich die zusätzlichen Firewall-Sicherheitsfunktionen zunutze machen, z.B. IDS/IPS, Netzwerkdatenverkehrsanalysen und virtuelles Patching.
Fazit: Firewalling verschwindet nicht
Lassen Sie sich nicht erzählen, dass Firewalling verschwindet, insbesondere im Hinblick auf Rechenzentren. Sie benötigen nach wie vor Firewallkontrollen. Jedoch machen herkömmliche Standalone-Firewallinstanzen zunehmend den Weg für funktionsbasiertes Firewalling frei. Es ist an der Zeit, sich eingehender mit der Funktionsweise dieser Technologien und den Vorteilen für Ihr Unternehmen zu beschäftigen.
Ich lade Sie herzlich zum On-Demand-Webinar Die Zukunft von Rechenzentrumsfirewalls ein, um tiefer in das Thema einzutauchen und zu erfahren, wie die Technologie in Ihrer Umgebung funktioniert. Anhand von praxisorientierten Erfahrungsberichten zur Rechenzentrumstransformation erläutert Ihnen der Director of Solution Engineering and Design for Core IT Infrastructure den Weg von VMware zu diesem neuen Ansatz für Rechenzentrumssicherheit. Überzeugen Sie sich selbst in diesem Webinar.
Erfahren Sie mehr über VMware NSX Service-defined Firewall oder lesen Sie in diesem Blogbeitrag wie VMware sich zu einem führenden Anbieter von Cybersicherheitslösungen entwickelt.
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn, Youtube & Podcast