Aufrufe
vor 1 Jahr

01 | 2017 public

  • Text
  • Digitale
  • Microservices
  • Verwaltung
  • Hypervisor
  • Umgebungen
  • Informationstechnologie
  • Digitalen
  • Nutzung
  • Projekt
  • Zeit
Gesellschaft und digitale Transformation

den haben sich

den haben sich Sicherheitsstrategien bewährt, die vielfältige Technologien auf mehreren Schichten einsetzen. Sie adressieren alle bekannten Angriffsrichtungen und werden in einem ständigen Revisionsprozess auf Effektivität und Effizienz überprüft. Eine solche Taktik eignet sich auch für virtualisierte Umgebungen, wobei neben der Härtung der einzelnen Systeme, das heißt der VMs, und der Absicherung der Netze auch der Hypervisor geschützt werden muss. Sichere VMs, Storage und Netze Sicherheitsmaßnahmen für VMs umfassen neben dem Einsatz üblicher Schutztechnologien (Software-Firewall, Virenschutz, Zugriffsschutz durch Verschlüsselung und Authentisierung, Integritätsprüfungen, Backup …) auch virtualisierungsspezifische Aspekte, zum Beispiel eine Integritätsprüfung der Images für die Betriebssysteme der VMs. Sicherer Hypervisor Schwachstellen können bei komplexer Software mit umfangreicher Codebasis praktisch nicht vermieden werden. Daher gilt: Je knapper und einfacher der Quellcode ist, desto schwieriger ist es für Angreifer, Schwachstellen darin zu entdecken. Bei der Beschaffung der Software soll berücksichtigt werden, inwiefern die Hersteller auf eine reduzierte Angriffsoberfläche achten, ob sie aktiv nach Schwachstellen forschen und Patches zeitnah bereitstellen. Mittlerweile sind spezielle Virtualisierungslösungen erhältlich, die den Zugriff auf das Kernel des Hypervisors erheblich einschränken oder den Programmcode in Vertrauensschichten, sogenannte layers of trust, fragmentieren. Anwender können Risiken begegnen, indem sie den Hypervisor sicher konfigurieren. Dabei deaktivieren sie nicht benötigte Hypervisor-Funktionalitäten, sorgen für eine klare Separierung der Netzwerke verschiedener Mandanten mithilfe von VLANs und insbesondere des sogenannten Management-Traffic, dem Datenstrom zur Administration einer virtualisierten Plattform. Darüber hinaus definieren und implementieren sie ein restriktives Berechtigungskonzept. Die Integrität der Kommunikation zwischen Hypervisor und VMs kann mithilfe von Tools zur „control flow integrity“ (CFI) sichergestellt werden: CFI prüft, ob die Ausführung eines Programms einem vorgeschriebenen Prozess, dem sogenannten control flow graph (CFG), folgt. Bei einer Abweichung vom CFG wird das Programm sofort angehalten. Die herausragende Stellung des Hypervisors kann als Chance für Sicherheit begriffen werden: Speziell für virtualisierte Umgebungen entwickelte IDS erkennen Anomalien im Verhalten der überwachten Systeme und entdecken auch dort Kompromittierungen. Firewalls, Überwachungs- und Protokollierungstools können auf den gesamten virtualisierten Verbund skaliert werden. Gleichzeitig erzeugen sie Analysedaten, die das IDS für eine Angriffserkennung nutzen kann. Ferner sind manche Virenscanner auf virtualisierte Umgebungen zugeschnitten. Lösungen in diesem Bereich lassen sich unter dem Begriff „virtual machine introspection“ zusammenfassen. Migrierte Daten sollten vor, während und nach der Migration vertraulich und integer bleiben. Um Datenremanenz zu verhindern, müssen am „alten“ Ort verbleibende Daten verlässlich entfernt werden. Bekannte Mechanismen wie Authentisierung, Autorisierung, Verschlüsselung und Zoning dienen auch dazu, virtualisierten Storage angemessen abzusichern. Auch wenn die Isolation von VMs ein zentrales Leistungsmerkmal des Hypervisors ist, empfiehlt sich eine zusätzliche Segmentierung in mehrere virtuelle Netze gemäß dem Schutzbedarf der Daten der Anwendungen auf den jeweiligen VMs. Dazu dienen neben den Zugangskontrolllisten der Firewalls und Router auch spezielle Konfigurationsparameter, die in sogenannte Inline-Appliances im Hypervisor oder an virtualisierten Netzwerkkomponenten zur Verfügung stehen. Die dem Schutzbedarf angemessene Konfiguration, Segmentierung und Überwachung virtueller Maschinen, Netzwerke und Speicher stellt einen wichtigen Sicherheitsaspekt dar. Sicherheitsprodukte Es gibt spezielle Produkte, die die Sicherheitsanforderungen von virtualisierten Umgebungen umsetzen. Diese stellen verschiedene Sicherheitsfunktionen wie zum Beispiel IDS, Monitoring, Logging, Deep Packet Inspection (DPI) und Virenscanner bereit. Die Produkte werden zentral beispielsweise als Virtual Appliance in der virtualisierten Umgebung betrieben und bieten Schutz für alle virtuellen Maschinen auf einem Hypervisor. Im Fall von Virenscannern sind Produkte verfügbar, die zusätzlich Agenten auf den virtuellen Maschinen installieren, um weitere Erkennungsmöglichkeiten von Viren und Malware zu bieten (zum Beispiel Programmkontrolle, Zugriff auf Speicher und Prozesse). Vorteile dieser Produkte sind eine geringe Ressourcenbeanspruchung und die Möglichkeit der zentralen Administration. 28 | .public 01-17 | Informationstechnologie

Sichere Prozesse Fazit Informationssicherheit muss ein grundlegendes Kriterium bei Planung, Beschaffung, Installation, Konfiguration, Betrieb und Änderung der IT-Architektur in der öffentlichen Verwaltung sein. Die Prozesse, die zur Informationssicherheit in virtualisierten Umgebungen beitragen, unterscheiden sich nur in zwei Arbeitsfeldern von den Prozessen in klassischen Verbünden: Erstens erfordert die zentrale Position des Hypervisors als Dreh- und Angelpunkt einen reibungslosen Patch- und Änderungsmanagementprozess. Zweitens verlangt der Einsatz einer virtualisierten Umgebung ihre möglichst unterbrechungsfreie Verfügbarkeit (Cloud Resiliency): Effiziente Notfallprozesse müssen dafür sorgen, dass die Systeme auch im Störungsfall erreichbar und funktional sind. Das wird zum Beispiel durch Redundanz oder durch die automatisierte Migration einer nicht vertrauenswürdigen VM in ein von der Produktivumgebung abgetrenntes virtuelles Netz erreicht. Virtualisierte Umgebungen und deren stetige technische Weiterentwicklung stellen neue Herausforderungen an die IT-Sicherheit von Behörden. Daher müssen eigene und zusätzliche Sicherheitskonzepte und -maßnahmen für den Einsatz von virtualisierten Umgebungen erstellt und umgesetzt werden. Nur so kann eine ausreichende Informationssicherheit gewährleistet werden.• Ansprechpartner – Jens Westphal Abteilungsleiter IT-Sicherheitsexperte Public Sector Solutions Consulting Informationssicherheitsmanagementsystem (ISMS) Das Etablieren von Sicherheitsprozessen ist nicht einfach: Sie stehen oft im Zielkonflikt mit Funktionalität, Benutzerfreundlichkeit und manchmal auch mit der Verfügbarkeit der Ressourcen, sodass hier eine stetige Abwägung getroffen werden muss. Außerdem erfordert Informationssicherheit Wissen und Knowhow sowie zeitliche, personelle und finanzielle Ressourcen. Die Absicherung von virtualisierten Umgebungen erfordert mehr Expertise und höhere Investitionen, ist jedoch durch die beschriebenen Risiken in hohem Maße gerechtfertigt. Gerade virtualisierte Umgebungen benötigen daher ein ISMS, das alle Anwendungen, Systeme, Verbindungen und deren Abhängigkeiten erfasst. Der Schutzbedarf muss für die dort erzeugten, verarbeiteten und genutzten Informationen festgestellt werden, wobei die Angemessenheit im Mittelpunkt der Erwägungen steht. Das ISMS unterstützt bei der Planung, Umsetzung und Kontrolle von Schutzmaßnahmen und etabliert einen kontinuierlichen Sicherheitsprozess. Dieser prüft die Wirksamkeit der getroffenen Maßnahmen vor dem Hintergrund des rapiden technologischen Fortschritts und sich wandelnder Umweltbedingungen – aus denen neue Bedrohungen und Risiken, aber auch Chancen entstehen können. Empfehlenswert ist es, das ISMS durch einen unabhängigen Gutachter bewerten zu lassen beziehungsweise eine Zertifizierung des IT-Verbundes gemäß dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) anzustreben. Informationstechnologie | .public 01-17 | 29

msg

01 | 2018 public
02 | 2017 public
01 | 2017 public
02 | 2016 public
01 | 2016 public
02 | 2015 public
01 | 2015 public
01 | 2014 public
01 | 2014 msg systems study
01 | 2015 msg systems Studienband
Future Utility 2030
Lünendonk® Trendstudie
Digitale Transformation | DE
Digital Transformation | EN
DE | inscom 2014 Report
EN | inscom 2014 Report

msgGillardon

02 | 2018 NEWS
03 | 2016 NEWS
02 | 2016 NEWS
01 | 2016 NEWS
03 | 2015 NEWS
02 | 2015 NEWS
01 | 2015 NEWS
02 | 2014 NEWS
01 | 2014 NEWS
02 | 2013 NEWS
01 | 2012 NEWS
02 | 2011 NEWS
01 | 2010 NEWS
MaRisk
01 | 2017 banking insight
01 | 2015 banking insight
01 | 2014 banking insight
01 | 2013 banking insight
01 | 2012 banking insight
02 | 2011 banking insight
01 | 2011 banking insight
01 | 2010 banking insight
2018 | Seminarkatalog | Finanzen

Über msg



msg ist eine unabhängige, international agierende Unternehmensgruppe mit weltweit mehr als 6.000 Mitarbeitern. Sie bietet ein ganzheitliches Leistungsspektrum aus einfallsreicher strategischer Beratung und intelligenten, nachhaltig wertschöpfenden IT-Lösungen für die Branchen Automotive, Banking, Food, Insurance, Life Science & Healthcare, Public Sector, Telecommunications, Travel & Logistics sowie Utilities und hat in über 35 Jahren einen ausgezeichneten Ruf als Branchenspezialist erworben.

Die Bandbreite unterschiedlicher Branchen- und Themenschwerpunkte decken im Unternehmensverbund eigenständige Gesellschaften ab: Dabei bildet die msg systems ag den zentralen Kern der Unternehmensgruppe und arbeitet mit den Gesellschaften fachlich und organisatorisch eng zusammen. So werden die Kompetenzen, Erfahrungen und das Know-how aller Mitglieder zu einem ganzheitlichen Lösungsportfolio mit messbarem Mehrwert für die Kunden gebündelt. msg nimmt im Ranking der IT-Beratungs- und Systemintegrationsunternehmen in Deutschland Platz 7 ein.


© 2018 by msg systems ag - powered by yumpu Datenschutz | Impressum