close

CeBIT 2015: Fujitsu stellt „Stealth Data Center“ vor

Geschätzte Lesezeit: 5 Minuten

Vor etwa zwei Stun­den konn­ten wir der Pres­se im Rah­men der CeBIT High­light-Tour unser neu­es „Ste­alth Data Cen­ter“ prä­sen­tie­ren – ein neu­es Sicher­heits­kon­zept für das Rechen­zen­trum. Ein paten­tier­tes Ver­fah­ren sorgt dafür, dass der­zeit bekann­te Angriffs­me­tho­den ins Lee­re lau­fen. Dies gilt sowohl für Port­scans als auch für geziel­te Angrif­fe auf ein­zel­ne Diens­te. Durch die neue Tech­no­lo­gie ist das Rechen­zen­trum für Angrei­fer nicht ansprech­bar und des­we­gen nicht angreif­bar. Berech­tig­te Anwen­der kön­nen sich dage­gen wei­ter­hin bei­spiels­wei­se per her­kömm­li­chem Vir­tu­al Pri­va­te Net­work (VPN) anmelden.

Wir dan­ken hier­mit allen Pres­se­ver­tre­tern, Kame­ra­teams und Jour­na­lis­ten für die zahl­rei­che Teil­nah­me und das rege Inter­es­se an die­sem sehr aktu­el­len Thema.

 

Hannover/München, 14. März 2015 – Auf der CeBIT prä­sen­tiert Fuji­tsu mit dem „Ste­alth Data Cen­ter“ ein neu­es Sicher­heits­kon­zept für das Rechen­zen­trum. Ein paten­tier­tes Ver­fah­ren sorgt dafür, dass der­zeit bekann­te Angriffs­me­tho­den ins Lee­re lau­fen. Dies gilt sowohl für Port­scans als auch für geziel­te Angrif­fe auf ein­zel­ne Diens­te. Durch die neue Tech­no­lo­gie ist das Rechen­zen­trum für Angrei­fer nicht ansprech­bar und des­we­gen nicht angreif­bar. Berech­tig­te Anwen­der kön­nen sich dage­gen wei­ter­hin bei­spiels­wei­se per her­kömm­li­chem Vir­tu­al Pri­va­te Net­work (VPN) anmelden.

Neue Sicher­heits­rack-Lösung schützt vor unbe­rech­tig­tem Daten­zu­griff von innen
Schutz vor unbe­rech­tig­tem Daten­zu­griff auch inner­halb eines Unter­neh­mens bie­tet die neu­ar­ti­ge Sicher­heits­rack-Lösung von Fuji­tsu. Wie ein Safe ver­hin­dert das ver­stärk­te Gehäu­se phy­si­sche Angrif­fe auf die IT-Sys­te­me, wie etwa den Dieb­stahl von Fest­plat­ten oder den Ein­bau von Spio­na­ge-Hard­ware. Eine inte­grier­te Steu­er­ein­heit über­wacht mit­tels ver­schie­de­ner Sen­so­ren das Rack und öff­net bei­spiels­wei­se die Türen nur, wenn sich Admi­nis­tra­to­ren authen­ti­fi­zie­ren kön­nen. Zum Ein­satz kom­men dabei unter ande­rem eine bio­me­tri­sche Zugriffs­kon­trol­le per Infra­rot-Hand­ve­nen­scan (Palm­Se­cu­re) und ein Mehrau­gen-Prin­zip. Das sorgt auch für einen umfas­sen­den Schutz der Admi­nis­tra­to­ren vor unge­recht­fer­tig­ten Ver­däch­ti­gun­gen, weil ein durch­ge­hen­des Moni­to­ring und damit eine Audi­tier­bar­keit – zum Bei­spiel nach ISO 27000 – gege­ben ist.

Ein­fa­che Inte­gra­ti­on und umfas­sen­der Investitionsschutz
Die Sicher­heits­rack-Lösung hat die Abmes­sun­gen eines Stan­dard-Racks mit 42 Höhen­ein­hei­ten und 120 cm Tie­fe und lässt sich zudem per Soft­ware pro­blem­los in bestehen­de Rechen­zen­trums­um­ge­bun­gen inte­grie­ren. In den obe­ren, voll­stän­dig sepa­rat gesi­cher­ten sie­ben Höhen­ein­hei­ten befin­det sich die Steu­er­ein­heit, die rest­li­chen 35 Höhen­ein­hei­ten bie­ten Platz für Ser­ver­sys­te­me. Dabei kön­nen her­kömm­li­che Gerä­te ver­wen­det wer­den, was eine Wei­ter­be­nut­zung bereits bestehen­der IT-Sys­te­me ermög­licht und für nied­ri­ge Inves­ti­ti­ons­kos­ten sorgt.

Wich­ti­ger Schritt auf dem Weg zu umfas­sen­der IT-Sicherheit
Fuji­t­sus neue Sicher­heits­rack-Lösung ist eine wich­ti­ge Kom­po­nen­te des umfas­sen­den Sicher­heits­kon­zep­tes, das das Unter­neh­men im Rah­men sei­nes For­schungs- und Ent­wick­lungs­pro­jekts „Digi­ta­le Sou­ve­rä­ni­tät“ in Augs­burg, Mün­chen und Pader­born vor­an­treibt: Das Ziel ist eine mani­pu­la­ti­ons­si­che­re und audi­tier­ba­re Ende-zu-Ende-Ver­schlüs­se­lung für den Betrieb von (bestehen­den) Appli­ka­tio­nen. Die Ver­schlüs­se­lung reicht dabei vom End­ge­rät über die Daten­über­tra­gung bis hin zu den Ser­vern im Rechen­zen­trum, den Spei­cher­sys­te­men und zum Back­up. Sen­si­ble Anwen­dun­gen und Daten wer­den so voll­stän­dig vom Rest der bestehen­den IT abge­kap­selt. Ein modu­la­rer Auf­bau des Kon­zepts ermög­licht es, das Schutz­ni­veau ent­spre­chend der jewei­li­gen Anfor­de­run­gen zu realisieren.

Abge­stuf­te Sicher­heits­ni­veaus möglich
Bereits der allei­ni­ge Ein­satz des Sicher­heits­racks sorgt für eine deut­li­che Ver­bes­se­rung des Schutz­ni­veaus und bie­tet sich sowohl für Rechen­zen­tren – etwa im Uni­ver­si­täts- und For­schungs­um­feld – als auch für den Ein­satz in mit­tel­stän­di­schen Unter­neh­men an. Die­sen erleich­tert es bei­spiels­wei­se, gefor­der­te Sicher­heits­au­di­tie­run­gen erfolg­reich zu bestehen. Zudem eröff­net das optio­na­le Kon­zept des Mehrau­gen­prin­zips neue Mög­lich­kei­ten bei der Zusam­men­ar­beit mit IT-Dienst­leis­tern: So kann bei sen­si­blen Sys­te­men vor­ge­schrie­ben wer­den, dass Admi­nis­tra­to­ren des Dienst­leis­ters nur Zugriff auf sie bekom­men, wenn die­ser vom Kun­den auto­ri­siert wird. Eine durch­ge­hen­de Pro­to­kol­lie­rung der Zugrif­fe des Admi­nis­tra­tors am Rack macht die­se zudem jeder­zeit nachverfolgbar.

Ers­te Prä­sen­ta­ti­on zur erwei­ter­ten Client-Sicherheit
Neben dem „Ste­alth Data Cen­ter“ und der Sicher­heits­rack-Lösung stellt Fuji­tsu auf der CeBIT auch sein erwei­ter­tes Kon­zept zur End­ge­rä­te-Sicher­heit vor. Dort sor­gen gekap­sel­te Anwen­dun­gen dafür, dass die Ver­ar­bei­tung der Anwen­dungs­da­ten getrennt („abs­tra­hiert“) von Betriebs­sys­tem und Hard­ware des End­ge­rä­tes erfolgt. Die gekap­sel­ten Anwen­dun­gen wer­den im Rechen­zen­trum aus­ge­führt und über eine ver­schlüs­sel­te Ver­bin­dung zur Ver­wen­dung am Cli­ent über­tra­gen. Um vor dem Abgrei­fen und der Mani­pu­la­ti­on von Anwen­dungs­da­ten zu schüt­zen, wird der Spei­cher des End­ge­rä­tes zusätz­lich über­wacht und bei einer Unre­gel­mä­ßig­keit Alarm aus­ge­löst. Auch Maß­nah­men zur Abwehr von mög­li­chen Angrif­fen – bei­spiels­wei­se durch das Mit­le­sen von Tas­ta­tur- und Maus­ein­ga­ben, Steue­rung von Web­cam und Mikro­fon – sind künf­ti­ge Bestand­tei­le der Endgeräte-Sicherheit.

Hin­ter­grund: „Ste­alth Data Cen­ter“ – so wird das Rechen­zetrum unsichtbar
Atta­cken begin­nen meist mit dem „Abtas­ten“ der Ser­ver (Port­scan), um mög­li­che Angriffs­punk­te zu fin­den. Wenn der Ser­ver (bezie­hungs­wei­se ein dar­auf lau­fen­der Dienst) auf die Anfra­gen ant­wor­tet, kön­nen Schwach­stel­len gefun­den und aus­ge­nutzt wer­den. Über die­sen Weg kom­men Angrei­fer dann uner­laubt in die Sys­te­me, kön­nen Daten abgrei­fen oder mani­pu­lie­ren. Beim „Ste­alth Data Cen­ter“ erhält ein Angrei­fer jedoch kei­ne Ant­wor­ten auf sei­ne Port­scans und somit auch kei­ne Infor­ma­tio­nen dar­über, wo über­haupt Angriffs­punk­te zu fin­den sind. Selbst wenn er die „Posi­ti­on“ der Ser­ver (also deren IP-Adres­sen) über ande­re Ver­fah­ren kennt, errei­chen dadurch ermög­lich­te geziel­te Atta­cken eben­falls kei­ne Diens­te, deren Feh­ler er aus­nut­zen könn­te. Auch sol­che Ver­bin­dungs­ver­su­che wer­den ein­fach ver­wor­fen. Anwen­der, für die eine Ver­bin­dung vor­ge­se­hen ist, kön­nen dage­gen eine Ver­bin­dung auf­bau­en – zum Bei­spiel zu einem Web-Ser­vice oder über ein Vir­tu­al Pri­va­te Network.

Durch­ge­hen­des Moni­to­ring und Auditierbarkeit
Wie die Pra­xis zeigt, erfol­gen unbe­rech­tig­te Daten­zu­grif­fe auch häu­fig durch Mit­ar­bei­ter und ins­be­son­de­re Admi­nis­tra­to­ren. Der Ver­such, dies zu ver­hin­dern, ist hier mit der Qua­dra­tur des Krei­ses ver­gleich­bar: Ein Admi­nis­tra­tor, der kei­nen Zugriff auf die Sys­te­me hat, kann nicht admi­nis­trie­ren. Und ein Admi­nis­tra­tor, der Zugang zu den Sys­te­men hat, kann Daten kopie­ren oder mani­pu­lie­ren. Auch hier greift das Kon­zept von Fuji­tsu: Admi­nis­tra­to­ren erhal­ten kei­nen direk­ten, nicht für die Admi­nis­tra­ti­on erfor­der­li­chen Zugriff auf Daten, für poten­zi­ell kri­ti­sche Aktio­nen kann ein n‑Au­gen-Prin­zip erzwun­gen wer­den und alle admi­nis­tra­ti­ve Tätig­kei­ten am Sys­tem wer­den nach­voll­zieh­bar pro­to­kol­liert. Zusätz­lich wird ver­hin­dert, dass Per­so­nen im Rechen­zen­trum die für die Absi­che­rung der Daten not­wen­di­ge Hard­ware mani­pu­lie­ren kön­nen, um so Zugriff zu bekom­men. Das Sicher­heits­rack bie­tet Zugriffs­schutz sowohl auf der phy­si­schen als auch auf der logi­schen Ebe­ne. Die­se Maß­nah­men schüt­zen zugleich die häu­fig unter Gene­ral­ver­dacht ste­hen­den Mit­ar­bei­ter im Rechen­zen­trum, weil unge­recht­fer­tig­te Ver­däch­ti­gun­gen durch Nach­weis der tat­säch­lich erfolg­ten Aktio­nen ent­kräf­tet wer­den kön­nen. Hin­zu kommt, dass Daten und Daten­flüs­se bei Fuji­t­sus Kon­zept der „Digi­ta­len Sou­ve­rä­ni­tät“ grund­sätz­lich ver­schlüs­selt sind.

Umfas­sen­der Sicherheitsansatz
Der von Fuji­tsu im For­schungs- und Ent­wick­lungs-Pro­jekt „Digi­ta­le Sou­ve­rä­ni­tät“ ent­wi­ckel­te umfas­sen­de IT-Sicher­heits­an­satz geht über bestehen­de Kon­zep­te weit hin­aus: Für beson­ders schutz­be­dürf­ti­ge Daten und Vor­gän­ge bie­tet er eine bis­lang nicht erreich­te Sicher­heit – vom End­ge­rät über den Trans­port­weg bis hin zum Rechen­zen­trum. Die Ent­wick­ler und Inge­nieu­re von Fuji­tsu haben dabei die mög­li­chen Ein­fall­stel­len bei End­ge­rä­ten, dem Trans­port­weg und im Rechen­zen­trum iden­ti­fi­ziert und hier­zu neu­ar­ti­ge tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men kon­zi­piert, um die­se schlie­ßen zu kön­nen. Das Vor­ha­ben “Digi­ta­le Sou­ve­rä­ni­tät“ ver­folgt die Ziel­set­zung, siche­re Anwen­dungs­um­ge­bun­gen zu schaf­fen, die auf bestehen­den und damit poten­zi­ell unsi­che­ren Infra­struk­tu­ren auf­set­zen sowie ein Höchst­maß an Sicher­heit zu gewähr­leis­ten, ohne Abstri­che bei Bedien­kom­fort und Per­for­mance machen zu müssen.

YouTube

Mit dem Laden des Vide­os akzep­tie­ren Sie die Daten­schutz­er­klä­rung von You­Tube.
Mehr erfah­ren

Video laden

Abbinder-CeBIT-2015 Human Centric Inno­va­ti­on Ver­net­zen Sie sich mit Fuji­tsu Aktu­ell und erfah­ren Sie alles über die CeBIT 2015, die vom 16. bis 20. März in Han­no­ver statt­fin­det. Blei­ben Sie am Puls der Zeit und ent­de­cken Sie mit uns die Zukunft – die d!conomy im Team mit der „Human Centric Inno­va­ti­on”. Wir berich­ten über die Top­the­men Human Centric Work­place, Busi­ness Centric Data Cen­ter, Big Data, Ser­vices, Secu­ri­ty und Public Sec­tor. Mit Fuji­tsu Aktu­ell und unse­rer CeBIT-Sei­te im Inter­net blei­ben sie up to date und erfah­ren Neu­ig­kei­ten direkt von der CeBIT – direkt aus der Zukunft der IT-Welt. Ent­de­cken, infor­mie­ren, mit­re­den – dabei sein! 

Schlagwörter: , , , , , , , , , , ,

Keine Trackbacks
Story Page