Physische Sicherheit

Physische IT-Sicherheit für Edge-Standorte

23. September 2019, 16:52 Uhr | Autor: Luis Brücher / Redaktion: Natalie Lauer

Die hohe Abhängigkeit der Wirtschaft von einer funktionierenden IT sowie das "Always-on"-Nutzerverhalten vieler Konsumenten machen schnell deutlich, welche gravierenden Auswirkungen ein IT-Ausfall hat. Die Sicherheit der IT-Systeme spielt demnach eine zentrale Rolle.

Unterschiedliche Schutzklassen vom einzelnen Rack bis hin zum Sicherheits- und Hochverfügbarkeitsraum machen es möglich, dass Unternehmen ihre IT-Landschaft entsprechend ihrer individuellen Sicherheitsanforderungen ausbauen. Allerdings ergeben sich durch den dezentralen Ausbau mit Edge-Rechenzentren neue Anforderungen an die IT-Sicherheit.

Zentrale Sicherheits-Perimeter gibt es nicht mehr
Eine der Herausforderungen bei dem Aufbau von Edge-Infrastrukturen liegt darin, dass der Schutz eines zentralen Rechenzentrums über einen Perimeter-Ansatz nicht mehr funktioniert. Unternehmen betreiben mit Edge Computing eine hohe Zahl an verteilten IT-Systemen, wodurch sich die Angriffsfläche erweitert. Für den Security-Planer wird praktisch jedes Endgerät zu einem möglichen Sicherheitsrisiko, das es zu minimieren gilt. Unternehmen benötigen daher ein Konzept für die physische Sicherheit, das individuell den Aufstellungsort und den Nutzungszweck berücksichtigt. Zudem sollte es den schnellen und sicheren Aufbau einer IT-Infrastruktur auch standortübergreifend unterstützen.

Die passende Schutzklasse auswählen
Bei der Realisierung des Sicherheitskonzeptes sollten CIOs zunächst die Anforderungen an die IT-Leistung und den benötigten IT-Security-Level analysieren. Insbesondere wenn personenbezogene Daten verarbeitet werden, ist ein hoher Schutz des Rechenzentrums notwendig. Generell ist zu empfehlen, die Schutzklasse am tatsächlichen Sicherheitsbedarf auszurichten. Steht die Lösung beispielsweise in einer staubigen Produktionshalle, sollte diese mit Schutzarten bis IP55 gegen die Umweltbedingungen wie Staub, gegen vollständigen Berührungsschutz und gegen Strahlwasser gesichert sein. In einer normalen Büroumgebung wäre für ein IT-Rack die Schutzart IP20 ausreichend. Um den Schutz der IT-Komponenten auf Rack-Ebene weiter zu erhöhen, gibt es beispielsweise Sicherheits-Safes. Diese bieten eine zusätzliche Schutzhülle um ein Server-Rack herum und schützen die IT-Komponenten vor äußeren Einflüssen wie Feuer, Rauchgasen, Wasser, Staub und unbefugtem Zugriff.

Zentrale Zutrittskontrolle
Elektronische Türschlösser erleichtern die Auswertung, wann welche Mitarbeiter Zugriff auf die IT-Systeme hatten. Unternehmen sollten hierbei beachten, dass wirklich alle Gehäuse- und Rack-Türen inklusive der Seitenwände überwacht werden. Die Verriegelung mit elektrischen Griffen ermöglicht, dass sich Türen über ein netzwerkfähiges Monitoring-System überwachen lassen. Eine solche Zutrittskontrolle kann vollkommen automatisiert erfolgen, indem sie mit individuell hinterlegten Berechtigungsprofilen arbeitet und den Zugriff über ein Zahlencodeschloss oder über RFID-Transponderkarten steuert.

Sicherheit am Bedarf ausrichten
Wer die Sicherheitskomponenten überprovisioniert, wird die Wirtschaftlichkeit des Projektes gefährden. Ausgehend von den auf dem jeweiligen System verarbeiteten Daten, lassen sich die Security-Anforderungen ableiten. Wird ein Server nur zur anonymen Auswertung des Straßenverkehrs oder zur Analyse der Auslastung eines zukünftigen 5G-Netzes verwendet, kann hierbei ein vergleichsweise geringes Schutzlevel notwendig sein. Wer jedoch personenbezogene Daten verarbeitet, wie Kundendaten an einem PoS („Point of Sale“), benötigt einen entsprechend höheren Schutz. An dieser Stelle sollten Unternehmen auf externe Berater setzen, die aus der Erfahrung vergleichbarer Projekte wertvolle Praxistipps zur Realisierung von Security-Funktionen geben können.

Container-Rechenzentren erhöhen Mobilität
Wird schnell ein neues, mobiles Edge-Rechenzentrum benötigt, sollte der Ausbau in einem Container-Rechenzentrum evaluiert werden. Die Container sind durch ihre Stahlbauweise sehr robust und bieten eine hohe physische Sicherheit sowie eine wetterfeste Ummantelung. Außerdem lässt sich ein Container flexibel auf dem Firmengelände aufstellen, entweder auf dem Außengelände oder innerhalb einer Lager- oder Produktionshalle. Die vorkonfigurierten Komponenten ermöglichen den schnellen Auf- und Ausbau über Standardmodule. Sollte nicht gleich ein Container mit der Standardlänge von 40 Fuß (ca. zwöf Meter) benötigt werden, kann auch eine kürzere Variante mit einer Länge von 20 Fuß zum Einsatz kommen.

Gegen Einbruch, Wasser und Feuer geschützt
Für den punktuellen Edge-Ausbau sind IT-Racks am Markt verfügbar, die über eine stabile Umhausung verfügen und ebenfalls höchste Sicherheit bieten. Je nach benötigter Schutzklasse lassen sich all diese Systeme als Edge-Rechenzentrum mit feuerfester Ummantelung (bis F90) sowie mit Wasser- und Einbruchschutz (typischerweise bis IP55) beziehen. Mit entsprechender Kühl-Technologie versehen, kann pro Kühlgerät eine Wärmelast von bis zu 55 kW abgeführt werden. Aber auch Edge-Lösungen für kleinere Anwendungen sind verfügbar, die zum Beispiel als Hallen- oder Etagenverteiler arbeiten. Diese nehmen primär die Konsolidierung von Daten vor, können kleinere Datenströme direkt verarbeiten und leiten Ergebnisse an nachgelagerte Cloud-Rechenzentren weiter.

Monitoring-Lösung für die Überwachung
Bei der Planung des Sicherheitskonzeptes sollten Unternehmen beachten, dass sich eine verteilte Edge-Infrastruktur nur durch einen hohen Grad an Automatisierung effizient betreiben lässt. Daher wird zur Überwachung des laufenden Betriebs auch ein detailliertes Monitoring benötigt, wie beispielsweise über eine DCIM-Lösung (Data Center Infrastructure Management). Zudem kann es bei einer Fernwartung oder bei Notfällen notwendig sein, ein Edge-System komplett herunterzufahren und dafür auch die Stromversorgung zu unterbrechen. Hierfür werden schaltbare PDUs (Power Distribution Units) benötigt. Für eine hohe physische Sicherheit ist es weiterhin wichtig, vor dem unbefugten Öffnen der Türen zu warnen.

Durchgängiges Sicherheitskonzept
Ein Erfolgsfaktor beim Aufbau von ausfallsicheren Edge-Infrastrukturen liegt darin, die individuellen Sicherheitsanforderungen auch mit Blick auf die Standorte abzudecken. Hersteller bieten hierfür Lösungen mit den jeweils benötigen Schutzklassen inklusive Zertifizierungen, sodass keine individuellen Abnahmen oder Prüfungen notwendig sind. Standardisierte Module für Klimatisierung, Stromversorgung und USV helfen dabei, die Edge-Lösung basierend auf der benötigten IT-Leistung individuell auszurichten. Die hohe Komplexität einer verteilten IT-Landschaft macht es empfehlenswert, bei der Konzeption und Durchführung eines Edge-Projektes auf das Know-how von Beratern zu setzen, die bereits umfassende Erfahrungen gesammelt haben.

Außerdem sollten alle Standorte in ein durchgängiges Sicherheitskonzept integriert werden, denn es genügt schon ein unzureichend geschützter Server, um ein Unternehmensnetzwerk zu infiltrieren.

Luis Brücher ist Hauptabteilungsleiter Produktmanagement IT bei Rittal