Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Datacenter & Verkabelung > Compliance im Datacenter in 5 Schritten

Sicherheit

Compliance im Datacenter in 5 Schritten

27. November 2012, 16:19 Uhr | Ismail Elmas, Geschäftsführer bei BMC Software
Fortsetzung des Artikels von Teil 1

Schritt 1 - Definition und Ziele

Compliance definieren: Drei Bereiche sind bei der Definition einzubeziehen - Sicherheit, Konfigurationssicherung und Prüfungsunterstützung. Sicherheit umfasst das Patching, die Identifikation von Schwachstellen und die Etablierung von Zugriffskontrollen. In Bezug auf Sicherheit bedeutet Compliance, dass die Sicherheit der Server und Anwendungen durch den Einsatz aktueller Patches gewährleistet ist. Es bedeutet ferner, dass es Schwachstellen zu identifizieren gilt, die behoben werden müssen und angemessene Zugriffskontrollen etabliert sind, um administrative Zugriffsrechte einzuschränken. Durch Patching wird die Eliminierung von Schwachstellen unterstützt. Außerdem müssen administrative Zugriffsrechte klar definiert sein. Das Festlegen von Rechten, mit denen bestimmte Benutzer Aufgaben auf einem bestimmten Server zu einem bestimmten Zeitpunkt durchführen können, verhindert nichtautorisierte Systemzugriffe und hilft bei der Einhaltung der Compliance-Anforderungen für Prüfer. Konfiguration beinhaltet sowohl die Einführung von systemübergreifenden Standardeinstellungen als auch die strikte Befolgung dieser Standards. Das alleinige Einführen von Standards reicht in der Regel nicht aus. Es sind zudem Prozesse erforderlich, die die Umgebung überwachen und von den Standards abweichende Services melden. Durch die Bestimmung einer Regulierungskomponente wird die Dokumentation, Implementierung und Überprüfung von IT-Kontrollmechanismen festgelegt. So kann sich der Prüfer, Berater oder eine Regulierungsbehörde davon überzeugen, dass in der jeweiligen IT-Organisation die erforderlichen Kontrollmechanismen eingesetzt und die Sicherheits- und Konfigurationsanforderungen erfüllt sind. Zum regulierenden Aspekt gehören außerdem interne Prüfungen, mit denen die Effektivität der Kontrollmechanismen gemessen und sicergestellt werden kann, dass das Unternehmen externen Prüfungen problemlos standhält.

Ziele setzen: Es bewähren sich vier Hauptziele - Vereinheitlichung, Zuständigkeit, Transparenz und Messbarkeit. Durch Vereinheitlichung werden Konfigurationseinstellungen über Windows, Linux, Unix odere andere Plattformen, die zur Infrastruktur gehören, normalisiert. Des Weiteren werden bestehende Richtlinien gelenkt, und das Unternehmen bei der Identifikation von Risiken unterstützt. Bei der Zuständigkeit geht es um die Etablierung von Audit-Trails für vorgenommene Änderungen. Es wird dokumentiert, wann und von wem sie implementiert wurden und wie sie sich auf die Umgebung auswirkten. Durch besser definierte Zuständigkeiten wird sichergestellt, dass nur genehmigte Änderungen vorgenommen und dass die Anforderungen bezüglich der Aufgabentrennung erfüllt werden. Ein ausgefeiltes Zuständigkeitssys-tem verbessert auch das IT-Management.

Es wird sichergestellt, dass die erforderlichen Mechanismen aktiv sind, die eine Abweichung des Systems von der Norm melden. In so einem Fall werden die Verantwortlichen aufgefordert, die nötigen Maßnahmen zur Korrektur zu ergreifen, die Ursache zu ergründen und zu eliminieren, damit so ein Zwischenfall nicht mehr vorkommt.

Die Transparenz hängt in erster Linie mit der Berichterstellung zusammen, sprich es geht darum, zu erkennen, wie die Mitarbeiter handeln. Durch die Berichterstellung erfahren IT-Verantwortliche, durch welche Prozesse Compliance-Anforderungen unterstützt werden und wie gut diese zu einem bestimmten Zeitpunkt funktionieren. Mithilfe von Transparenzmechanismen können Prüfer erkennen, ob das Rechenzentrum die nötigen Compliance-Anforderungen erfüllt.

Die Fortschritte lassen sich durch die Beantwortung der folgenden entscheidenden Fragen in Bezug auf Compliance bestimmen:

  • Wurden im Unternehmen weniger auf Notfälle basierende Änderungen als im letzten Monat, vor sechs Monaten und vor einem Jahr vorgenommen?
  • Gab es im letzten Jahr weniger Abweichungen von den Standards?
  • Gibt es Plattformen, Server, Anwendungen oder Business-Service-Server, die die Compliance-Anforderungen besser erfüllen als andere? Wenn ja, woran liegt das?

Anbieter zum Thema

Riello UPS GmbH
dtm Datentechnik Moll GmbH
Vertiv GmbH
AixpertSoft GmbH
Panduit
Matchmaker+
zu Matchmaker+
  1. Compliance im Datacenter in 5 Schritten
  2. Schritt 1 - Definition und Ziele
  3. Schritt 2 - Implementierung
  4. Schritt 3 - Messung
  5. Schritt 4 - Umsetzung
  6. Schritt 5 - Überwachung
  7. Fazit

Lesen Sie mehr zum Thema

Server, Datacenter
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Server, Datacenter

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden

Security und Cloud aus einer Hand

Plusserver kauft MSSP Cosanta

Matchmaker+
Plusnet GmbH

Plusnet GmbH
KONZEPTUM GmbH

KONZEPTUM GmbH
Zyxel Networks A/S

Zyxel Networks A/S
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
elektrofachkraft.de

elektrofachkraft.de
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH