Fujitsu präsentiert „Stealth Data Center“
Unsichtbares Rechenzentrum
Auf der CeBIT präsentiert Fujitsu mit dem „Stealth Data Center“ ein neues Sicherheitskonzept für das Rechenzentrum. Ein patentiertes Verfahren soll dafür sorgen, dass derzeit bekannte Angriffsmethoden ins Leere laufen. Dies gilt sowohl für Portscans als auch für gezielte Angriffe auf einzelne Dienste. Durch die neue Technologie ist das Datacenter für Angreifer nicht ansprechbar und deswegen nicht angreifbar.
Attacken beginnen meist mit dem „Abtasten“ der Server (Portscan), um mögliche Angriffspunkte zu finden. Wenn der Server (beziehungsweise ein darauf laufender Dienst) auf die Anfragen antwortet, können Schwachstellen gefunden und ausgenutzt werden. Über diesen Weg kommen Angreifer dann unerlaubt in die Systeme, können Daten abgreifen oder manipulieren. Beim „Stealth Data Center“ erhält ein Angreifer jedoch keine Antworten auf seine Portscans und somit auch keine Informationen darüber, wo überhaupt Angriffspunkte zu finden sind. Selbst wenn er die „Position“ der Server (also deren IP-Adressen) über andere Verfahren kennt, erreichen dadurch ermöglichte gezielte Attacken ebenfalls keine Dienste, deren Fehler er ausnutzen könnte. Auch solche Verbindungsversuche werden einfach verworfen. Anwender, für die eine Verbindung vorgesehen ist, können dagegen eine Verbindung aufbauen – zum Beispiel zu einem Web-Service oder über ein Virtual-Private-Network.
Schutz vor unberechtigtem Datenzugriff auch innerhalb eines Unternehmens bietet die neuartige Sicherheitsrack-Lösung von Fujitsu. Wie ein Safe verhindert das verstärkte Gehäuse physische Angriffe auf die IT-Systeme, wie etwa den Diebstahl von Festplatten oder den Einbau von Spionage-Hardware. Eine integrierte Steuereinheit überwacht mittels verschiedener Sensoren das Rack und öffnet beispielsweise die Türen nur, wenn sich Administratoren authentifizieren können. Zum Einsatz kommen dabei unter anderem eine biometrische Zugriffskontrolle per Infrarot-Handvenenscan ("PalmSecure") und ein Mehraugen-Prinzip. Das sorgt auch für einen umfassenden Schutz der Administratoren vor ungerechtfertigten Verdächtigungen, weil ein durchgehendes Monitoring und damit eine Auditierbarkeit – zum Beispiel nach ISO 27000 – gegeben ist.
Die Sicherheitsrack-Lösung hat die Abmessungen eines Standard-Racks mit 42 Höheneinheiten und 120 cm Tiefe und lässt sich zudem per Software in bestehende Rechenzentrumsumgebungen integrieren. In den oberen, vollständig separat gesicherten sieben Höheneinheiten befindet sich die Steuereinheit, die restlichen 35 Höheneinheiten bieten Platz für Serversysteme. Dabei können herkömmliche Geräte verwendet werden, was eine Weiterbenutzung bereits bestehender IT-Systeme ermöglicht und für niedrige Investitionskosten sorgt.
Fujitsus neue Sicherheitsrack-Lösung ist eine wichtige Komponente des umfassenden Sicherheitskonzeptes, das das Unternehmen im Rahmen seines Forschungs- und Entwicklungsprojekts „Digitale Souveränität“ in Augsburg, München und Paderborn vorantreibt: Das Ziel ist eine manipulationssichere und auditierbare Ende-zu-Ende-Verschlüsselung für den Betrieb von (bestehenden) Applikationen. Die Verschlüsselung reicht dabei vom Endgerät über die Datenübertragung bis hin zu den Servern im Rechenzentrum, den Speichersystemen und zum Backup. Sensible Anwendungen und Daten werden so vollständig vom Rest der bestehenden IT abgekapselt. Ein modularer Aufbau des Konzepts ermöglicht es, das Schutzniveau entsprechend der jeweiligen Anforderungen zu realisieren.
Bereits der alleinige Einsatz des Sicherheitsracks sorgt für eine deutliche Verbesserung des Schutzniveaus und bietet sich sowohl für Rechenzentren – etwa im Universitäts- und Forschungsumfeld – als auch für den Einsatz in mittelständischen Unternehmen an. Diesen erleichtert es beispielsweise, geforderte Sicherheitsauditierungen erfolgreich zu bestehen. Zudem eröffnet das optionale Konzept des Mehraugenprinzips neue Möglichkeiten bei der Zusammenarbeit mit IT-Dienstleistern: So kann bei sensiblen Systemen vorgeschrieben werden, dass Administratoren des Dienstleisters nur Zugriff auf sie bekommen, wenn dieser vom Kunden autorisiert wird. Eine durchgehende Protokollierung der Zugriffe des Administrators am Rack macht diese zudem jederzeit nachverfolgbar.
Wie die Praxis zeigt, erfolgen unberechtigte Datenzugriffe auch häufig durch Mitarbeiter und insbesondere Administratoren. Der Versuch, dies zu verhindern, ist hier mit der Quadratur des Kreises vergleichbar: Ein Administrator, der keinen Zugriff auf die Systeme hat, kann nicht administrieren. Und ein Administrator, der Zugang zu den Systemen hat, kann Daten kopieren oder manipulieren. Auch hier greift das Konzept von Fujitsu: Administratoren erhalten keinen direkten, nicht für die Administration erforderlichen Zugriff auf Daten, für potenziell kritische Aktionen kann ein n-Augen-Prinzip erzwungen werden und alle administrative Tätigkeiten am System werden nachvollziehbar protokolliert. Zusätzlich wird verhindert, dass Personen im Rechenzentrum die für die Absicherung der Daten notwendige Hardware manipulieren können, um so Zugriff zu bekommen. Das Sicherheitsrack bietet Zugriffsschutz sowohl auf der physischen als auch auf der logischen Ebene. Diese Maßnahmen schützen zugleich die häufig unter Generalverdacht stehenden Mitarbeiter im Rechenzentrum, weil ungerechtfertigte Verdächtigungen durch Nachweis der tatsächlich erfolgten Aktionen entkräftet werden können. Hinzu kommt, dass Daten und Datenflüsse bei Fujitsus Konzept der „Digitalen Souveränität“ grundsätzlich verschlüsselt sind.
- Unsichtbares Rechenzentrum
- Endgeräte-Sicherheit
Lesen Sie mehr zum Thema
