Anforderungen an moderne RZs
Zonendesign
Die Anforderungen an die Struktur und die Dienste in modernen Rechenzentren werden zunehmend komplex. Der gestiegene Bedarf an Serverkapazität sowie der ständige Zuwachs an neuen Applikationen erfordern auch eine koordinierte und ganzheitliche Planung im Hinblick auf die Absicherung der Systemumgebung insgesamt. Die richtige Vorgehensweise sorgt dabei nicht nur für mehr Schutz, sondern gleichzeitig auch für effizientere Abläufe in Rechenzentren.
Neben der viel diskutierten Absicherung der Systeme und Anwendungen kommt einem sicheren sowie
transparenten Netzwerkdesign im Rechenzentrum sowie den Edge-Bereichen größte Bedeutung zu. Denn
die zunehmende Integration der Geschäftsprozesse über die IT-Systeme erzeugt ein gemeinsames
Netzwerk, in dem nicht nur alle internen Unternehmenseinheiten, sondern oft auch externe
Geschäftspartner "physikalisch eingegliedert" sind. Zur umfassenden Abschirmung des
Unternehmensnetzwerks bedarf es daher eines so genannten Zonendesigns: Darüber ist zum einen der
Schutz der unterschiedlichen Bereiche sichergestellt und zum anderen deren sichere Verbindung
untereinander gewährleistet. Prinzipiell findet dabei eine Untergliederung des Netzwerks in mehrere
Zonen statt – in jeder dieser Zonen laufen definierte Systeme mit festgelegten Diensten. Die
übergreifende Kommunikation ist durch die Bestimmung von "Traffic Flows" festgelegt und
dokumentiert.
Die Definition der Zonen erfolgt anhand der Zugriffe – insbesondere der externen – sowie durch
die Typisierung der Dienste und Daten auf den Systemen. Die einfachste Variante eines Zonendesign
ist die Unterscheidung in
Backend-Zone: alle Server,
Frontend-Zone: alle Endgeräte und deren Zugriffe,
Internetzone: externe Zugriffe und
Extranetzone: E-Business-Systeme und Kommunikations-Gateways.
Häufig reicht diese elementare Anordnung nicht mehr aus. Unternehmen unterteilen dann unter
Einsatz von VLANs, Firewalls und Routern weitere wichtige Zonen. Besonders schützenswert sind
hochsensible Systeme und vertrauliche Daten, die entsprechenden Zonen können somit zum Beispiel
die
High-Secure-Zone: Geschäftsführung oder Personalbuchhaltung,
Produktionszone: Maschinen oder Leitstände,
Managementzone: Netzwerk- und System-Management sowie
die Backup-Zone: eigenes Netz für die Datensicherung,
sein.
Das Zonendesign ist ein wichtiger Baustein innerhalb der modularen Rechenzentren der Zukunft.
Bei der Konzeption des Zonendesigns ist jedoch unbedingt zu beachten, dass dies nicht nur die
Sicherheit erhöht sondern auch flexibel den Anforderungen der Kunden genügen kann und somit auch
die Voraussetzung bietet, die unterschiedlichen Geschäftsprozessanforderungen wie beispielsweise
zukünftig geplante B2C-Anwendungen abzubilden.
Access Security
In nahezu jedem Unternehmen sind wichtige Informationen und Prozesse, wie etwa geschäftliche
Transaktionen, Kundendaten und vertrauliche Dokumente, auf unterschiedlichen Systemen – oft auch
verteilt – gespeichert. Die große Herausforderung besteht darin, einen genau definierten Zugriff
auf diese Services einem jeweils festgelegten Personenkreis zur Verfügung zu stellen. Hierzu bedarf
es Kontrollmechanismen und Lösungen, die es ermöglichen den Zugang zu sperren – zum Beispiel zu
hochsensiblen Informationen, die allein aus rechtlichen Gründen vor jeglichem unautorisierten
Zugriff Dritter, auch dem der IT-Administratoren, geschützt werden müssen. Oft existiert in
Unternehmen jedoch die Situation, dass die IT-Administration mit Rechten ausgestattet ist, die
ihnen erlauben auf alle Unternehmensdaten zuzugreifen.
Damit ist es erforderlich, bei modernen Architekturen im Rechenzentrum auf die Access-Security
ein besonderes Augenmerk zu legen. Grundlegend für die Konzeption der technischen Lösung ist die
Kategorisierung der Systeme nach Daten und deren kritischer Bedeutung für die Unternehmen.
Access-Control-Lösungen als wichtiger Baustein
Ein essenzieller Baustein im Kontext der Absicherung sind so genannte Access-Control-Lösungen.
Hierüber kann der Zugriff auf die geschäftskritischen Teile der Infrastruktur organisiert werden –
leistungsfähige Lösungen ermöglichen die Umsetzung von Richtlinien, zum Beispiel wer auf die
Systeme zugreifen kann und welche Berechtigungen dort existieren. Durch diese Regulierung sind
potenzielle Sicherheitsrisiken im Bezug auf vertrauliche Geschäftsdaten und kritische
Unternehmensservices erheblich reduzierbar.
Schutz der Server vor unbefugtem Zugriff
Neben der logischen Zugriffskontrolle müssen Schutzmechanismen auch auf der physikalischen Ebene
gewährleistet sein; denn viele Angriffe erfolgen – oft unbemerkt – dort: zum Beispiel die
Implementierung der gefährlichen Rootkits oder auch das "Abziehen" von Daten. Um diese potenziellen
Angriffspunkte zu dezimieren werden in Rechenzentren vermehrt Schranksysteme mit
Nutzer-Authentifizierung eingesetzt, sodass die Öffnung eines Schranks nur noch mittels Anmeldung
via Smartcard oder RFID-Chip möglich ist. Damit sich der physikalische Zugriff auf sensible Systeme
nachvollziehen lässt, ist es sinnvoll, die Anmeldung beispielsweise mit dem Active Directory oder
LDAP-User zu verknüpfen. Das Logging der Anmeldungen an zentraler Stelle garantiert, dass
Sicherheitsvorfälle besser und effektiver zu analysieren sind. Um eine Trennung der physikalischen
und logischen Zugriffe sicherzustellen, sollten die Anmeldungen über ein Rollen-/Rechte-System
zentral verwaltet sein.
Koexistenz von Büro- und Produktions-IT
Industrielle Produktionsanlagen sind zunehmend mit dem Ziel vernetzt, eine durchgängige
Kommunikationsplattform zu schaffen. Darüber hinaus werden diese Anlagen sowie deren Leitstände auf
Basis einer einheitlichen Infrastruktur an die ERP-Systeme angebunden, um durchgängige Prozesse und
Workflows zu realisieren. Büro-IT und Produktions-IT verschmelzen folglich zunehmend. In diesem
Gesamtsystem gilt es, verschiedene Schwachstellen im Auge zu behalten: Die Produktionssysteme sind
verwundbarer als die Systeme in der kaufmännischen IT. Außerdem lassen sich Schutzmaßnahmen wie
Virenschutz, Firewalls und Patch-Level-Management dort nicht oder nur sehr eingeschränkt umsetzen.
Daher ist bereits beim Design einer Integrationslösung auf die erhöhten Anforderungen im Bezug auf
die Absicherung zu achten.
Ein Ansatz ist das bereits beschriebene Zonendesign, das die Produktions-IT kontrolliert
abschirmt und dennoch die Integration ermöglicht. Folgerung: Da im Backbone des Rechenzentrums
wieder alle Verbindungen zusammenlaufen, müssen dort die notwendigen Lösungen und Kapazitäten
existieren.
Produktivitätssteigerung virtueller Plattformen
Neben der Virtualisierung der IT auf den Ebenen Server, Systeme, Speicher, Netz und Anwendungen
sowie der damit verbundenen Generierung von Flexibilität und hoher Verfügbarkeit bedarf es zur
Schaffung einer durchgängigen Lösung der Integration der Anwender. Die Bereitstellung von so
genannten Self-Services ermöglicht es, dynamische virtualisierte IT-Infrastruktur-Plattformen
maximal auszunutzen. Die Self-Services sorgen dafür, dass IT-Ressourcen nicht auf Vorrat alloziert
werden müssen, sondern nur dann, wenn der Bedarf vorhanden ist.
Des Weiteren wird durch die Einbindung der Anwender mittels Self-Services eine Reduzierung der
Kosten in den Bereichen des Help-Desk sowie der RZ-Administration möglich – bei gleichzeitiger
Steigerung der Flexibilität, die den Mitarbeitern im Unternehmen zugute kommt. Die Umsetzung ist
relativ unkompliziert: Unter Einsatz von bedienerfreundlichen Portalen können Aufgaben der
Bereitstellung von Services (Customer-Self-Administration) wie etwa das Ändern oder Zurücksetzen
von Kennwörtern oder das Zuweisen von Rechten an die Fachabteilungen zurückgehen.
Über die gleichen Portale wird den Mitarbeitern auch die Möglichkeit eingeräumt, benötigte
IT-Services selbst zu verwalten (Customer-Self-Services), zum Beispiel das Ändern von
Postfachgrößen, die "On-Demand"-Bereitstellung von Applikationen oder das Einrichten von
Sicherheitsfunktionen wie Remote/VPN Access. Dabei gilt: In allen Ebenen der Self-Services sorgen
Workflows und Genehmigungsprozesse für die Abbildung der prozessualen Anforderungen. Eine passende
Vorgehensweise beim Zonendesign kann also nicht nur für ausreichenden Schutz sorgen, sondern auch
alle beteiligten Prozesse straffen und effizienter machen. Die Nutzen besteht nicht nur in
reduzierten Kosten, sondern auch in einer größeren Flexibilität.
Lesen Sie mehr zum Thema
