Gorodenkoff - stock.adobe.com
So richten Sie mit nur drei Komponenten ein SDDC ein
Firmen, die eine Basis für einen sicheren SDDC-Betrieb schaffen möchten, sollten Software-Patches, Kontenrechte und Verschlüsselung als Teil des Sicherheits-Frameworks verstehen.
Die Implementierung eines Software-defined Data Centers (SDDC) kann zu einer flexiblen Ressourcenverwaltung und Anwendungsbereitstellung führen, aber auch die Informationssicherheit des Unternehmens verkomplizieren. Bei der Entwicklung Ihrer Sicherheitsstrategie müssen Schwachstellen der Software, Funktionen für den Rollenzugriff und die Speicherverschlüsselung im Auge behalten werden.
Die Abstraktionsschicht, die es Unternehmen ermöglicht, eine softwaredefinierte Architektur zu erstellen, fügt gegenüber einem herkömmlichen physischen Rechenzentrum eine zusätzliche Komplexität hinzu. Eine Grundregel der Cybersicherheit ist, dass mit zunehmender Komplexität auch die Chance auf eine Schwachstelle steigt.
Der beste Weg, dieses Problem zu beheben, besteht darin, alle Schichten Ihres softwaredefinierten Rechenzentrums (SDDC) – Betriebssysteme, Hypervisor-Speicher und virtuelle Server – in Ihre Patch-Management-Strategie zu integrieren. Sie sollten alle verfügbaren Patches so schnell wie möglich innerhalb des Update-Frameworks Ihres Unternehmens anwenden, um die SDDC-Sicherheit zu erhöhen. Stellen Sie außerdem sicher, dass Ihre IT-Abteilung über Praktiken verfügt, um regelmäßig nach Patch- und Versions-Updates zu suchen.
Da Hacker wissen, wann neue Patches verfügbar sind, können sie leicht nicht gepatchte Systeme identifizieren, die bekannte Schwachstellen enthalten, und sie werden daran arbeiten, nicht gepatchte Schwachstellen so schnell wie möglich auszunutzen.
Sicherheitsmaßnahmen für Benutzerkonten
Eine weitere häufige Bedrohung für die SDDC-Sicherheit ist ein privilegiertes Konto, wie beispielsweise Unix-Root- oder Windows-Administratorkonten. Diese Konten können kompromittiert werden und geben einem Hacker freie Hand in den Systemen. Eine Möglichkeit, dies zu verhindern, besteht darin, die sichere Verwendung von Passwörtern durchzusetzen und nach Möglichkeit eine mehrstufige Authentifizierung zu verlangen.
Es gibt zwei Möglichkeiten, wie Sie helfen können, ein gefährdetes Konto zu verhindern.
Erstellen Sie zunächst einen dedizierten Active Directory-Forest, der ausschließlich Authentifizierungsdienste für Ihre SDDC-Infrastruktur bereitstellt. Sie sollten Ihre Hypervisoren, Management-Server und alle anderen Low-Level-Infrastrukturkomponenten zu einer Forest Level Domain zusammenschließen, um bestimmte Berechtigungen zu erhalten. Die Verwendung von Active Directory-basierter Authentifizierung kann es einfacher machen, die Nutzung privilegierter Konten im SDDC zu überprüfen.
Zweitens, verwenden Sie zweckgebundene Servicekonten, anstatt ein Servicekonto für das gesamte SDDC zu haben. Wenn Sie ein Dienstkonto für mehrere Zwecke verwenden, beginnt das Konto, mehr Berechtigungen zu sammeln, als für eine Aufgabe erforderlich sind. Dies ist gefährlich, denn wenn das Konto kompromittiert wird, verfügt der Angreifer über umfangreiche Kontenrechte.
Dieser Grundsatz gilt auch für die Verwaltungskonten. Anstatt dem IT-Personal uneingeschränkten administrativen Zugriff zu gewähren, verwenden Sie rollenbasierte Zugriffskontrollen, um den Umfang der einzelnen privilegierten Konten einzuschränken. Wenn IT-Mitarbeiter hochrangige Administratorrechte benötigen, sollten Sie die Erstellung einer Reihe von weniger privilegierten Konten in Betracht ziehen, anstatt einem einzelnen Konto alle erforderlichen Berechtigungen zu gewähren.
Speicherung als SDDC-Sicherheitskomponente
Der Zugriff auf Speicher ist auch eine potenzielle Schwachstelle für die SDDC-Sicherheit, da eine Softwareschicht die Speicherressourcen verwaltet. Ein Angreifer kann trotz anderer Sicherheitsvorkehrungen, die Sie getroffen haben, uneingeschränkten Zugriff auf das Storage erhalten. Glücklicherweise können Sie dieses Problem durch Authentifizierung und Verschlüsselung beheben.
Stellen Sie außerdem sicher, dass Sie eine bi-direktionale Authentifizierung benötigen, wenn Sie iSCSI-Speicher verwenden. Das System sollte vor dem Mounten des iSCSI-Ziels eine Host-Authentifizierung erfordern. Gleichzeitig sollten Hosts ein Challenge-Handshake-Authentifizierungsprotokoll benötigen, um Rogue-Verbindungen zu verhindern.
Sie sollten auch die Verschlüsselung für Daten im Ruhezustand (at rest) und Daten in Bewegung (in motion) einbeziehen. Der Schutz von Daten im Ruhezustand bedeutet die Verschlüsselung des Speicher-Volume. Wenn das Volume virtuelle Festplatten enthält, dann sollten Sie den Inhalt dieser virtuellen Festplatten verschlüsseln.
Verwenden Sie ein dediziertes Netzwerksegment, ein virtuelles lokales Netzwerk oder eine IPsec-Verschlüsselung, um Daten während der Übertragung zu schützen.