Neue Hochsicherheitsarchitektur: Rechenzentrum wird zum »Stealth Data Center«

Mit dem »Stealth Data Center« präsentierte Fujitsu in diesem Jahr auf der CeBIT ein völlig neues Sicherheitskonzept. Jetzt beginnt im Wilken Rechenzentrum in Ulm der Aufbau einer derartigen Infrastruktur: Zunächst wird im Rahmen des Pilotprojekts ein Sicherheitsrack von Fujitsu installiert, das den unerlaubten physischen Zugriff auf die Systeme verhindert. Zum Schutz vor elektronischen Angriffen kommt im ersten Schritt zudem ein neues Verfahren zum sicheren Hochfahren (»Booten«) der IT-Komponenten zum Einsatz. Die Implementierung weiterer Sicherheitskomponenten erfolgt dann schrittweise im weiteren Verlauf des Projekts.

grafik fujitsu stealth data center

»Gerade für unsere Kunden aus Branchen mit hohem Bedarf an IT-Sicherheit, wie der Energie-, Finanz- oder Gesundheitswirtschaft mit ihren kritischen Infrastrukturen und sehr sensiblen Daten, bietet diese neue Fujitsu-Architektur einen Sicherheitsgrad, wie er bislang nicht denkbar war. Wir sind deswegen froh, dass wir zu den ersten Pilotpartnern für das Stealth Data Center gehören und die Lösung unseren Kunden zur Verfügung stellen können«, so Dr. Harald Varel, Geschäftsführer der Wilken Rechenzentrum GmbH.

Anzeige

 

Im Rahmen seines Entwicklungsprojektes »Digitale Souveränität« verfolgt Fujitsu einen umfassenden Ansatz, um IT-Infrastrukturen abzusichern. »Das Ziel unserer Entwicklung ist eine manipulationssichere und auditierbare Ende-zu-Ende-Verschlüsselung für den Betrieb von (bestehenden) Applikationen, die die Sicherheitsmechanismen auch auf das RZ-Betriebspersonal ausdehnt. Dabei reicht die Verschlüsselung vom Endgerät über die Datenübertragung bis hin zu den Servern im Rechenzentrum, den Speichersystemen und zum Backup«, so Thorsten Höhnke, Head of Security Strategy bei Fujitsu in Deutschland.

In Zukunft wird das Rechenzentrum unsichtbar

Mit patentierten Verfahren wird dabei unter anderem sichergestellt, dass Server künftig von außen nicht mehr sichtbar sind und somit auch nicht mehr angegriffen werden können. Denn herkömmliche Angriffe von außen, die meistens mit dem »Abtasten« der Server (Portscan) beginnen, sind nicht möglich, da potenzielle Angreifer keine Antworten auf ihre Portscans erhalten und auch nicht zu den sonst möglichen Angriffspunkten vordringen können.

Schutz auch vor Angriffen von innen

Sicherheitsracks, wie sie nun auch im Wilken RZ eingesetzt werden, stellen zudem sicher, dass die Daten auch vor unberechtigten Zugriffen von Mitarbeiten im Rechenzentrum geschützt sind: Die administrativen Tätigkeiten am System werden nachvollziehbar protokolliert. Zusätzlich wird verhindert, dass andere Personen direkt im Rechenzentrum die für den Betrieb und Absicherung der Daten notwendige Hardware manipulieren können. Das Sicherheitsrack hat keine von außen zugänglichen Steckplätze oder Anschlüsse und bietet Zugriffsschutz sowohl auf der physischen als auch auf der logischen Ebene. Dies geschieht über eine Kontroll- und Steuereinheit, die mit Hilfe des biometrischen Palm-Secure-Verfahrens abgesichert ist. Dabei werden die bei jedem Menschen individuell verlaufenden Handvenen durchleuchtet und mit den hinterlegten Mustern abgeglichen. Das Rack verfügt auch über Sensoren, die Gewalteinwirkungen am Rack und an den Türen registrieren und melden. Für zusätzlichen Schutz sorgt eine im Wilken Rechenzentrum ebenfalls bereits genutzte Funktion für sicheres Booten. Mit dieser können Administratoren automatisiert verschlüsselte Server starten, ohne deren Passwort zu kennen.

Mit diesem umfänglichen Ansatz wird erstmals ein lückenloser Sicherheitsstatus über die Rechenzentrums-Prozesskette zur Verfügung gestellt, die für die Souveränität der Kunden über die eigenen Daten sorgt.

_______________________________________________________________________

Hintergrundinformation zum »Stealth Data Center« – ein neues Sicherheitskonzept für das Rechenzentrum.

Ein patentiertes Verfahren sorgt dafür, dass derzeit bekannte Angriffsmethoden ins Leere laufen. Dies gilt sowohl für Portscans als auch für gezielte Angriffe auf einzelne Dienste. Durch die neue Technologie ist das Rechenzentrum für Angreifer nicht ansprechbar und deswegen nicht angreifbar. Berechtigte Anwender können sich dagegen weiterhin beispielsweise per herkömmlichem Virtual Private Network (VPN) anmelden.

Neue Sicherheitsrack-Lösung schützt vor unberechtigtem Datenzugriff von innen

Schutz vor unberechtigtem Datenzugriff auch innerhalb eines Unternehmens bietet die Sicherheitsrack-Lösung von Fujitsu. Wie ein Safe verhindert das verstärkte Gehäuse physische Angriffe auf die IT-Systeme, wie etwa den Diebstahl von Festplatten oder den Einbau von Spionage-Hardware. Eine integrierte Steuereinheit überwacht mittels verschiedener Sensoren das Rack und öffnet beispielsweise die Türen nur, wenn sich Administratoren authentifizieren können. Zum Einsatz kommen dabei unter anderem eine biometrische Zugriffskontrolle per Infrarot-Handvenenscan (PalmSecure) und ein Mehraugen-Prinzip. Das sorgt auch für einen umfassenden Schutz der Administratoren vor ungerechtfertigten Verdächtigungen, weil ein durchgehendes Monitoring und damit eine Auditierbarkeit – zum Beispiel nach ISO 27000 – gegeben ist.

Einfache Integration und umfassender Investitionsschutz

Die Sicherheitsrack-Lösung hat die Abmessungen eines Standard-Racks mit 42 Höheneinheiten und 120 cm Tiefe und lässt sich zudem per Software problemlos in bestehende Rechenzentrumsumgebungen integrieren. In den oberen, vollständig separat gesicherten sieben Höheneinheiten befindet sich die Steuereinheit, die restlichen 35 Höheneinheiten bieten Platz für Serversysteme. Dabei können herkömmliche Geräte verwendet werden, was eine Weiterbenutzung bereits bestehender IT-Systeme ermöglicht und für niedrige Investitionskosten sorgt.

Wichtiger Schritt auf dem Weg zu umfassender IT-Sicherheit

Die Sicherheitsrack-Lösung ist eine wichtige Komponente des umfassenden Sicherheitskonzeptes, das das Unternehmen im Rahmen seines Forschungs- und Entwicklungsprojekts »Digitale Souveränität« in Augsburg, München und Paderborn vorantreibt: Das Ziel ist eine manipulationssichere und auditierbare Ende-zu-Ende-Verschlüsselung für den Betrieb von (bestehenden) Applikationen. Die Verschlüsselung reicht dabei vom Endgerät über die Datenübertragung bis hin zu den Servern im Rechenzentrum, den Speichersystemen und zum Backup. Sensible Anwendungen und Daten werden so vollständig vom Rest der bestehenden IT abgekapselt. Ein modularer Aufbau des Konzepts ermöglicht es, das Schutzniveau entsprechend der jeweiligen Anforderungen zu realisieren.

grafik fujitsu stealth data center portscans

https://sp.ts.fujitsu.com/dmsp/Publications/public/ps-stealth-data-center-digitale-souveraenitaet-de.pdf