Wie positionieren sich die Anbieter von Cloud und Datacenter Security im deutschen Markt?

Der Schutz der Rechenzentren mit Firewalls und Virenscannern reichen nicht mehr aus. Virtuelle Umgebungen und Cloud Computing verlangen nach einem robusten Schutz. Attacken aus dem Internet werden immer intelligenter, um Daten auszuspionieren oder den Rechenzentrumsbetrieb lahmzulegen. Darüber hinaus stellt der Gesetzgeber Anforderungen, um die Sicherheit im hohen Maße zu garantieren. Unregelmäßigkeiten müssen fälschungssicher protokolliert werden. Aber auch im eigenen Interesse muss ein umfassender Schutz gewährleistet sein, unabhängig von der Unternehmensgröße.

Bottom Line (ICT-Anbitersicht):

Die Anbieter sind gefordert, Sicherheitsprodukte für den Schutz der Datacenter und der Cloud-Computing-Lösungen anzubieten und weiterzuentwickeln. Flexible, modular aufgebaute Systeme sind gefragt, die ein hohes Maß an Sicherheit garantieren.

 

Die Absicherung von Gefahren und Bedrohungen im Rechenzentrum ist ein wichtiges Thema geworden. In der Vergangenheit hat es ausgereicht, wenn die IT-Systeme wie Server, Speichersysteme und Netzwerkkomponenten durch eine herkömmliche Firewall und einem Virenscanner geschützt waren. Die Architektur der IT-Infrastruktur ist durch den Einsatz von virtuellen Maschinen, Cloud Computing (private und public) sowie Mobile Computing komplexer geworden. Mit den herkömmlichen Mechanismen ist der Schutz nicht mehr gewährleistet. Neben dieser Komplexität haben Cyber-Attacken und Bedrohungen zugenommen und sind raffinierter geworden.

Für die Hacker ist es einfach, bereits vorgefertigte Tools aus dem Internet herunterzuladen. Ein Beispiel ist das BlackHole Exploit Kit. BlackHole ist in der Lage, Sicherheitslücken in Webbrowsern auszunutzen, um Viren, Bot-Netze, Trojaner und andere Schadsoftware auf die Rechner der ahnungslosen Opfer herunterzuladen. Diese spektakulären Attacken können jedes Unternehmen treffen. Das Ausmaß des finanziellen und Image-Schadens sind immens.

Der Gesetzgeber erlässt immer mehr Gesetze, Verordnungen, Richtlinien, um den sicheren RZ-Betrieb zu garantieren. Es werden auch interne Richtlinien festgelegt. Alle diese Richtlinien müssen auf Einhaltung überprüft und protokolliert werden. In Deutschland besteht derzeit keine Verpflichtung, ein Compliance-Management-System zu installieren. Viele Firmen helfen sich mit Aufzeichnungen im Excel-Format, hiermit ist es aber ein Problem, Compliance Audits zu bestehen. Bereits installierte Systeme, die das Datacenter besser schützen sollen, sind oft Silo-Lösungen. Dabei gibt es oft Korrelationsprobleme.

Für die Sicherheit des Datacenters, gleichgültig ob es on premise oder in der Private- bzw. Hybrid Cloud betrieben wird, müssen entsprechende Maßnahmen vorgenommen werden, um Sicherheitslücken aufzuspüren und zu schließen – und das in Echtzeit.

Für die Anwender ist dieses Thema von immenser Bedeutung. Bei einer schlechten oder gar keiner Absicherung des Datacenters kann es zu wirtschaftlichen Schäden kommen bis hin zur Aufgabe des Unternehmens. Dies führt außerdem zu Vertrauensverlusten bei den Geschäftspartnern. Es kostet weitaus mehr Anstrengungen, einen verlorenen Kunden zurück zu gewinnen, als einen neuen zu akquirieren.

Im ersten Security Vendor Benchmark für Deutschland, den Experton Group Anfang des Jahres vorstellte, wurde unter anderem auch der Markt für Cloud und Datacenter Security untersucht.

Es wurden dabei Sicherheitssysteme bewertet, die in der Lage sind, das Datacenter robust zu schützen. Die Überwachung erfolgt automatisch und bestehen oftmals aus mehreren Modulen, die nach Bedarf eingesetzt werden können. Ein zentrales Monitoring erleichtert die Überwachung. Ein einheitliches, fälschungssichere Reporting Tool sorgt dafür, dass die Ereignisse korreliert und protokolliert werden. Die Überwachung kann mit eigenen Mitarbeitern erfolgen oder werden as a service angeboten und können on premise oder für Cloud-Lösungen eingesetzt werden.

Es wurde sowohl das Portfolio der Anbieter, die ihre Produkte anbieten, als auch Dienstleister, die keine eigenen Produkte anbieten, bewertet. Diese Betrachtungsweise ermöglicht dem Anwender, Produkte auszuwählen, die für ihn in Frage kommen und Dienstleister, die in der Lage sind, den Kunden ganzheitlich zu beraten. Nur wenige Vendoren bieten das gesamte Spektrum an, das für die IT-Sicherheit sinnvoll eingesetzt werden soll. Darüber hinaus nutzen viele Vendoren die Channel-Partner, um ihre Produkte zu vermarkten und zu installieren.

Zentrale Bewertungskriterien der Anbieter von Cloud und Datacenter Security waren:

  • Erkennen von Anomalien bei physischen Servern
  • Erkennen von Anomalien bei virtuellen, Hypervisor-Servern/-Applikationen
  • Können virtuelle und physikalische Netzwerke überwacht werden
  • Gibt es eine einheitliche Überwachungsplattform für virtuelle und physische Infrastrukturen
  • Unterstützen von verschiedene Anbietern für virtuelle Umgebungen (z.B. VM Ware, Citrix, Microsoft Hyper V, Open Stack)
  • Erkennen von Angriffen und deren Auswirkungen innerhalb virtueller Umgebungen
  • Kann die Compliance der virtuellen Umgebungen mit den definierten Vorgaben überprüft werden

Bewertung einzelner Anbieter

Von den bewerteten Anbietern dieser Kategorie platzierten sich insgesamt 14 Anbieter im Leader-Quadranten.

  • Akamai
  • Atos
  • BT
  • Cisco
  • Computacenter
  • Deutsche Telekom
  • EMC
  • Fortinet
  • HP
  • IBM
  • Microsoft
  • Symantec
  • Trend Micro
  • VMware

Akamai ist ein führender Anbieter von Sicherheitslösungen im Cloud- und Datacenter-Umfeld. Anfang 2014 hat Akamai Prolexic übernommen. Das Produkt ist sehr erfolgreich, um Datacenter umfassend zu schützen. DoS-Attacken (Denial of Service) und DDoS-Attacken (Distributed Denial of Service) werden in Echtzeit und ohne Leistungsverzögerungen im Netz erkannt und abgewehrt. Eine interessante Lösung für Großunternehmen und E-Commerce-Unternehmen, die eine hohe Geschwindigkeit verlangen, wird um Attacken erkennen und abwehren können, ohne die Performance spürbar zu beeinträchtigen. Über die Akamai Intelligent Plattform werden permanent die Daten im Web anonymisiert und ausgewertet. Durch Datenanalysen entsteht ein Bild, was im Internet geschieht; ob sich neue Bedrohungen entwickeln. Dadurch können Sicherheitsregeln verfeinert werden, um den Sicherheitsschutz zu verbessern. Web-Anwendungen schützt das Produkt Kona Site Defender. Ein integrierter Prozess innerhalb der Akamai Intelligent Plattform prüft jede http- und https-Anfrage, erkennt und blockiert Bedrohungen für Web-Anwendungen, bevor sie das Datacenter erreicht.

grafik experton security vendor benchmark deutschland

Abbildung: Positionierung der Anbieter von Cloud and Data Security im deutschen Markt. Quelle: Experton Group AG, 2015.

Atos beschäftigt in Deutschland 115 Mitarbeiter, die sich mit IT-Security befassen. Atos kann ein ganzheitliches Konzept herstellerneutral für den Kunden aus einer Hand anbieten, umsetzen und nach der Installation auch den Support bieten. Atos arbeitet mit vielen namhaften Sicherheitsanbietern zusammen, die alle Anforderungen erfüllen, die für die Sicherheit von Cloud- und Datacenter-Sicherheit erforderlich sind und kann somit dem Kunden eine optimale Lösung anbieten. Die Überwachung mit einem umfassenden Monitoring der IT-Infrastruktur bei den Olympischen Spielen lag in der Verantwortung der Atos. Dieses Know-how bietet Atos den Kunden as a Service an.

BT (British Telecom) beschäftigt rund 150 Mitarbeiter in Deutschland, die sich mit IT-Sicherheit befassen. BT ist in der Lage, ein ganzheitliches Konzept herstellerneutral anzubieten, umzusetzen und nach der Installation zu betreuen. BT arbeitet mit zahlreichen führenden IT-Security-Anbietern zusammen. BT bietet als Dienstleister auch die Überwachung des Datacenters as a Service mit dem Modul Assure Threat Monitoring Service an. Dabei werden Sicherheitsinformationen aus dem Unternehmen erfasst und analysiert.

Cisco bietet mit der Cisco ASA 5585-X einen umfassenden Cloud- und Datacenter-Schutz an. Mit den Threat Intelligence Feeds von Cisco Collective Security Intelligence (CSI) wird der Internetverkehr beobachtet und analysiert. Auffälligkeiten werden sofort an die Kunden weitergeleitet, um nahezu in Echtzeit den Schutz vor Attacken zu verhindern. Mit Intrusion Prevention Systemen (IPS) wird die Möglichkeit geboten, Datacenter vor Attacken und Bedrohungen zu schützen. IPS ist eine Intrusion-Abwehr basierend auf der Snort Detection Engine, die mit der Firewall kombiniert werden kann. Die Adaptive-IPS-Phase bindet die passive Echtzeit-Netzwerkintelligenz von Sourcefire RNA (Real-time Network Awareness) ein, die eine automatische Bedrohungseinschätzung bietet und eine signifikante Reduktion der false Positives und false Negatives bewirkt. Snort ist ein regelbasiertes Netzwerk-Intrusion-Prevention- und -Detection-System, das signatur-, protokoll- und anomaliebasierte Methoden verbindet. Sourcefire erweitert die Funktionalität um die Überwachung des Netzwerkverhaltens. Sourcefires RNA pflegt und dokumentiert durchgehend die Netzwerkprofile und die relevanten Schwachstellen.

Computacenter hat innerhalb des Unternehmens in Deutschland einen Bereich mit etwa 170 Mitarbeitern, die sich mit IT-Security beschäftigen. Computacenter kann ein ganzheitliches Konzept herstellerneutral für den Kunden aus einer Hand anbieten, umsetzen und nach der Installation auch den Support leisten. Als Systemhaus hat Computacenter den Vorteil, den gesamten Datacenter-Betrieb zu kennen, um darauf aufbauend eine maßgeschneiderte Lösung anzubieten. Ein Benefit auf beiden Seiten; nicht jeder Kunde braucht alles, was am Markt angeboten wird. Computacenter hat ein sehr breit angelegtes Portfolio von Datacenter-Sicherheitslösungen namhafter Anbieter, um die Kundenanforderungen zu erfüllen.

Die Deutsche Telekom bietet ein breites IT-Security-Portfolio an und ist in diesem Segment seit mehr als 17 Jahren am Markt vertreten. Rund 600 Mitarbeiter beschäftigen sich mit diesem Thema. Es werden Lösungen angeboten, sowohl on premise als auch in der Cloud. Es werden Security Checks angeboten, wobei auch Angriffe simuliert werden, um Sicherheitslücken im Datacenter zu identifizieren. Aufgrund der Ergebnisse wird ein Maßnahmenkatalog erstellt. Das Cyber Emergency Response Team (CERT) beobachtet weltweit Cybervorfälle und analysiert diese, um Gegenmaßnahmen zu entwickeln. Die Deutsche Telekom erweitert diese Einrichtung und baut gegenwärtig ein intelligentes Cyber-Abwehrzentrum auf. Damit sollen professionelle Angreifer bereits im Netz erkannt und abgewehrt werden. Basis hierzu ist die Erfahrung von CERT.

EMC/RSA haben im Bereich der IT Infrastruktursicherheit stark investiert. Unter dem Dach von RSA wurde durch Zukäufe von Archer (DC-Sicherheit) und dem kanadischen Unternehmen Silicium Security (Cyber Defense Services) im Jahr 2012 das IT-Sicherheitsportfolio massiv ausgebaut. Mit der RSA Archer Plattform, die aus diversen Modulen besteht, werden die Governance, Risiken und Compliance gemanagt. Mit dem Erwerb von Silicium Security bietet RSA ein Produkt an, das erfolgreich Attacken erkennt und bekämpft. Mit diesem Angebot können das Datacenter, physische und virtuelle Umgebungen sowie Cloud-Lösungen geschützt werden.

Fortinet bietet mit Fortigate ein breites Angebot von NGF (Next Generation Firewall) für Kleinunternehmen über KMU bis zu Großunternehmen an. Fortigate besteht aus Hardware und einer Vielzahl von Appliances. Neben den Funktionen einer Firewall besteht Fortigate aus vielen Sicherheitsmodulen für den Schutz von physischen, virtuellen und Servern sowie Cloud Computing. Damit lassen sich Bedrohungen durch Viren, Exploits und Attacken bekämpfen. Mit FortiSandbox können gefährliche Cyber-Attacken auf die IT-Infrastruktur erkannt und verhindert werden. Bedrohungen werden an das Fortguard Labs gesendet und Updates in Echtzeit zurückgesendet. Vorhandene und zukünftige Bedrohungen werden dadurch sofort aufgedeckt bzw. abgewehrt. Hardware, Software, Service sind ausschließlich Eigenentwicklungen von Fortinet. Nach Eigenangaben hat Fortigate die weltweit schnellste Performance mit geringer Latenzzeit. Die Systeme sind benutzerfreundlich und haben eine einheitliche Monitoring-Oberfläche. Fortinet hat erkannt, dass nur eine ganzheitliche Lösung, bestehend aus einer Firewall und den erforderlichen Sicherheitsmodulen, möglichst aus einer Hand, den Bedrohungen begegnen kann.

HP bietet mit Data Center Transformation Services und HP Cloud Protection Produkte an, die die Datacenter schützen. Dabei untersucht HP die Schwachstellen im Datacenter und der Cloud und gibt als Resultat Empfehlungen ab, wie es abgesichert werden kann und welche Lösung für den Kunden das Optimum darstellt, on premise, managed oder cloudbasierend. HP bietet mit der Tipping Point Firewall ein starkes Produkt, um ein Schutzschild für das Datacenter zu errichten.

IBM als einer der Leader bietet mit Produkten der QRadar Intelligence Platform ein umfassendes Angebot, um das Datacenter zu schützen, gleichgültig ob on premise, virtuell oder hinsichtlich Cloud Computing. QRadar besteht aus mehreren Modulen, die je nach Kundenbedarf eingesetzt werden können. Das Produkt lässt sich schnell und einfach in die IT Infrastruktur implementieren und ist sofort einsatzbereit. Durch ein Prüf- und Scan-Programm werden Sicherheitslücken und -risiken schnell erkannt. Mit diesen Informationen kann der Sicherheitsadministrator Richtlinien umsetzen, bevor es zu einer Attacke kommt. Durch die Integrationsfähigkeit können Ereignisprotokolle aus den verschiedenen Bereichen wie Server, Netzwerk und Prozessen korreliert und analysiert werden. Entdeckte Angriffe werden abgewehrt. Ein intuitives Monitoring erleichtert dem Administrator die Arbeit. Vom Gesetzgeber geforderte Richtlinien werden umgesetzt und fälschungssicher protokolliert.

Experten des IBM Security X–Force Threat Intelligence Teams analysieren permanent die Bedrohungslage im Internet. Neue Sicherheitsbedrohungen werden automatisch minutengenau in das QRadar eingespeist und bieten damit dem Anwender ein sehr hohes Maß an Sicherheit. Unternehmen können Gefahren schneller erkennen und verhindern bzw. verringern dadurch Attacken auf ein Minimum.

Microsoft bietet umfassende Lösungen für die Sicherheit in der Cloud-Umgebung an. Das Microsoft Azure Vertrauenscenter beschäftigt mit den Bereichen Digital Crimes Unit, Cybercrime Center, Malware Protection Center mehrere Teams, um die Sicherheit auf einem hohen Niveau zu halten. Die IT-Infrastruktur wird rund um die Uhr überwacht und fälschungssicher protokolliert. Der Cloud Service berücksichtigt die länderspezifischen gesetzlichen Vorschriften und erstellt umfangreiche Audit Berichte, mit denen die Sicherheit nachgewiesen werden kann. Microsoft arbeitet mit namhaften Security-Anbietern zusammen, um weitere Sicherheitslösungen bereitzustellen.

Symantec bietet ein breites Portfolio an Sicherheitslösungen für den Schutz von physischen und virtuellen Servern in Datacentern sowie für Cloud Computing an. Symantec Data Center Security überwacht die Server automatisch, Anomalien werden in Echtzeit festgestellt und zeigen auf, wie sie auftreten. Bedrohungen lösen einen sofortigen Alarm aus. Auch interne Missbräuche und Fehlkonfigurationen, die unter normalen Umständen nicht erkannt werden. Virtuelle VMWare-Umgebungen werden geschützt und überwacht. Die Sicherheit kann an die SDDC (Software Defined Datacenter) angepasst werden. Ein einheitliches Monitoring mit grafischer Oberfläche gibt dem Administrator die Möglichkeit, die Systeme zu überwachen. Das Produkt wird mit den wichtigsten Richtlinien vorgefertigt ausgeliefert. Zusätzliche Unternehmensanforderungen nimmt der Administrator vor. Mit dem SOC (Security Operations Center) werden Internetprotokolle anonymisiert und ausgewertet. Symantec bietet in Echtzeit Schutz vor bekannten und neuen Bedrohungen und ermöglicht somit den Kunden, Risiken zu minimieren. Symantec bietet die Security-Überwachung auch als Managed Service an.

Trend Micro bietet einen umfassenden Schutz rund um das Datacenter. Mit Deep Security wird eine einheitliche Serverplattform für physische, virtuelle und Cloud-Server sowie hybride Umgebungen mit zahlreichen Sicherheitsmodulen angeboten. Das Monitoring erfolgt über eine zentrale Plattform. Es bietet eine agentenlose Sicherheit in der VM-Umgebung. Das bedeutet, dass keine separaten Agenten auf die einzelnen virtuellen Maschinen implementiert werden müssen. Als Ergebnis werden Server und Netzwerke nur gering belastet. Wird die VM-Umgebung erweitert, erkennt Deep Security automatisch die neuen Server, und sie werden in die Überwachung aufgenommen. Der Verwaltungsaufwand reduziert sich auf ein Mindestmaß. Trend Micro unterhält nach eigenen Angaben das weltweit größte Netzwerk, um neue Angriffe sowie Angriffsmethoden frühzeitig zu erkennen und sofort zu reagieren. Die Produkte werden auch as a Service angeboten.

Wolfgang Heinhaus

Wolfgang Heinhaus, Partner Advisor bei der Experton Group 

Weitere Artikel zu