END-TO-END SERVERSICHERHEIT: LEITFADEN FÜR IT-FÜHRUNGSKRÄFTE - Ein Business-Whitepaper der Dell EMC PowerEdge Server Solutions Group

Die Seite wird erstellt Hanno Kroll

Computer und Technik

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

END-TO-END SERVERSICHERHEIT: LEITFADEN FÜR IT-FÜHRUNGSKRÄFTE - Ein Business-Whitepaper der Dell EMC PowerEdge Server Solutions Group

WHITEPAPER

END-TO-END
SERVERSICHERHEIT:
LEITFADEN FÜR IT-FÜHRUNGSKRÄFTE
Ein Business-Whitepaper der
Dell EMC PowerEdge Server Solutions Group

© 2018 Dell Inc. oder ihre Tochtergesellschaften   End-to-End-Serversicherheit: Leitfaden für IT-Führungskräfte

Zusammenfassung
Wenn Unternehmen den Weg zu einer IT-Transformation einschlagen,
konzentrieren sich Führungskräfte allzu oft nicht ausreichend auf
die Serversicherheit. Wenn die Sicherheit vernachlässigt wird, weist
das Rechenzentrum eine Fülle von Sicherheitsschwachstellen auf
und kann zum Hauptziel schädlicher Angriffe werden. Dieses auf
Best Practices ausgelegte Whitepaper bietet Führungskräften ein
Framework für die Bewertung, ob ihre Anbieter „Sicherheitsvorreiter“
oder „Sicherheitsnachzügler“ sind. End-to-End-Sicherheit ist einer
der wesentlichen Bausteine einer erfolgreichen IT-Transformation und
wir werden zeigen, wie PowerEdge-Server auf einzigartige Weise
genau dafür konzipiert sind. Darüber hinaus stellen wir zentrale Fragen
bereit, die jeder CIO, CISO und IT-Leiter seinem Serveranbieter stellen
sollte. Diese Fragen sorgen dafür, dass Sie Ihren Serveranbieter auf
der Grundlage einer fundierten Entscheidung auswählen, insbesondere
wenn Sicherheit eine wichtige Rolle spielt.

Dieses Whitepaper ist in Abschnitte unterteilt, in denen die Bedeutung
Bei PowerEdge-Servern der IT-Infrastruktursicherheit beschrieben wird. Zudem werden die
wesentlichen Kriterien erläutert, mit denen IT-Führungskräfte die
ist Sicherheit integriert,
End-to-End-Serversicherheit ermitteln können.
nicht aufgesetzt.
1. Vertrauen und die moderne IT-Infrastrukturr
Sie, warum Sie sich über die Serversicherheit (oder fehlende
Sicherheit) Gedanken machen sollten.

2. End-to-End-Serversicherheit
Erfahren Sie mehr darüber, wie Dell EMC End-to-End-
Serversicherheit definiert. In diesem Abschnitt finden Sie
außerdem wichtige Merkmale, mit denen Unternehmens- und IT-
Führungskräfte potenzielle Serveranbieter klassifizieren können.

3. Wichtige Sicherheitskriterien für die moderne IT-Infrastruktur
Hier finden Sie die Sicherheitsfragen, die IT-Führungskräfte ihrem
Serveranbieter stellen sollten, bevor sie eine IT-Transformation
angehen.

4. Fazit und weitere Ressourcen

In diesem Whitepaper soll der umfassende Ansatz der Serversicherheit
von Dell EMC hervorgehoben werden. Bei PowerEdge-Servern ist
Sicherheit integriert, nicht aufgesetzt. Durch die Verwendung einer
cybersicheren Architektur verpflichtet sich Dell EMC für die End-to-
End-Serversicherheit auf allen PowerEdge-Servern. Das bedeutet,
dass wir uns auf die oft übersehenen Sicherheitsfunktionen auf der
Firmware- und Hardwareebene konzentrieren. Darüber hinaus werden
PowerEdge-Server mit Standardsicherheitseinstellungen ausgeliefert,
die den gesamten IT-Sicherheitslebenszyklus gemäß dem NIST
Cybersecurity Framework umspannen. Auf einem PowerEdge-Server
ist Sicherheit Standard, nicht nur eine Reihe von Funktionen.

Vertrauen und die moderne Infrastruktur
Führungskräfte von Unternehmen wissen, dass sie ihr Unternehmen
digitalisieren müssen, wenn sie ihren weiteren Erfolg sichern möchten.
Mit der starken Zunahme von intelligenten Geräten und verbundenen
Sensoren sowie dem ständigen und unersättlichen Streben nach
datengesteuerten Erkenntnissen hat sich die IT von einer Funktion
des technischen Bereichs zu einer Strategie von Führungskräften
gewandelt. Die IT-Transformation beginnt mit einer modernen
IT-Infrastruktur. Die Modernisierung der IT basiert auf einer sicheren
Grundlage. Es geht darum, neue Arten von Infrastrukturen zu
entwickeln, mit denen Sie sowohl die Workloads unterstützen können,
die Ihr Unternehmen heute voranbringen, als auch die neuen Workloads,
die den Erfolg Ihres Unternehmens in der Zukunft sichern werden.
Gartner sagt dazu: „Ein digitales Unternehmen ist ereignisorientiert,
was bedeutet, dass es kontinuierlich aufmerksam sein und sich
anpassen muss. Dasselbe gilt für die unterstützende Sicherheits- und
Risikoinfrastruktur, die sich darauf konzentrieren muss, potenzielle
Eindringlinge abzuwehren und Sicherheitsereignisse vorherzusehen.“1 Ein digitales
Server bilden die Grundlage der modernen IT-Infrastruktur – und Unternehmen ist
führen verschiedenste Workloads von Datenbanken bis zu Software ereignisorientiert,
Defined Storage aus. Daher ist die Rechnerleistung heute noch es muss also
ausschlaggebender für den Erfolg in einer digitalen Wirtschaft.
Deshalb werden Server zu einem primären Ziel für schädliche kontinuierlich
Angriffe. Server sind auch hochgradig anfällig für unabsichtliche aufmerksam sein
Sicherheitsunfälle, da die Serversicherheit von Unternehmen oft und sich anpassen.
übersehen oder vernachlässigt wird. Wenn sich Ihr Unternehmen
mitten in einer IT-Transformation befindet, müssen Sie unbedingt
berücksichtigen, wie Ihr IT-Anbieter für End-to-End-Serversicherheit
sorgt, BEVOR Sie eine wirtschaftliche Vereinbarung abschließen.
Selbst wenn Sie einfach nur zusätzliche Rechnerkapazität hinzufügen
oder Ihre Server aktualisieren, muss Sicherheit eine wesentliche
Überlegung sein. Aber bevor wir näher auf das WIE der IT-Infrastruktur
eingehen, lassen Sie uns das WARUM untersuchen.

Die meisten Unternehmen wissen, wie wichtig Sicherheit in der IT ist.
In einer KPMG-Umfrage aus dem Jahr 2017 unter 4.498 CIOs und
Technologieführungskräften gaben 40 % Sicherheit als ein vorrangiges
Problem im Unternehmen an, das die IT nach Meinung des
Unternehmensvorstands angehen muss. In derselben Studie sagten
34 % der IT-Führungskräfte, dass Cybersicherheit ein wichtiges
Thema in der letzten Vorstandssitzung war. Dennoch sind nur 20 %
der Befragten der Meinung, dass sie „sehr gut vorbereitet“ seien, um
auf Cyberangriffe zu reagieren.2 In der letzten IT-Ausgabenprognose
von Gartner wurde geschätzt, dass im Jahr 2018 3,6 Mrd. USD für
IT-Ressourcen ausgegeben werden, eine Steigerung von 4,3 % im
Vergleich zu 2017.3 Aber durchschnittlich werden nur 5,9 % des
IT-Budgets eines Unternehmens für Sicherheit aufgewendet.4
In den meisten Unternehmen entspricht das Ausmaß der Bedenken
nicht der Bereitschaft und den Ausgaben für IT-Sicherheit.

34 %                            der IT-Führungskräfte sagten, dass Cybersicherheit ein
                                                       wichtiges Thema in der letzten Vorstandssitzung war.

                       40 %                          nannten Sicherheit als vorrangiges Unternehmensproblem,
                                                     von dem der Unternehmensvorstand erwartet, dass die
                                                     IT es behebt.

                       20 %                     der Befragten sind der Meinung, dass sie „sehr gut vorbereitet“
                                                sind, um auf Cyberangriffe zu reagieren.

                    Quelle: KMPG-Umfrage aus dem Jahr 2017 unter 4.498 CIOs und Technologieführungskräften

                                                                                                    3,6 Mrd. USD
                                                                                                    Ausgaben 2018
                                                                 3,4 Mrd. USD
                            NUR                                   Ausgaben 2017

                   5,9 %
                                                                                                     te
                                                                                               izier
                                                                                      ro g nost erung
                                                                                    P
                                                                                            Steig
                                                                                    4,3 %
                    AUSGABEN FÜR
                     SICHERHEIT

                    IT-BUDGET 2017                               AUSGABEN FÜR IT-RESSOURCEN

                                           Quelle: Gartner’s IT spending forecast

Ein Beweis für diese Vernachlässigung ist der Mangel an Branchenstudien im Zusammenhang mit
Hardware-/Firmware- und insbesondere Serversicherheit. Im Jahr 2016 hat ISACA eine Umfrage unter
IT-Sicherheitsexperten zum Thema Hardware- und Firmwaresicherheit durchgeführt.5 Dabei sollte ermittelt
werden, wie viele Firmwareangriffe auftreten und was unternommen wird, um Unternehmensrisiken durch
Angriffe auf Firmware zu reduzieren. Die Ergebnisse zeigen, dass die meisten Befragten kein ganzheitliches
Programm für die Beseitigung von Firmwareschwachstellen in ihrer IT-Infrastruktur entwickelt haben.
Mehr als 25 % führen keine Maßnahmen zum Überwachen, Messen oder Erfassen von Firmwaredaten
durch oder wissen nicht, ob ihr Unternehmen solche Maßnahmen ergreift. Mehr als die Hälfte (52 %) der
Studienteilnehmer, die Sicherheit im Hardware-Lebenszyklusmanagement als Priorität betrachten, berichten
von mindestens einem Vorfall, bei dem mit Malware infizierte Firmware in ein Unternehmenssystem gelangte.
Davon gaben 17 % an, dass der Vorfall erhebliche Auswirkungen hatte.

© 2018 Dell Inc. oder ihre Tochtergesellschaften.       End-to-End-Serversicherheit: Leitfaden für IT-Führungskräfte | 4

52% der Teilnehmer, die Sicherheit im
                                                                         Hardware-Lebenszyklusmanagement als Priorität
                                                                         betrachten, berichten von mindestens einem
                                                                         Vorfall, bei dem mit Malware infizierte Firmware
                                                                         in ein Unternehmenssystem gelangte.

           2016
ISACA-Umfrage                                                            Mehr als 25 % führen keine Maßnahmen zum
                                                                         Überwachen, Messen oder Erfassen von
unter IT-Sicher-                                                         Firmwaredaten durch oder wissen nicht, ob
 heits- experten                                                         ihr Unternehmen solche Maßnahmen ergreift

                                                                         17% sagen, dass der Vorfall erhebliche
                                                                         Auswirkungen hatte.

                                         Quelle: ISACA-Umfrage unter IT-Sicherheitsexperten zur Hardware- und
                                         Firmwaresicherheit, 2016.

Was ist End-to-End-Serversicherheit?
Ein sicherer Server ist schwer zu erkennen, wenn Sie nicht wissen, WORAUF Sie achten müssen. Tatsächlich
bieten der Server und seine Sicherheitsfunktionen keine ausreichenden Informationen, um zu ermitteln, ob
der Server durch End-to-End-Sicherheit geschützt ist. Bei der Ermittlung der Sicherheitsstufe des Servers
geht es eher um den Anbieter oder Hersteller und die Frage, wie Sicherheit in dessen Design-, Entwicklungs-
und Fertigungsprozesse integriert ist. Es geht auch darum, ob die Lieferkette End-to-End-Sicherheit bietet.
Ein Server mit integrierter End-to-End-Sicherheit umfasst in der Regel die in Abbildung 1 aufgeführten
Funktionen. Nutzen Sie diese Liste als Richtschnur, wenn Sie ermitteln möchten, ob Ihre Server ausreichend
sicher sind. Um wirklich zu wissen, ob Ihre IT-Infrastruktur sicher ist, müssen Sie nicht nur den Server selbst,
sondern auch Ihren gewählten IT-Partner oder Serveranbieter bewerten.

 Der Server und die Sicherheitsfunktionen bieten keine ausreichenden
 Daten, um zu ermitteln, ob der Server durch End-to-End-Sicherheit
 geschützt ist.

© 2018 Dell Inc. oder ihre Tochtergesellschaften.      End-to-End-Serversicherheit: Leitfaden für IT-Führungskräfte | 5

WICHTIGE END-TO-END-SICHERHEITSFUNKTIONEN
  Sicherheit       Worauf Sie                                      Dell EMC PowerEdge
    Phase         achten sollten                                    Sicherheitsvorteil

                     Chipbasierte       Doppelte chipbasierte Sicherheit: Bietet unveränderbare chipbasierte Sicherheit
                      Sicherheit        für das sichere Starten von iDRAC und BIOS/Firmware.

                       Signierte        Kryptografisch signierte Firmware: Sorgt dafür, dass nur von Dell EMC genehmigte
                       Firmware-        Firmware für kritische Komponenten akzeptiert wird. Verhindert die Einschleusung
  SCHÜTZEN          aktualisierungen    von schädlichem Code während des gesamten Produktlebenszyklus.

                                        iDRAC: Protokolliert Ereignisse in allen Serverkomponenten und stellt Warnmeldungen
                      Always-on-
                      Monitoring        einschließlich empfohlener Aktionen bereit. Das Monitoring wird fortgesetzt, selbst
                                        wenn der Server ausgeschaltet ist.

                                        Monitoring von Eindringversuchen: Sensoren erkennen, wenn das Servergehäuse
                      Physische         geöffnet oder manipuliert wird. Physische Sicherheitsereignisse werden im
                      Sicherheit
  ERKENNEN                              iDRAC-Lebenszyklusprotokoll gemeldet, sobald die Stromversorgung hergestellt ist.

                    BIOS- und BS-       Schnelle Recovery: PowerEdge-Server verfügen über integrierte Funktionen
                      Recovery-         zur Wiederherstellung auf ein unberührtes BIOS und eine vorkonfigurierte und
                       Funktion         vorab installierte redundante Kopie des BS-Image.

                     Automatische       Einfache Wiederherstellung: Stellt den Serverstatus nach einem Austausch
 WIEDERHER-         Konfigurations-
                       Recovery         der Hauptplatine schnell wieder her.
  STELLEN

                             Abbildung 1: Wichtige End-to-End-Sicherheitsfunktionen

Die zwei Kategorien der Serverhersteller
                                                                                        SICHERHEITSVORREITER:
Serveranbieter können in zwei Kategorien definiert werden. In Kategorie
                                                                                        • Fokussierung auf Firmware-
A finden sich die Anbieter, die wir als „Sicherheitsvorreiter“ bezeichnen.                und Hardwaresicherheit
Sicherheitsvorreiter werden manchmal auch Hardwarepartner genannt.                      • Direkte Kontrolle über wichtige
Sicherheitsvorreiter sind Unternehmen, die sich schon auf die                             Firmware
                                                                                        • Verwendung von angepassten
IT-Infrastruktursicherheit konzentriert haben, bevor diese von                            Chips geprüfter Hersteller
IT-Experten oder Unternehmensvorständen wahrgenommen wurde.                             • Kontrolle über Serverdesign-
Sicherheitsvorreiter kennen das oben dargestellte Problem der Firmware-                   und -entwicklungsprozess
und Hardwaresicherheit nur zu genau und konzentrieren sich umfassend                    • Bereitstellung von
                                                                                          Sicherheitsfunktionen
darauf. Sie wissen, dass Firmware- und Hardwareschwachstellen zwar                        über den gesamten
oft von Endbenutzern übersehen werden, aber einen gefährlichen                            Sicherheitslebenszyklus
Einstiegspunkt für angehende Hacker darstellen. Aus diesem Grund haben
                                                                                        SICHERHEITSNACHZÜGLER:
sie die direkte Kontrolle über wichtige Firmware wie das BIOS (Basic                    • Sind oft Mitläufer bei
Input/Output System) und den Baseboard-Management-Controller                              Funktionsinnovationen
(BMC). Sicherheitsvorreiter kontrollieren auch die Anpassung der Chips,                 • Wenige bis keine
                                                                                          Sicherheitsfunktionen
auf denen diese Funktionen ausgeführt werden. Sicherheitsvorreiter
                                                                                        • WWenig bis keine Kontrolle
kontrollieren den Serverentwicklungsprozess vom Design bis zur Fertigung                  über die Lieferkette
und stellen integrierte Sicherheitsfunktionen über den gesamten                         • Abhängig von nicht
Sicherheitslebenszyklus bereit – in jedem Server. Und schließlich sind                    angepassten Drittanbieterchips
                                                                                        • Mögliche
Sicherheitsvorreiter der Meinung, dass Serversicherheit und sorgenfreies                  Lizenzierungsgebühr für
Arbeiten zur Standardausstattung gehören sollten.                                         Standardsicherheitsfunktionen

© 2018 Dell Inc. oder ihre Tochtergesellschaften.       End-to-End-Serversicherheit: Leitfaden für IT-Führungskräfte | 6

In Kategorie B befinden sich die „Sicherheitsnachzügler“, die auch
als Hardwareanbieter bezeichnet werden. Serveranbieter in dieser
Kategorie laufen in Bezug auf innovative Sicherheitsfunktion
einfach mit den Sicherheitsvorreitern mit. Oder sie kümmern
sich im Interesse von Kostensenkungen überhaupt nicht um
Sicherheitsfunktionen. Ein Sicherheitsnachzügler hat kaum oder gar
keine Kontrolle über die Fertigungslieferkette, wodurch Hardware-
und Firmwaresicherheitsschwachstellen in das Serverökosystem
eingeführt werden. ODM-Serveranbieter (Original Design Manufacturer)
gehören zu dieser Kategorie. Sicherheitsnachzügler hängen von
Drittanbietersoftware und handelsüblichen Drittanbieterchips ab, haben
also per Definition keine Kontrolle über den Serverentwicklungsprozess
vom Design bis zur Fertigung. Letztendlich können Sie einen
Sicherheitsnachzügler daran erkennen, dass er Sicherheit als
Verantwortung des Endbenutzers betrachtet und behandelt. Oft
verlangen diese Unternehmen eine Sicherheitslizenzierungsgebühr
für Sicherheitsfunktionen, die Standard sein sollten. Wenn Sie mit
einem dieser Anbieter zusammenarbeiten, sollten Sie darauf vorbereitet
Wie sorgen Sie für
sein, die Last der IT-Infrastruktursicherheit selbst zu tragen.
Serversicherheit auf
Wichtige Sicherheitskriterien für die moderne der Firmware- und
IT-Infrastruktur Hardwareebene?
Lassen Sie uns jetzt dazu kommen, WIE Sie sicherstellen, dass Ihr
Rechenzentrum in allen Belangen vom Chip bis zum System sicher
ist. Dell EMC hat vier wichtige Fragen identifiziert, die jeder CIO,
CISO oder IT-Leiter seinem Serveranbieter stellen sollte, wenn eine
IT-Transformation geplant ist. Wenn Sie die richtigen Antworten
erhalten, ist Ihre IT-Infrastruktur sicher genug, um eine erfolgreiche
IT-Transformation zu unterstützen. Wenn Ihr IT-Partner diese Fragen
jedoch nicht beantworten kann oder die unten aufgeführten Standards
nicht einhält, ist es an der Zeit, eine Veränderung in Betracht zu ziehen.

Frage 1: Wie sorgen Sie für Serversicherheit auf der Firmware- und
Hardwareebene?
Viele IT-Abteilungen konzentrieren sich auf Cybersicherheitsaspekte
wie den Schutz des Netzwerks, der Daten, des Betriebssystems
und der Anwendungen, aber weniger auf die zugrunde liegende
Serverinfrastruktur einschließlich Hardware und Firmware. Darüber
hinaus sind Firmware-, Betriebssystem- und App-Funktionen aufgrund
der immer stärkeren Zunahme von IoT-Geräten zunehmend miteinander
verwoben, wodurch die Differenzierung nicht mehr klar ersichtlich ist.
Hardware und Firmware sind weniger häufige Ziele, aber angesichts
des aktuellen Zustands der Hardware-/Firmwaresicherheit ist es nur
eine Frage der Zeit, bis böswillige Angreifer erkannt haben, dass viele
dieser Komponenten Schwachstellen enthalten.

Dell EMC nimmt eine Vorreiterrolle ein, wenn es darum geht, den Markt
                                            über Schwachstellen in der Firmware- und Hardwaresicherheit von
                                            Servern zu informieren. Wir konzentrieren uns bereits seit vielen Jahren
                                            auf Firmware- und Hardwaresicherheit. IT-Sicherheitsexperten wissen,
                                            dass dank des unendlichen Einfallsreichtums von angehenden Hackern
                                            kein System vollkommen sicher ist. Dennoch sollte jeder Server in
                                            Ihrer IT-Infrastruktur mit den folgenden Funktionen ausgestattet sein,
                                            um Schutz vor Angriffen auf die Hardware und Firmware des Servers
                                            bereitzustellen.

                                             Silicon Root of Trust (chipbasierte Sicherheit)

                                                  Dell EMC nutzt eine unveränderliche doppelte chipbasierte
                                                    Sicherheit, um die Integrität und das Starten von BIOS-
                                                    und iDRAC-Firmware bei allen PowerEdge-Servern der
                                                    14. Generation kryptografisch abzusichern.

                                                  Dell EMC hat sich für einen doppelten Ansatz der chipbasierten
                                                    Sicherheit entschieden – die BIOS-/BS-Domain ist unabhängig
Dell EMC nimmt                                      von der iDRAC-Domain.

eine Vorreiterrolle                               Im Gegensatz zu Sicherheitsnachzüglern arbeitet Dell EMC mit
ein, wenn es darum                                  umfassend geprüften Chipherstellern zusammen, um den Chip
                                                    anzupassen und seine Server mit dieser sicheren Technologie zu
geht, den Markt über
                                                    entwickeln.
Schwachstellen in
                                             BIOS-Sicherheit (Basic Input/Output System)
der Firmware- und
                                                  Die Dell EMC PowerEdge-Server der 14. Generation verfügen
Hardwaresicherheit von
                                                    über innovative Funktionen, die neue Möglichkeiten zum Schutz
Servern zu informieren.                             und zur Wiederherstellung des BIOS bieten und dadurch die
                                                    Plattformintegrität während des gesamten Serverlebenszyklus
                                                    sicherstellen.

                                                  Mit Intel Boot Guard6 und BIOS-Recovery unterstreichen
                                                    wir unsere Entwicklungsverpflichtung für die Sicherheit
                                                    und Stabilität Ihrer Unternehmensinfrastruktur.

                                             Physische Sicherheit

                                                  PowerEdge-Server bieten die Erkennung und
                                                    Protokollierung von Eindringversuchen in die Hardware mit
                                                    Erkennungsfunktionen, die auch funktionieren, wenn kein
                                                    Netzstrom verfügbar ist.

                                                  Physische I/O-Ports wie USB-Eingänge können dynamisch
                                                    über iDRAC deaktiviert werden. Auf diese Weise wird die
                                                    Deaktivierung dieser Ports für den Produktionseinsatz
                                                    ermöglicht, aber es kann auch ein vorübergehender Zugriff
                                                    für das Notfallwagendebugging gewährt werden, ohne den
                                                    Server neu starten zu müssen.

   © 2018 Dell Inc. oder ihre Tochtergesellschaften.    End-to-End-Serversicherheit: Leitfaden für IT-Führungskräfte | 8

PowerEdge-Server verfügen über abschließbare Blenden
und Deckel sowie Sensoren, die erkennen, wenn jemand
das Gehäuse öffnet oder manipuliert. Server, die während
des Transports geöffnet wurden, erzeugen ein Protokoll im
iDRAC-Lebenszyklusprotokoll, sobald die Stromversorgung
hergestellt wird

Frage 2: Wie werden meine Server im gesamten
Sicherheitslebenszyklus geschützt?
IT-Infrastruktursicherheit ist kein Ziel, sondern eine fortwährende Reise.
Die IT-Sicherheitsreise jedes Unternehmens basiert auf einem
fortlaufenden Lebenszyklus. Das National Institute of Standards and
Technology (NIST) definiert fünf Kernphasen im Sicherheitslebenszyklus.7
Dell EMC hat das NIST-Framework auf drei Phasen vereinfacht, die das
Unternehmen beibehält: Schützen, Erkennen und Wiederherstellen.
IT-Führungskräfte müssen unbedingt verstehen, wie ihre IT-Infrastruktur
in allen Phasen des Sicherheitslebenszyklus geschützt wird. Wenn
Ihr Serveranbieter nicht umfassend mit dem Sicherheitslebenszyklus
vertraut ist, sollten Sie sich Sorgen machen. Jeder einzelne Server in
Ihrem Rechenzentrum muss mit dedizierten Sicherheitsfunktionen für IT-Infrastruktursicherheit
jede Phase ausgestattet sein: Schützen, Erkennen und Wiederherstellen.
ist kein Ziel, sondern eine
Dell EMC PowerEdge-Server der 14. Generation verfügen über eine fortwährende Reise.
erweiterte cybersichere Architektur, die ein sicherheitsverstärktes
Design bereitstellt, um Schutz, Erkennung und Wiederherstellung rund
um Angriffe auf den Server zu bieten. Wichtige Aspekte der Architektur
sind in Abbildung 2 dargestellt und werden im Folgenden erläutert:
Schützen: Die der Phase „Schützen“ zugrunde liegende
Philosophie basiert darauf, dass Infrastrukturressourcen einen
zuverlässigen Schutz vor unbefugtem Zugriff auf Ressourcen
und Daten sowie der Manipulation kritischer Komponenten wie
integrierter Firmware bieten müssen.
Erkennen: Es ist wichtig, eine Erkennungsfunktion nutzen
zu können, die vollständig transparente Einblicke in die
Konfiguration, den Integritätsstatus und Änderungsereignisse
im Serversystem bietet. Nachdem ein Sicherheitsereignis
erkannt wurde, ist außerdem eine Funktion erforderlich, mit
der Warnmeldungen für sämtliche Ereignisse gesendet werden
können. Und diese Funktionen müssen ALLE Serverkomponenten
abdecken. Dell EMC PowerEdge-Server bieten umfassende
Erkennungsfunktionen über die Sicherheitsfunktionen in Abbildung 2.
Wiederherstellen: IT-Sicherheitsvorfälle sind unvermeidbar. Das
Ausmaß solcher Vorfälle wird jedoch verringert, wenn die richtigen
Recovery-Protokolle vorhanden sind. Die Serverinfrastruktur muss
eine Recovery auf einen bekannten und konsistenten Zustand
in Reaktion auf verschiedene Ereignisse unterstützen. Die
cybersichere Architektur bedeutet, dass PowerEdge-Server darauf
ausgelegt sind, eine schnelle und effektive Wiederherstellung
nach verschiedenen Sicherheitsereignissen bereitzustellen, wie
in Abbildung 2 gezeigt.

Effektiver Schutz
                  • Authentifizierte und autorisierte Benutzerzugriffskontrollen
                  • Kryptografisch vertrauenswürdiger Serverstart
                  • Digital signierte Firmwareaktualisierungen
                  • Verschlüsselter Datenspeicher
                  • Verschlüsselter Datenspeicher

                                     Zuverlässige Erkennung

                  • Gerätemanagement ohne Agent über iDRAC
                  • Umfassendes Monitoring über iDRAC: Lebenszyklusprotokoll
                    und Aktivitätswarnmeldungen
                  • Erkennung von Abweichungen mit der OpenManage
                    Essentials Systems Management Software
                  • Eindringüberwachung zur Erkennung von
                    Gehäusemanipulationen während des Transports

                                        Schnelle Recovery
                  • Schnelle Reaktion auf gängige Schwachstellen und
                      Sicherheitsrisiken                                                               SERVER
                  •   System-Recovery auf zwei Ebenen: Schnelle BS- und
                      BIOS-Recovery
                  •   Firmware-Rollback zur Wiederherstellung auf einen
                      vertrauenswürdigen Systemstatus
                  •   Einfache Wiederherstellung für die automatische Rückkehr zur
                      letzten bekannten Serverkonfiguration und iDRAC-Lizenz sowie
                      den letzten Sicherheits-Policies nach einer Hardwarewartung
                  •   System Erase zum Löschen sensibler Daten und
                      Konfigurationseinstellungen vor der Stilllegung oder
                      Wiederverwendung eines Systems

                                     Abbildung 2: Cybersichere Architektur von Dell EMC

Frage 3: Wie ist Sicherheit in Ihren Produktentwicklungsprozess integriert?
Serveranbieter in der Kategorie „Sicherheitsnachzügler“ reagieren auf diese Frage möglicherweise
nur mit einem ausdruckslosen Blick. Die Bereitstellung der cybersicheren Architektur erfordert
Sicherheitsbewusstsein und Disziplin in jeder Phase der Entwicklung und ist weder günstig noch einfach.
Bei Dell EMC wird dieser Prozess als SDL-Modell (Security Development Lifecycle) bezeichnet, bei dem
Sicherheit kein Nebengedanke, sondern ein wesentlicher Teil des gesamten Serverdesignprozesses
ist. Dieser Designprozess umfasst eine Betrachtung der Sicherheitsanforderungen im gesamten
Serverlebenszyklus, die in der folgenden Liste und in Abbildung 3 dargestellt ist:

 Funktionen werden mit Sicherheit als zentrales Kriterium geplant, entwickelt, als Prototyp getestet,
    implementiert, in die Produktion eingeführt, bereitgestellt und verwaltet.

 Serverfirmware wird darauf ausgelegt, die Einschleusung von schädlichem Code in allen Phasen
    des Produktentwicklungslebenszyklus zu blockieren, zu bekämpfen und zu verhindern.

 Für wichtige Technologien wird der interne SDL-Prozess durch externe Audits ergänzt, die sicherstellen,
    dass die Firmware bekannte sicherheitsbezogene Best Practices einhält.

© 2018 Dell Inc. oder ihre Tochtergesellschaften.         End-to-End-Serversicherheit: Leitfaden für IT-Führungskräfte | 10

Neue potenzielle Schwachstellen werden kontinuierlich mithilfe
der neuesten Sicherheitsbewertungstools getestet und bewertet.

Reaktionen und Reporting für Kunden zu wichtigen allgemeinen
Schwachstellen und Sicherheitsrisiken sowie bei Bedarf empfohlene
Korrekturmaßnahmen werden schnell bereitgestellt.

Service
Anforderungs-
analyse

Sicherheit ist keine
Nebensache, sondern
Veröffentlichung/
Reaktion ein wesentlicher
SECURITY Teil des gesamten
Design
DEVELOPMENT
LIFECYCLE Serverdesignprozesses.

Überprüfung/
Tests
Implementierung

Abbildung 3: Dell EMC Security Development Lifecycle

Frage 4: Was kosten wichtige Sicherheitsfunktionen?
Dies ist zugegebenermaßen eine Fangfrage. Für Dell EMC ist Sicherheit
keine zu lizenzierende Funktionssammlung, sondern eine sich ständig
weiterentwickelnde Reihe von Prioritäten, die unsere Techniker in jeden
PowerEdge-Server integrieren. Dell EMC ist der Ansicht, dass Sicherheit
für jeden fundamental ist, der PowerEdge-Server verwendet. Wir erwarten
nicht, dass Unternehmen eine Sicherheitslizenzierungsgebühr zahlen,
um von einer robusten und cybersicheren Architektur zu profitieren.
Wie wäre es schließlich, wenn Automobilhersteller jährliche Gebühren
für Airbags und Sicherheitsgurte verlangen würden? Dell EMC stellt
nur Server her, die den Security Development Lifecycle durchlaufen
haben und die Standards der cybersicheren Architektur einhalten.
Das Problem ist, dass nicht alle Serveranbieter auf diese Weise mit
Sicherheit umgehen.

Dell EMC rät IT-Führungskräften, das Kleingedruckte zu lesen. Sind diese Server sicher, selbst wenn ich keine
zusätzliche Sicherheitslizenz erwerbe? CIOs und CISOs müssen sich insbesondere diese Frage stellen, bevor
sie eine Vereinbarung zum Erwerb oder zur Aktualisierung eines Servers unterschreiben. Die in Abbildung 1
zusammengefassten End-to-End-Sicherheitsfunktionen sind grundlegende Funktionen, die Standard bei allen
PowerEdge-Servern sind. Informieren Sie sich darüber, was Ihr Serveranbieter für Sicherheitsfunktionen
in Rechnung stellt. Überlegen Sie dann sorgfältig, ob Sie sich mit einem Anbieter wohl fühlen, der nicht
allen Kunden standardmäßig Standardsicherheitsfunktionen – vom Schützen über das Erkennen bis zum
Wiederherstellen – bereitstellt.

Fazit
Führungskräfte, die für die Implementierung einer IT-Transformation verantwortlich sind, müssen mit
der Modernisierung ihrer IT-Infrastruktur beginnen. Ein wichtiger Schritt dieser Modernisierung ist die
Implementierung einer sicheren IT-Infrastruktur. Eine Investition in eine moderne IT-Infrastruktur, die keine
End-to-End-Sicherheit bietet, ist in etwa so, als würden Sie einen neuen Ferrari kaufen und ihn offen in der
Einfahrt stehen lassen, statt ihn abgeschlossen und geschützt in der Garage abzustellen. PowerEdge-Server
sind der Grundstein des modernen Rechenzentrums und Sicherheit ist bei PowerEdge-Servern integriert, nicht
aufgesetzt. Dell EMC hat sich verpflichtet, in jedem PowerEdge-Server für End-to-End-Sicherheit zu sorgen –
beginnend auf der Firmware- und Hardwareebene und über den gesamten IT-Sicherheitslebenszyklus hinweg.

Für IT-Führungskräfte steht viel auf dem Spiel und zu den Risiken einer unzureichenden IT-
Infrastruktursicherheit zählen mögliche Arbeitsplatzverluste, Rufschädigung und finanzielle Schäden. Aus
diesem Grund müssen alle IT-Führungskräfte oder CIOs ihre Serveranbieter auffordern, für End-to-End-
Sicherheit zu sorgen. Stellen Sie Ihrem Serveranbieter die folgenden vier Fragen:

1. „Sind Ihre Server auf der Hardware- und Firmwareebene sicher?“

2. „Sind Ihre Server über den gesamten Sicherheitslebenszyklus sicher?“

3. „Ist Sicherheit in den Produktentwicklungsprozess integriert?“

4. „Muss ich eine Lizenzierungsgebühr zahlen, um von wichtigen Sicherheitsfunktionen zu profitieren?“

Mithilfe dieser Fragen können IT-Führungskräfte und CIOs den Weg zu einer erfolgreichen IT-Transformation
ebnen.

Zusätzliche Ressourcen
Dell EMC PowerEdge-Serversicherheit – im Detail
Whitepaper von Enterprise Management Associates (EMA): Dell EMC PowerEdge Servers:
The Integrated Security Architecture

Technisches Dell EMC Whitepaper: End-to-End-Sicherheit in Dell EMC PowerEdge-Servern
der 14. Generation

Dell EMC – technische Hinweise direkt von der Entwicklung: System Erase auf PowerEdge 14G-Servern

Dell EMC – technische Hinweise direkt von der Entwicklung: Sicherheit im Serverdesign

Dell EMC – technische Hinweise direkt von der Entwicklung: Cybersicherheit beginnt beim Chipsatz
und BIOS

1
„Top 10 Strategic Technology Trends of 2018“, Gartner, 03. Oktober 2017:
https://www.gartner.com/document/3811368?ref=ddrec
2
„Harvey Nash/KPMG CIO Survey 2017“, Harvey Nash/KPMG, 23. Mai 2017:
http://www.kpmg-institutes.com/content/dam/kpmg/advisory-institute/pdf/2017/cio-survey-harvey-nash-2017-us.pdf
3
„Forecast Alert: IT Spending, Worldwide, 3Q17 Update“, Gartner, 29. September 2017:
https://www.gartner.com/document/3810569
4
„IT Key Metrics Data 2017: Key IT Security Measures: by Industry“, Gartner, 12. Dezember 2016:
https://www.gartner.com/document/3524617?ref=solrAll&refval=194212569&qid=c3e5998670a94b9eee7d2a4d5222ea60
5
„Firmware Security Risks and Mitigation: Enterprise Practices and Challenges“, ISACA, 18. Oktober 2016:
http://www.isaca.org/knowledge-center/research/researchdeliverables/pages/firmware-security-risks-and-mitigation.aspx
6
PowerEdge-Server der 14. Generation bieten auch Unterstützung für AMD Secure Boot.
7
„Framework for Improving Critical Infrastructure Cybersecurity“, National Institute of Standards and Technology, 10 Januar 2017:
https://www.nist.gov/sites/default/files/documents////draft-cybersecurity-framework-v1.11.pdf

Weitere Informationen Kontakt zu einem Weitere Ressourcen Reden Sie mit auf Twitter
zu Dell EMC Dell EMC Experten @DellEMCServers
PowerEdge-Lösungen mit #PowerEdge

© 2018 Dell Inc. oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dell, EMC und andere Marken sind
Marken von Dell Inc. oder ihren Tochtergesellschaften. Alle anderen Marken können Marken ihrer jeweiligen
Inhaber sein. Veröffentlicht im Februar 2018.

Sie können auch lesen