Ein mehrschichtiges Konzept für die Sicherheit

author-image

Von

Ein mehrschichtiges Konzept für die Sicherheit
Eine der Herausforderungen bei der Sicherung der Cloud-Infrastruktur besteht darin, dass die Angriffsfläche so groß ist. Schwachstellen können auf der Ebene der Anwendungen, des Betriebssystems, des Hypervisors, des BIOS oder der Firmware ausgenutzt werden. Dies ist ein verschiedenartiges und komplexes System, das es zu schützen gilt; gleichzeitig muss die notwendige Offenheit erhalten bleiben, die das effektive Hosting von Workloads erfordert.

Wenn es der Malware gelingt, eine Schicht der Infrastruktur zu infiltrieren, ist der gesamte Stack gefährdet. Malware auf Ebene der Firmware oder des BIOS kann besonders schwer zu erkennen oder mithilfe von Software zu beseitigen sein. Diese Ebenen sind nichtflüchtig, sodass jede Malware einen Hardware-Reset übersteht, und alles auf dieser Ebene könnte einen hoch privilegierten Zugang zu den höheren Schichten bis hin zu den Daten haben.

Für mehrschichtigen Schutz sorgen
Es gibt keine einzelne Lösung, die das gesamte Softwaresystem schützen kann. Damit jede Schicht der Infrastruktur geschützt wird, müssen mehrere Lösungen zusammen verwendet werden.

• Schutz der Firmware: Starten Sie mit der Implementierung eines Vertrauensankers („Root of Trust“) in der Hardware. Intel® Boot Guard kann verwendet werden, um eine kryptographische Root of Trust for Measurement (RTM) der früh zu startenden Firmware umzusetzen, damit Maßnahmen ergriffen werden können, wenn sie manipuliert wurde. Die Intel® Platform-Firmware-Resilience-Technik (Intel® PFR) kann überprüfen, ob die Firmware-Signatur beim Start korrekt und das Bootverhalten normal ist. Darüber hinaus kann sie auch sicherstellen, dass nur Erlaubtliste-Befehle Zugriff auf den Flash- und Wiederherstellungsspeicher haben und die Firmware bei festgestellter Beschädigung wiederherstellen.

• Schutz von BIOS, Betriebssystem und Hypervisor: Die Intel® Trusted-Execution-Technik (Intel® TXT) soll Plattformen für Bedrohungen durch Hypervisor-Angriffe, BIOS- oder anderen Firmware-Angriffen, schädlichen Rootkit-Installationen und softwarebasierten Angriffen unempfindlich machen. Die Technik erhöht den Schutz, indem sie durch das „Measured Launch Environment“ (MLE) eine bessere Kontrolle beim Systemstart und eine Isolierung innerhalb des Bootvorgangs ermöglicht. Mit Intel® TXT können Sie das sichere Installieren und Starten eines Hypervisors oder Betriebssystems überprüfen.

• Schutz der Anwendung: Malware wird oft mit dem Ziel eingesetzt, sensible Daten und proprietären Code zu stehlen. Die Intel® Software Guard Extensions (Intel® SGX) wurden mit der skalierbaren Intel® Xeon® Prozessorreihe eingeführt und ermöglichen die Einrichtung sicherer Enklaven, die auf Hardwareebene geschützt sind. Auf den Code und die Daten innerhalb dieser sicheren Enklaven kann nur mit vertrauenswürdigem Anwendungscode zugegriffen werden. Während Daten im Ruhezustand, also gespeicherte Daten, durch Verschlüsselung geschützt werden können, schützen die Intel® SGX auch Daten, die gerade verwendet bzw. verarbeitet werden und bewahren sie vor privilegierter Malware auf der Ebene des Betriebssystems, Hypervisors oder BIOS.

Sicherheit wird zu Profit
Cloud-Service-Provider müssen ihre Sicherheit als Abwehrmaßnahme erhöhen, doch diese verbesserte Sicherheit ist auch eine Chance für das Geschäftswachstum. Es kann einfacher sein, Kunden aus streng regulierten Sparten zu gewinnen, wenn man zum Beispiel die Einhaltung der NIST SP800-193 Platform Firmware Resiliency Guidelines nachweisen kann, wobei die Intel® PFR hilfreich sein kann.

Sie könnten möglicherweise auch Dienste einrichten, die auf verbesserten Sicherheitstechniken basieren. Der Cloud-Serviceanbieter PhoenixNAP bietet die Data Security Cloud an, einen Virtualisierungsservice, der Kunden Sicherheitstools bereitstellt und von einem Team zur Überwachung und Verwaltung der Sicherheit unterstützt wird. verwendet Equinix Intel® SGX, um eine wichtige Management- und Verschlüsselungs-Software as a Service (SaaS) zu entwickeln.

Weitere Informationen über die Verbesserung der Sicherheit Ihrer Infrastruktur finden Sie in Intels neuem eGuide: Drei Sicherheitsschichten für eine sicherere Cloud.