Blaupause für das perfekte Datacenter (2): Sicherung

Vor einigen Jahren war ich am Bau eines brandneuen Datacenters beteiligt. Für einen Datacenter-Verwalter ist das ein großer Luxus, weil ich so das Gebäude ganz entsprechend den neuesten Technologien einrichten konnte. Gleichzeitig war es aber auch eine Herausforderung, denn es gibt keine Blaupause für ein perfektes Datacenter. Ich möchte Sie an meinen Entscheidungen und Überlegungen teilhaben lassen. Nach der ersten Blaupause über Kühlung jetzt der Schwerpunkt auf Datacenter-Sicherheit.

Datacenter sind für verschiedene Typen von Kriminellen interessant. An erster Stelle die Kupfer- und Aluminiumdiebe. Sie sind vor allem auf der Suche nach unbewachten Gebäuden in Industriegebieten, wo sie ungestört zu Werk gehen können. Daneben stehen Datacenter auch im Blickfeld von Cyber-Kriminellen. Manchmal besteht ihre Motivation darin, eine Website oder die internen Seiten eines Betriebs lahmzulegen, um so der Konkurrenz zu schaden. Andere wollen den wirklichen Zugriff auf die Firmeninformationen und haben dunkle Absichten damit. Wiederum andere sind noch keine sechzehn Jahre alt und betrachten es vor allem als Sport, in die Systeme einzubrechen.

Box-in-einer-Box

Für all diese verschiedenen Arten von Kriminellen sind unterschiedliche Sicherheitsmaßnahmen notwendig. Zunächst sind das physische Maßnahmen, um Unbefugte fernzuhalten. Man kann dabei unglaublich weit gehen: von Infrarotkameras und Stahlzäunen bis zu Absperrkanälen. Das alles kostet natürlich Geld, deshalb muss man eine Risikoanalyse durchführen. Was mich betrifft, so spielen dabei zwei Dinge eine entscheidende Rolle: Der Standort und die Gebäudekonstruktion. Man kann sich beispielsweise vorstellen, dass es nicht praktisch ist, wenn ein Datacenter mitten in der Stadt steht. Verdächtige Gestalten fallen dann nicht schnell auf.

Daneben ist es wichtig, dass das Gebäude eine gute Konstruktion hat. Viele Datacenter, die 'historisch gewachsen' sind, befinden sich in Gebäuden, die überhaupt nicht hierfür geeignet sind. Und das bringt Risiken mit sich. Wenn die Mauern beispielsweise recht dünn sind, kann man sie im Prinzip mit einem Auto durchbrechen. Ein Datacenter-Gebäude kann auch direkt an ein anderes Gebäude angrenzen, was den Kriminellen eine unauffällige Art bietet, einzudringen. Das ideale Datacenter-Gebäude ist eigentlich eine Box-in-einer-Box. Dann kann man nicht einfach durch die Tür eintreten. Denn bei allen Einbrüchen muss man sich realisieren: Wenn jemand wirklich eindringen und einen hit-and-run Bruch machen will, dann schafft er das auch. Ihre Maßnahmen müssen daher darauf zielen, so schnell wie möglich einen Alarm abzusetzen und Kriminelle so viel wie möglich zu behindern.

Social engineering

Datacenter in den Niederlanden sind physisch relativ gut gesichert. Viel komplizierter ist die Abwehr von Cyber-Kriminellen. Schutz vor Cyber-Kriminellen ist vor allem auch deshalb so schwierig, weil es hier um geteilte Verantwortung geht. Die Kunden, die ein Datacenter nutzen, müssen ebenfalls Maßnahmen ergreifen. Ihre Rolle als Datacenter ist daher zu einem Teil auf das Angebot von Diensten gegen Angriffe beschränkt. Unsere Kunden können beispielsweise eine Dienstleistung abnehmen, die sie gegen DDoS schützt. Sie können auch eine Firewall mieten. Wenn aber diese Art von Dienstleistungen nicht abgenommen wird und die Menschen die Maßnahmen auch nicht selbst ergreifen, ist nicht zu verhindern, dass eingebrochen wird.

Die am häufigsten vorkommende Form von Hacking jedoch, mit der wir als Previder zu tun haben, ist Social Engineering. Eine Person gibt sich als Kunde aus und will beispielsweise einen Server neu starten oder benötigt die Einlog-Informationen. Wir sind dies mit einem geradlinigen Protokoll angegangen, das vorschreibt, welche Informationen definitiv nicht erteilt werden dürfen. Außerdem arbeiten wir mit einer Secure Access List: Eine Liste von Befugten, die bestimmte Handlungen ausführen dürfen. Wenn der Neustart eines Servers nachgefragt wird, dann wird die Person auf der Liste zur Kontrolle angerufen. So wird die Identität verifiziert.

DDoS

Ein separater Fall ist die Abwehr gegen einen DDoS-Angriff, ein beliebtes Mittel von Cyber-Kriminellen, um die Website eines Unternehmens lahmzulegen. Es gibt in der Tat zwei Typen von DDoS-Angriffen: die volume-based attack und die application-based attack. Volume-based Angriffe zielen auf die verfügbare Bandbreite in einem Netzwerk. Es wird eine enorme Menge generischer Nachrichten verschickt und die Bandbreite ist dafür letztendlich nicht ausgelegt. Da der Traffic in Form von Volumen schnell ansteigt, fällt ein Volume-based Angriff auf und man kann ihn als Provider gut erkennen. Der verdächtige Traffic wird daraufhin geliefert und nur der 'gesäuberte' Internet-Traffic wird ausgeliefert.

Application-based attacks sind anders. Diese Angriffe zielen auf die dahinter liegenden Systeme einer Site oder eines Dienstes. Sie rufen beispielsweise unglaublich oft ein Webformular auf, füllen es nur halb aus und schicken es zur Verarbeitung an das dahinter liegende System. Genau so lange, bis dieses System irgendwann crasht. Der Erfolg eines application-based attacks hängt stark davon ab, wie die Site aufgebaut ist. Wenn eine bestimmte Verarbeitung 'logisch' aufgebaut ist, dann kostet das weniger Verarbeitung und das dahinter liegende System kann mehr Requests abwickeln. Unabhängig von dieser eigenen Verantwortung ist es für den Datacenter-Anbieter viel schwieriger, diese Art von DDoS-Angriff zu erkennen. Es gibt keine Volumenspitze und es ist auch schwierig, festzustellen, was 'normaler' Traffic für einen bestimmten Kunden ist.

Dieser Beitrag ist eine Fortsetzung zum Kommentar Blaupause für das perfekte Datacenter (1): Kühlung.

Media
  • blauwdruk.jpg