Immer mehr behördliche Auflagen führen dazu, dass Compliance-Standards wie PCI DSS, HIPAA und SOX (GLBA) zunehmend auf virtuelle Infrastrukturen Anwendung finden. Mit den richtigen Tools lässt sich auch auf VMware vSphere Compliance erreichen und nachweisen. Häufig ist dies sogar einfacher als in nicht virtuellen Umgebungen.
Bewertung von Management- und Kontrollfunktionen virtueller Plattformen
Zunächst kommt es auf eine sichere Grundlage an. Zunehmende Sicherheitsrisiken erfordern eine besonders flexible und anpassungsfähige Sicherheitsumgebung. Zur Umsetzung und zum Nachweis der Einhaltung von Sicherheitsstandards werden Managementfunktionen der Enterprise-Klasse benötigt. Im Folgenden werden die zur Einhaltung von Compliance empfohlenen Managementfunktionen einer virtuellen Datenverarbeitungsplattform beschrieben.
Authentifizierungs- und Autorisierungsfunktionen
Authentifizierung und Autorisierung stellen die ersten Schritte zu einem umfassenden Sicherheitsmanagement dar. Virtuelle Plattformen müssen an allen externen Schnittstellen über Authentifizierungsprüfungen und die Möglichkeit zur Abstufung von Zugriffsrechten mithilfe eines flexiblen Autorisierungsmodells verfügen. Es muss möglich sein, diese Zugriffsrechte auf bestimmte Objekte und Teile der Infrastruktur zu beschränken und den richtigen Personen nach dem „Prinzip der minimalen Rechte“ die richtigen Rechte zuzuweisen. Darüber hinaus müssen Administratoren virtueller Maschinen andere Rechte zugewiesen werden als Hostadministratoren, sodass der Bereich der Anwendungsverantwortlichen eingeschränkt wird. Durch diese wichtige Aufgabenteilung wird möglicher Missbrauch durch interne Mitarbeiter, wie Datendiebstahl durch Systemadministratoren oder mutwillig und fahrlässig veranlasste Systemänderungen durch Dateneigentümer, eingeschränkt.
Zentraler Zugriff auf Konfigurations- und Protokollparameter
Parameter sollten an einigen wenigen, bekannten Speicherorten in standardmäßigen bzw. einfach anzuzeigenden Formaten gespeichert sein, um die Plattformkonfiguration nicht unnötig zu erschweren. Der Zugriff darauf sowie Änderungen an den Konfigurationsparametern sollten Anwendern mit entsprechenden Berechtigungen vorbehalten sein. Des Weiteren ist ein zentraler Zugriff auf detaillierte Ereignisprotokolle für Komponenten virtueller Plattformen und zugehörige Management-Tools zur Überprüfung, Analyse und Kontrolle des Speicherungszeitraums von Protokolldateien erforderlich.
Unerlässlich: eine zentrale, flexible und gut durchdachte API
Eine Virtualisierungsplattform muss über eine gut durchdachte offene Programmierschnittstelle (API, Application Programming Interface) zur Erfassung und Anzeige von Beständen wie der Topologie verfügen. Eine API dient u.a. der Steuerung verschiedener Funktionen sowie der sicheren Extraktion von Audit-Daten, wie die zuvor erwähnten Aktivitätsprotokolle. Eine optimale Systemarchitektur verfügt daher nicht über mehrere parallele APIs für unterschiedliche Bereiche, z.B. eine API für interne Komponenten und eine weitere für die externe Integration. Mit einer zentralen API erhalten Sie eine „Single Source of Truth“, also eine einheitliche Datenquelle, sodass alle Interaktionen zuverlässig und konsistent gesteuert und überwacht werden können. Eine API, die diese Anforderungen erfüllt, erleichtert auch die Einhaltung behördlicher Bestimmungen.
Umsetzung und Nachweis von Compliance
Die meisten Bestimmungen umfassen umfangreiche vorbeugende, aufdeckende und andere Kontrollmechanismen. Im PCI DSS sind beispielsweise folgende Technologien ausdrücklich genannt:
- Firewalls
- Antivirus- und sonstige Technologien zur Abwehr von Malware
- Erkennung und Verhinderung von Eindringversuchen in Netzwerke
- Dateiintegritätstest
- Protokollmanagement
- Risikomanagement
- Firewalls für Web-Anwendungen
Der Standard umfasst viele weitere Technologien und Sicherheitsprozesse. Zu diesen Technologien und Prozessen zählen die Entwicklung von Sicherheitsrichtlinien, Prozesse zur Risikobewertung, Programme zur Förderung des Sicherheitsbewusstseins und die Überprüfung auf Eindringversuche.
Bestimmte grundlegende Prinzipien sollten unabhängig vom Compliance-Ziel immer befolgt werden. Es können drei Kategorien von Kontrollen unterschieden werden.
| Kontrollen | Beispiele |
|---|---|
|
Vorbeugende Kontrollen: Vermeidung von Fehlern, Auslassungen und Sicherheitsproblemen |
Zugriffskontrollen, Aufgabenteilung, Konfigurationsstandards und -einstellungen, Unternehmensrichtlinien, Firewalls und Netzwerkisolierung, Programm zum Management von Sicherheitslücken |
|
Aufdeckende Kontrollen: Identifizierung von Problemen und Vorfällen |
Erkennung nicht genehmigter und ungeprüfter Änderungen sowie sonstige Überwachung und Bewertung, Identifizierung von Eindringversuchen, Sicherheitslücken-Scanning |
|
Korrigierende Kontrollen: schnelle Fehlerbehebung und Wiederherstellung des normalen Betriebs |
Prozesse und Technologien zur Abwehr unbefugter Anwender und nicht genehmigter Änderungen, Wiederherstellung des Service |
Mithilfe des obigen Modells können Sie eine Strategie entwickeln, die Ihnen dabei hilft, Umgebungen mit virtuellen Maschinen so einzurichten, dass sie behördliche Auflagen, Branchenstandards und „Best Practices“ sowie lokale Sicherheitsrichtlinien und -verfahren erfüllen.