Machen Sie Ihr Rechenzentrum (noch) sicherer – Whitelist-Enforcement mit Tetration Analytics
2 min read
In diesem Blog haben Sie erfahren, wie Cisco Tetration Analytics Licht in Ihr Rechenzentrum bringt und wie Sie endlich die Komplexitäten in Ihren IT-Umgebungen besser verstehen und analysieren können. Im zweiten Teil haben wir über die Vorteile eines lückenlosen und permanenten “Application Dependency Mappings”, also der Kartographierung Ihrer Applikationslandschaften aus der Sicht ihrer Kommunikationsbeziehungen gesprochen.
Nun, da Sie wissen, was genau in Ihrem Rechenzentrum tatsächlich passiert und wie sich Ihre Anwendungen tatsächlich verhalten, wollen wir darüber sprechen, wie Tetration Ihnen dabei helfen kann, Ihren IT-Betrieb noch sicherer zu gestalten, indem Sie nur jene Kommunikationen erlauben, die Ihre Applikationen tatsächlich benötigen, anstatt alles zu erlauben, was nicht explizit verboten wurde. „Whitelisting statt „Blacklisting“.
Der Vorteil liegt auf der Hand: Schadcode, der – einmal in Ihrem Rechenzentrum angekommen – sich nicht weiterverbreiten und der nicht nach Hause telefonieren kann, richtet weniger Schaden an, kostet damit weniger Geld, reduziert Ihre operationellen Risiken. Dies hilft, die Reputation Ihres Unternehmens zu schützen. Drei gute Gründe, sich mit einer Whitelist-Infrastruktur auseinander zu setzen.
Sensoren als “Enforcer”
Tetration nutzt Software-Sensoren, die für die verbreitetsten Betriebssysteme verfügbar sind (Windows Server ab 2008 und diverse Linux-Derivate). Diese können in heterogenen Umgebungen ausgerollt werden: von der Public oder Private Cloud hin zu virtuellen Maschinen oder physikalischen Servern in Ihrem Rechenzentrum. Hinzu kommen Netzwerk-Sensoren, die auf Nexus 9000-Switches von Cisco laufen und die zusätzliche Informationen über den Packet-Flow im Netzwerk an Tetration liefern.
Sie müssen sich um die Sensoren nur ein einziges Mal kümmern – nämlich bei der initialen Installation. Dafür können Sie Ihre etablierten Software-Verteilungsverfahren für Linux und Windows verwenden. Ab dort übernimmt Tetration die Kontrolle, konfiguriert den Sensor vollautomatisch und kümmert sich auch selbständig um Updates. Das Management geschieht vollständig zentral über das Tetration-Interface.
Die Software-Sensoren sind nicht nur zum Sammeln der Metadaten da, damit Tetration die beschrieben Visibilität in Ihr Rechenzentrum bringen kann (das ist natürlich ihr primärer Bestimmungszweck). Sie können nun auch Security-Policies auf dem jeweiligen Host-System aktiv umsetzen – in Ihrem Rechenzentrum bis hin in die Public Cloud.
Tetration ermittelt nunmehr nicht nur die in Ihrer Umgebungen herrschenden Kommunikations-Richtlinien – es kann sie nun auch selbständig aktiv auf den Hosts umsetzen. Die Sensoren bedienen sich dabei der betriebsystemeigenen Instrumente wie iptables oder Windows Firewall und übernimmt deren Konfiguration anhand der Vorgaben von Tetration. Hiermit können sehr feingranular und automatisiert Applikationen voneinander abgetrennt werden – Mikrosegmentierung in heterogenen Umgebungen, ohne zusätzliche Software und in viel größerer Skalierung.
Offene API und Integration mit ACI
Tetration verfügt über offen Schnittstellen über die einerseits sämtliche Analysen und Auswertungen angestoßen und außerhalb des nativen GUIs in anderen Anwendungen weiterverarbeitet werden können (z.B. Servicenow). Beispielsweise können über die Sensoren Realtime-Informationen in eine CMDB integriert werden.
Sie können darüber hinaus die ermittelten Security-Policies aus Tetration auch in andere Lösungen exportieren. Eine direkte Integration gibt es mit Cisco’s Application Centric Infrastructure (ACI). Die von Tetration gemessenen Kommunikationsbeziehungen können von ACI automatisiert als Grundlage für die Applikations-Netzwerk-Profile herangezogen werden – und ermöglicht damit allen Kunden einen tatsächlich applikationszentrischen Betrieb Ihrer Infrastrukturen. Über diesen Weg können die Security-Policies zusätzlich zum Sensor-Enforcement in den Betriebssystemen auch noch direkt im Netzwerk erzwungen werden. Eine unabdingbare Anforderung, wenn an das Netzwerk Systeme angebunden sind, die über keinen Software-Sensor verfügen. Hier kann also über die Infrastruktur direkt ein lückenloses Policy-Enforcement erzwungen werden. ACI alleine kann hingegen die Policies nicht in der Public Cloud erzwingen. Es ist also die Kombination von Sensor-Enforcement und ACI-Enforcement, dass letztlich eine durchgängige Whitelist-Umsetzung ermöglicht.
Das Schöne: da alles von derselben Datenquelle Tetration über Policies definiert wird, muss sich der Administrator keine Sorgen über divergierende Regelwerke machen.
Wollen Sie mehr wissen?
Melden Sie sich noch heute an zu unserem kostenlosen Webinar oder finden Sie weitere Informationen über Cisco Tetration Analytics:
- Registrierung Webinar
- Cisco.Com: Cisco Tetration Analytics
- Video: Tetration Analytics Data Center Time Machine
- Tom Edsall’s Blog: Turn the lights on on the datacenter