Rubrik: Produkte/Hintergrund

SafeNet: Sicherheitsdesign für "Next Generation"-Server

Gegen Angriffe hoch resistent

(07.01.05) - Sicheres Design im Bereich der physischen, Software- und Betriebssicherheit - das sind die drei Dimensionen, die zu berücksichtigen sind, wenn es um die Schaffung einer wirklich sicheren Computing-Plattform geht. Und ebendiese Prinzipien wurden erfolgreich angewandt, um eines der sichersten Computing-Module auf dem heutigen Markt zu schaffen, das "Luna HSM" (HSM= Hardware-Sicherheitsmodul) von SafeNet.

Anzeige

Die Anwendung dieser Konzepte auf das Design eines Servers für allgemeinere Aufgaben ergibt ein System, das gegen Angriffe hoch resistent ist, die sich weniger auf sichere Übergänge zum Datacenter oder die sicheren Verarbeitungsfähigkeiten des HSMs selbst, verlassen muss. Im Wesentlichen sorgt jeder sicherer Server für eine eigene Sicherheitsgrenze mit kryptographischen Verarbeitungsfähig-keiten und operativen Kontrollen, um ein "Datacenter im Datacenter" zu ergeben. Diese neue System-gattung wird die Art und Weise prägen, wie Systemarchitekten die Sicherheitsanforderungen für Datacenter und Managed Security Service Providern definieren, indem sie hoch sichere Server ermöglicht, die in der Lage sind, bestehende Sicherheitseinrichtungen aufzuwerten und indem sie gegen Manipulation geschützte Systeme für den Einsatz an weniger sicheren Standorten zur Verfügung stellt.

Sichere Server stellen die Grundlage für die Umsetzung vertrauenswürdiger Knoten dar und führen uns einen Schritt näher an das Ziel der Realisierung des Potenzials einer hoch verteilten Web-basierten Computing-Umgebung.

 

Der finanzielle Schaden, der Unternehmen mit dem Verlust der Kontrolle über sensible Daten einhergeht, beläuft sich auf mehrere Millionen, wenn nicht Milliarden Euro jährlich. Techniken zum Schutz der Unter-nehmen an ihren Netzwerkübergängen (Perimeter Security) mithilfe von Tools wie Firewalls, Viruswalls, IDS Intrusion Detection-Systemen, VPNs (Virtual Private Networks), und DMZs (De-Militarized Zones - entmilitarisierte Zonen) als vorderste Verteidigungslinie werden oft diskutiert. Externe Angriffe ziehen die Aufmerksamkeit der Medien auf sich und verschlingen das IT-Sicherheitsbudget, während die Server vor Insider-Angriffen ungeschützt bleiben. Diese wohl schwerwiegendste Gefahr für die IT-Sicherheit der Unternehmen - der Insider-Angriff - wird trotzt der erschütternden Auswirkungen vernachlässigt.

Laut einer aktuellen Studie von InformationWeek Research zur Informationssicherheit in Unternehmen haben 19 Prozent der 7.000 Befragten jährlich einen Verlust zwischen 10.000 und 100.000 Dollar aufgrund nicht autorisierter Zugriffe auf das Unternehmensnetzwerk. 5 Prozent beziffern den Unternehmensschaden sogar auf über eine halbe Million Dollar jährlich. Und die mit der Beeinträchtigung des Markennamens und dem Imageverlust einhergehenden Kosten liegen noch viel höher.

Obwohl Sicherheitstechniken zum Schutz der Perimeter-Sicherheit in Kombination mit einer robusten Passwortauthentisierung und Verschlüsselung einen wirksamen Schutz gegen externe Angriffe bieten können, sind sie  gegen hartnäckige interne Angreifer nutzlos. In diesem Artikel befassen wir uns mit der Frage, wie Server-Based-Computing von einer mehrstufigen Sicherheit in der hoch sicheren Welt der kryptographischen Verarbeitung profitieren kann, um sicheres Computing-Equipment zu ergeben, das sowohl gegen Insider-Angriffe, als auch gegen Gefahren von außerhalb gefeit ist.

Server-Based-Computing

Über die letzten zwanzig Jahre haben sich die Computer von Terminals, die mit Mainframes verbunden waren, über das Client/Server-Modell, zu Desktop-Maschinen und portablen Geräten entwickelt, die in mehrstufigen Serverarchitekturen integriert sind und über TCP/IP-Netzwerke kommunizieren.

Aus einfachen Datenverarbeitungsanwendungen sind komplexe, interaktive Anwendungsmodule entstanden, die über multiple, über das Web miteinander verbundene Computer verteilt sind. Zu den wichtigsten Design-Überlegungen eines hoch verteilten Systems gehört eine Anforderung an die Vertrauenswürdigkeit der Peers: Jeder Knoten muss sich darauf verlassen können, dass andere Knoten ihre spezifischen Aufgaben vertrauenswürdig erfüllen. In einer Open Systems-Umgebung ist es wichtig die Identität aller Knoten im Netzwerk zuverlässig feststellen zu können. Die Notwendigkeit, Netzwerkknoten zuverlässig identifizieren zu können, hat zur Entwicklung von Sicherheitsprotokollen wie SSL und IPSec geführt, die Funktionalitäten wie Identifikation, Authentifizierung, Zugriffssteuerung, Vertraulichkeit, Integrität und Nicht-Widerrufbarkeit (Non-Repudiation) bereit stellen. Diese Protokolle verlassen sich auf bewährte kryptographische Algorithmen, die für das Vertrauen in einem verteilten Netzwerk sorgen. Obwohl diese Algorithmen einen guten Schutz gegen direkte Brute-Force-Angriffe bieten, können Schwachstellen in den Key-Management-Systemen entstehen, die dem Schutz des Schlüsselmaterials dienen - die Sicherheit, die vom Algorithmus geboten wird, ist nur so gut wie die Sicherheit, die dem Schlüsselmaterial zuteil kommt. Daher ist es wichtig, dass kryptographische Schlüssel geschützt und mit höchster Sorgfalt verwaltet werden, wobei sich die Nutzung eines Hardware-Sicherheitsmoduls (HSM) bewährt hat.

Das Konzept des sicheren Servers

Je enger die Computing- und Netzwerkwelten zusammenwachsen, desto größer ist der Bedarf an verstärkten Schutzmaßnahmen auf Serverebene innerhalb des Datacenters. Ein Sicherheitsmodell, das aus der Welt der hoch sicheren kryptographischen Verarbeitung kommt, kann als Basis für das Design einer sicheren Serverplattform dienen, die allen Angriffsarten widersteht. Das Modell berücksichtigt drei Sicherheits-aspekte: Die physische Sicherheit (auch Hardware- und Ressourcenschutz genannt), die Softwaresicherheit und die Betriebssicherheit - Richtlinien und Prozeduren. Ein sicherer Server muss jedoch nicht nur diese drei grundlegenden Sicherheitsanforderungen gerecht werden, sondern zusätzlich die folgenden Fähigkeiten bieten: eine skalierbare Verarbeitungskapazität, deren Performance und Flexibilität für eine Vielfalt an Applikationen geeignet ist und dennoch solide Steuerungsmöglichkeiten der Sicherheitsumgebung bietet, einen gehobenen Standard in Bezug auf die kryptographische Verarbeitungsleistung und Sicherheit, umfassende Management-Tools, die eine Steuerung der Funktionalitäten der Plattform gewährleisten und eine robuste Entwicklungsumgebung, die ein Sicherheitskonzept auf der Basis bewährter Techniken (Best Practices) umfasst. Ein sicheres Serverdesign kann um das kryptographische HSM aufgebaut werden, da ein HSM ein dedizierter, zweckgebundener und sicherer Computer ist. Die Herausforderung liegt darin, zu erkennen, wie die erwiesenermaßen sicheren Computing-Mechanismen eines HSMs auf ein größeres Computing-Umfeldes - nämlich das des Datacenter-Servers - angewandt werden können.

Physische Sicherheit

Ein gut gesichertes Datacenter schützt seine Server durch eine verstärkte physische Sicherheit mit besonders robusten Türen, Scharnieren, Schlössern und Mauern. Analog dazu werden beim HSM ein geschweißtes Metallgehäuse und Mechanismen zur Manipulationserkennung (Tamper-Detection) eingesetzt, die das Modul im Fall des nicht autorisierten physischen Zugriffs deaktivieren.

Ein sicherer Server muss ebenfalls gegen physische Gefahren geschützt werden. Zu diesen Gefahren zählen das physische Entfernen des Servers aus der Betriebsumgebung und die Demontage, um interne Komponenten zu manipulieren - zum Beispiel, indem man die Festplatte oder das BIOS-Boot-ROM ersetzt. Daher benötigt ein sicherer Server ein speziell gearbeitetes Gehäuse nach dem Vorbild des HSMs, das es schwierig oder unmöglich macht, die Komponenten innerhalb des Gehäuses durchzumessen oder zu manipulieren. Der Federal Information Processing Standard (FIPS 140), der als Maßstab für die Sicherheit von zweckgebundenen kryptographischen Datenverarbeitungsanlagen gilt, kann als Richtlinie für das physische Sicherheitskonzept einer Servermaschine mit allgemein höherem Sicherheitsniveau angewandt werden.

Softwaresicherheit

Datacenter setzen auf Perimeter-Security-Maßnahmen, um ihre internen Server gegen elektronische Hacker-Angriffe von externen Quellen zu schützen. Sollte es einem Hacker aber gelingen, die Schutzmaßnahmen an der Grenze zum Datacenter zu überwinden, kann er problemlos auf die ungeschützten Server hinter der Firewall zugreifen und diese kompromittieren.

Die meisten Server setzen eine einfache User-ID/Passwort-Authentifizierung als Zugriffssteuerungs-mechanismus ein. Aber Passwörter besitzen inhärente Schwächen und können gecrackt werden und das hat wiederum den privilegierten Zugriff auf Ihre Server zur Folge. Innerhalb von wenigen Minuten kann sich ein motivierter Hacker den Zugang zu einem angeblich sicheren Datacenter verschaffen und dort Chaos anrichten, ohne auch nur eine Maschine physisch anfassen zu müssen. Während des Angriffs kann ein Hacker bösartigen Code auf die Server übertragen, Dateien löschen oder sensible Daten wie beispielsweise Kreditkartennummern abgreifen. HSMs sind speziell zum Schutz solcher Umgebungen konzipiert. Zum Beispiel gehören die Public-Key-Infrastruktur-(PKI)-Root-Keys, die im HSM residieren, zu den sensibelsten Informationen, die im Datacenter gespeichert werden. Ein sicheres HSM gestattet die Änderung der internen Konfiguration nur über sorgfältig konzipierte APIs, um die Interaktion zwischen dem HSM und der Außenwelt soweit wie möglich zu beschränken. Diese Kontrollen sind so stringent, dass es geradezu unmöglich ist, die sichere Computing-Umgebung des HSMs zu kompromittieren. Das Betriebssystem ist sorgfältig konfiguriert, um jegliche Möglichkeit einer Manipulation der Laufzeitumgebung auszuschließen.

Kryptographische Applikation innerhalb von hoch sicheren HSMs werden mithilfe PKI-signierter Module geladen und bei jeder Ausführung mit kryptographischen Methoden gegen die digitale Identität des Herstellers validiert. Diese Mechanismen, mit deren Hilfe die Softwareumgebung eines HSMs geschützt wird, können auch auf den sicheren Betrieb eines Servers angewandt werden. Wenn es richtig konfiguriert ist, stellt beispielsweise der Einsatz eines vertrauenswürdigen Betriebssystems wie Security Enhanced Linux eine Laufzeitumgebung mit hervorragenden Sicherheitseigenschaften bereit. Aber auf sich alleine gestellt, ist dieser Schutz unzulänglich. Durch Hinzufügen der folgenden Mechanismen kann jedoch eine sichere Computing-Umgebung gewährleistet werden, die gegen elektronische Hacker-Angriffe hoch resistent ist:

Einen sicheren Bootvorgang: Dabei werden kryptographische Mechanismen angewandt, um die Integrität des Betriebssystems bei jedem Startvorgang zu verifizieren, die Ausführung von bösartigem Code unter-bunden und sicher gestellt, dass sich der Server nach dem booten in einer bekannten Laufzeitumgebung befindet.

Digital signierter Code stellt die Vertrauenswürdigkeit der Applikationshersteller sicher und verifiziert die digital signierten Betriebssystemmodule sowie den Anwendungscode selbst, um jede Möglichkeit der Ausführung von nicht autorisierten Applikationen auf dem Server zu unterbinden.

Ein Prozess-Authentisierungsmechanismus erfordert vor der Ausführung die Authentifizierung aller Prozesse auf System- und Anwendungsebene und implementiert Richtlinien, die festlegen, welche Systemressourcen für den Zugriff durch die einzelnen Prozesse zur Verfügung stehen.

Betriebssicherheit

In einem hoch sicheren Datacenter sind die Authentifizierung (Authentisierung), die Zugriffssteuerung und spezielle operative Prozeduren kritisch, wenn es darum geht, den nicht autorisierten Zugriff auf die Server zu unterbinden. Im Datacenter werden außerdem Daten-, Zugriffs- und Video-Protokolle genutzt, um die Aktivitäten der Anlagen und Mitarbeiter aufzuzeichnen, sodass eine ständige Überwachung und Revision gewährleistet ist. Darüber hinaus können die Sicherheitsanforderungen die gleichzeitige Anwesenheit mehrerer autorisierter Personen im Raum vorsehen, um bösartige Aktivitäten im Alleingang zu unterbinden. Analog dazu können kryptographische HSMs die gemeinsame zweistufige Authentifizierung von mehreren Sicherheitstechnikern erfordern, bevor sensible Konfigurationsoperationen zugelassen werden. Sichere Server sollten ebenfalls eine zweistufige Authentifizierung für alle System-Management-Operationen erfordern; außerdem sollte es möglich sein, auf die Anwesenheit von mehreren Sicherheitstechnikern zu bestehen, wenn neue Softwaremodule am Server eingespielt werden. Sichere Server sollten in der Lage sein, digital signierte Protokolle aller Wartungsereignisse zu erstellen, um die Manipulation der Protokolle zu vermeiden. Diese Mechanismen gewährleisten ein hohes Niveau an Nicht-Widerrufbarkeit (Non-Repudiation) und stellen damit eine schwer zu überwindende Hürde für bösartige Aktivitäten dar. (Tom Köhler, Regional Manager, SafeNet Germany/ma)

SafeNet

Kontakt: Tom Koehler

Tel. (089) 28890-245

E-Mail: tkoehler@de.safenet-inc.com

Kontakt: Andre Armstrong

Tel. (0044-1932) 579200

E-Mail: aarmstrong@safenet-inc.com

Web: www.safenet-inc.com

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken