IBM peilt höhere Sicherheit in virtualisierten Rechenzentren an

Trusted-Computing-Technologien in Virtualisierungs- und Managementsoftware-Werkzeuge integrieren

(14.02.07) - IBM hat eine neue Softwaretechnologie aus ihren Forschungslabors vorgestellt, die dafür entwickelt wurde, die Sicherheit und Managementmöglichkeiten in virtualisierten Rechen-zentren wesentlich zu erhöhen.

Dieser Fortschritt ist nach eigenen Angaben der industrieweit erste Schritt, Trusted-Computing-Technologien direkt in die Virtualisierungs- und Managementsoftware-Werkzeuge zu integrieren, die bereits in Rechenzentren genutzt werden. Die neue Technologie soll stärkere Datenintegritäts-möglichkeiten ermöglichen.

Virtualisierte Rechenzentren werden zunehmend geläufiger in Unternehmen, wo multiple Workloads aus Betriebssystemen, Middleware und Anwendungen auf einem einzigen physischen Computer-system residieren. Die IBM Secure Hypervisor-Architektur, oder "sHype", ist eine Technologie aus den IBM-Forschungslabors, die dafür entwickelt wurde, in Verbindung mit kommerziellen und Open Source-Hypervisorn zusammen zu arbeiten, die Server und Daten in einer gemeinsamen Umgebung steuern. sHype zielt darauf, eine sichere Schutzschicht ("Wrapper") rings um verteilte Workloads im Rechenzentrum zu bieten, um Großrechner-ähnliche Sicherheit für Pool-Daten und Ressourcen quer über multiple IBM und non-IBM Systeme zu bieten.

sHype wurde dafür entworfen, stärkere Sicherheitsniveaus für die x86- und Blade-Server-Welt zu bieten. Wie zunehmend gebräuchlich, hat die IBM-Forschung die sHype-Technologie nicht nur in ihren eigenen Labors entwickelt, sondern auch frühe Versionen von sHype bei Kunden implementiert, die den Code getested und evaluiert haben. Zusätzlich wurden teile von sHype der Open Source Community zur Verfügung gestellt und werden dort eingesetzt, zum Beispiel als Teil des Open Source Xen Hypervisor-Kernels.

In der Hoffnung, sHype auch auf Bereiche jenseits der x86-Hardware ausdehnen zu können, plant IBM, einige weitere Technologien mit sHype als Teil einer umfassenden Strategie einzuführen, um Anwendern die einfachsten, sichersten und effizientesten Rechenzentren, die technisch machbar sind, zu ermöglichen.

Traditionelle IT-Sicherheitskonzepte basieren auf den integrierten Sicherheitsmerkmalen für ein oder mehrere benutzer-ausgewählte Betriebssysteme, und zusätzliche Sicherheitsmerkmale von Anwendungen, die auf diesen Betriebssystemen laufen. Jedoch legt der ständige Strom von Patches und Updates, der benötigt wird, um den sperrigen Code eines Betriebssystems und Anwendungs-Stacks zu schützen, Anwendern eine schwere Pflege-Belastung auf.

Durch die Integration von Sicherheitsmerkmalen in den viel kleineren und einfacher zu schützenden Hypervisor-Architektur-Code entsteht eine sehr dichte Schutzmauer rund um die physischen Ressourcen im Rechenzentrum, die Hardware, Betriebssysteme, Anwendungen, Software-Hypervisor, Workloads und virtuelle Ressourcen, die in einer jetzt gesicherten Umgebung laufen, einschließt. Sie schafft ebenfalls sicheren Data-Pipes in einer virtualisierten Umgebung, indem Daten vor äußeren Bedrohungen oder internen Errors abgeschlossen und dabei überwacht werden. Damit werden auch Daten vor anderen Workloads und Anwendungen, die quer über das gleiche virtualisierte Rechenzentrum laufen, ferngehalten.

sHype arbeitet in Verbindung mit Hypervisorn, indem eine virtuelle Maschine etabliert wird, die als Rechenzentrumssicherheits-"Frontmann" fungiert. Der Frontmann nützt voreingestellte Konfigurationen, Business Policies und Ausnahmen, die vom Kunden festgelegt werden, um die Daten des Rechenzentrums zu schützen. Er schafft dann automatisch Policies, die Workloads evaluieren, in ein Ranking sortieren und codieren; ebenso wie die physischen und virtuellen Ressourcen, die benötigt werden, um die jeweilige Workload zu verarbeiten. Sind Workloads und Ressourcen einmal miteinander verbunden, ist die Integrität der Daten und Ressourcen gesichert und kann nun von den Hypervisorn besser verwaltet werden. (IBM: ma)