gesponsertSicherheit für den ganzen Server-Lifecycle Warum Zero Trust auch für die Server-Sicherheit gelten muss

Gesponsert von

Intel Deutschland GmbH

Dell GmbH

Ein Server ist nur dann sicher, wenn Manipulationen an Komponenten ausgeschlossen, Angriffe erkannt und abgewehrt und professionelle Schutzfunktionen für den kompletten Lebenszyklus des Servers bereits integriert sind. Die neuen Dell PowerEdge Server der 16. Generation mit den neuen Intel Xeon Prozessoren bieten diese Zero-Trust-Sicherheit – von der Fertigung bis zur Außerbetriebnahme.

Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer und gefährdet die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dabei geht es nicht nur um Software oder Hardware als Endprodukt, sondern die ganze Lieferkette kann zu den Schwachstellen beitragen.

Laut BSI bilden die in den vergangenen Jahren beobachteten Angriffe auf die Software-Lieferketten von IT-Dienstleistern zu ihrer Kundschaft eine neue, besonders beunruhigende Bedrohung. Der Bericht zur Lage der IT-Sicherheit in Deutschland 2022 beschreibt aber auch die Risiken durch Hardware-Schwachstellen: Der Aufwand und die Kosten für die Ausnutzung von Hardware-Schwachstellen sind dabei zunächst höher als bei Software-Schwachstellen. Jedoch ist der potenzielle Nutzen aus Sicht eines Angreifers ebenfalls höher, so das BSI.

Umso wichtiger erscheint es, die Sicherheit der kompletten Lieferkette für Server in den Blick zu nehmen, also alle Hardwarekomponenten ebenso wie die Software (Firmware), die zum Einsatz kommt. So ist die Serversicherheit unter anderem auch von entscheidender Bedeutung für die häufig diskutierte Sicherheit der Cloud, denn Schwachstellen in Cloud-Servern könnten die Sicherheitsbemühungen für Cloud-Dienste unterlaufen.

Sicherheit betrifft immer auch die Zulieferbetriebe

Die notwendige Sicherheit der Lieferkette ist zu einem zentralen Thema der IT geworden. Das Bundesverteidigungsministerium macht sich beispielsweise Gedanken zur „Etablierung und Aufrechterhaltung sicherer Lieferketten für vertrauenswürdige IT der Bundeswehr“. Die Allianz für Cybersicherheit stuft Soft- und Hardwareschwachstellen in der Lieferkette als eine der Top-10-Bedrohungen in der Industrial Control System Security ein, die gerade auch im Bereich Kritischer Infrastrukturen (KRITIS) eine Rolle spielt.

Doch auch jedes Wirtschaftsunternehmen muss sich sicher sein können, dass die eingesetzte IT-Infrastruktur keine Hintertüren bietet, die für Datenausspähung und Industriespionage genutzt werden könnten. Entsprechend müssen die IT-Anbieter der Wahl für eine sichere Lieferkette sorgen und dürfen ihren Zulieferbetrieben nicht einfach blind vertrauen. Die Sicherheitsstrategie Zero Trust („Vertraue nie, überprüfe immer“) muss somit auch für die Lieferkette gelten.

Serversicherheit von Anfang an

Manipulierte Hardwarekomponenten oder bösartig veränderte Firmware bei Servern sind leider längst Realität, gab es in den vergangenen Jahren doch bereits eine Reihe von Vorfällen, in denen zum Beispiel Backdoors in die Bauteile von Zulieferbetrieben eingeschleust wurden.

Wie sich das verhindern lässt, zeigen die neuen Dell PowerEdge Server der 16. Generation mit den neuen Intel Xeon Prozessoren. Sie wurden speziell für die Bewältigung anspruchsvoller Workloads entwickelt, arbeiten autonom und kooperativ in allen IT-Umgebungen und unterstützen eine schnellere Transformation hin zu KI-gestützten Innovationen, mehr Automatisierung und einer umfassenden Zero-Trust-Sicherheit.

Dell Technologies ist ein Serveranbieter, der eine portfolioübergreifende Lösung für kryptografisch verifizierte Hardwareintegrität und dynamische Systemsperre anbietet. Außerdem verfügen die neuen Intel Xeon Skalierbaren Prozessoren über eine Reihe neuer Sicherheitsbeschleuniger.

Dabei ist der Security-Ansatz bei Dell Technologies und Intel intrinsisch, sprich die Sicherheit ist integriert, wurde also nicht erst nachträglich eingebaut und wird über den Secure Development Lifecycle in jedem Schritt berücksichtigt.

Wie manipulierte Komponenten und bösartige Firmware verhindert werden

Die Dell Technologies Secured Component Verification (SCV) für PowerEdge ist eine Funktion, mit der Dell-Kunden überprüfen können, ob der erhaltene PowerEdge Server den Herstellungsspezifikationen im Werk entspricht. Um die Komponenten auf kryptografisch sichere Weise validieren zu können, wird während des Fertigungsprozesses ein Zertifikat im Werk generiert, das eindeutige Komponenten-IDs für einen bestimmten Server enthält. Dieses Zertifikat wird im Werk von Dell Technologies signiert und sicher gespeichert, damit die Kunden es später in der SCV-Anwendung nutzen können.

Die SCV-Anwendung generiert dann einen Bericht, der darlegt, welche Komponenten mit der werkseitigen Installation übereinstimmen und welche nicht. Heimliche Veränderungen an den Server-Komponenten, die kriminell motivierte Dritte vornehmen könnten, nachdem ein Server das Werk verlassen hat, würden dadurch sofort sichtbar.

Ein weiteres Beispiel für die Zero-Trust-Sicherheit bei Dell-Servern mit Intel Prozessoren ist das kryptografisch verifizierte Trusted Booting , das für einen sicheren Startvorgang sorgt. Dieser Prozess bietet einen vertrauenswürdigen Anker für alle Folgevorgänge, wie den Betriebssystemstart oder das Firmwareupdate.

In PowerEdge Servern wird eine unveränderliche chipbasierte Root of Trust (oder Silicon Root of Trust) eingesetzt, um die Integrität von BIOS und Firmware kryptografisch zu bestätigen. PowerEdge Server verwenden digitale Signaturen für Firmwareupdates, um sicherzustellen, dass nur Originalfirmware auf der Serverplattform ausgeführt wird.

Doch damit endet die Zero-Trust-Sicherheit noch längst nicht: PowerEdge Server bieten die Erkennung und Protokollierung von Hardwareangriffen mit Funktionen, die auch ohne Netzstrom verfügbar sind. Sensoren am Gehäuse erkennen auch während des Transports, wenn das Gehäuse geöffnet oder manipuliert wird.

Am Lebenszyklusende eines Systems steht entweder die Stilllegung oder die neue Verwendung. SystemErase hat das Ziel, sensible Daten und Einstellungen aus dem nichtflüchtigen Speicher des Servers (wie z. B. Caches und Protokolle) zu löschen, damit vertrauliche Informationen nicht versehentlich offengelegt werden.

Sicherheit und Performance sind keine Gegensätze

Es zeigt sich: Dell PowerEdge Server der nächsten Generation unterstützen Unternehmen dabei, die Einführung von Zero Trust in ihren IT-Umgebungen zu beschleunigen. Die Systeme verifizieren Zugriffe kontinuierlich und gehen davon aus, dass jeder Nutzer und jedes Gerät eine potenzielle Bedrohung darstellt. Ein Hardware-basiertes „Root of Trust“ schützt die Server auf Hardware-Ebene vor Manipulationen, etwa durch die Dell Secured Component Verification (SCV), mit der sich die Sicherheit der Lieferkette vom Design bis zur Auslieferung der Systeme überprüfen lässt.

„Unternehmen entscheiden sich für Dell Technologies, weil sie einfach zu verwaltende, aber dennoch technisch ausgereifte und effiziente Server mit fortschrittlichen Funktionen benötigen, um ihre geschäftskritischen Workloads zu betreiben“, erklärt Jeff Boudreau, President und General Manager der Infrastructure Solutions Group bei Dell Technologies. „Unsere PowerEdge Server der nächsten Generation legen die Messlatte für Energieeffizienz, Performance und Zuverlässigkeit höher, während sie die Umsetzung von Zero-Trust-Ansätzen für eine höhere Sicherheit in IT-Umgebungen vereinfachen.“

Die in den Servern integrierte Sicherheit geht dabei nicht auf Kosten der Performance. „Intels Xeon-Scalable-Prozessoren der vierten Generation verfügen über die meisten integrierten Beschleuniger aller CPUs auf dem Markt, um die Leistungseffizienz von Anwendungen zu maximieren – insbesondere solchen, die von KI angetrieben werden“, sagt Lisa Spelman, Corporate Vice President und General Manager, Intel Xeon Products. „Mit der neuesten Generation der PowerEdge Server setzen Intel und Dell Technologies ihre starke Zusammenarbeit fort. Sie liefern Innovationen, die echte geschäftliche Werte schaffen und die Skalierbarkeit und Sicherheit bieten, die Unternehmen benötigen.“

Mit der 4. Xeon-Generation liefert Intel ein umfassendes Portfolio für vertrauliche Datenverarbeitung. Verbesserungen betreffen die Datensicherheit, die Einhaltung gesetzlicher Vorschriften sowie die Datenhoheit. Intel bietet mit Intel Software Guard Extensions (Intel SGX) eine Anwendungsisolierung für Rechenzentren, welche die Angriffsfläche für vertrauliche Datenverarbeitung in privaten, öffentlichen und Cloud-to-Edge-Umgebungen minimiert. Darüber hinaus ist Intels neue Isolationstechnologie für virtuelle Maschinen (VMs), Intel Trust Domain Extensions (Intel TDX), besonders geeignet für die Portierung bestehender Anwendungen in eine vertrauliche Umgebung.

(ID:49329733)