VMware NSX und Mikrosegmentierung in Theorie und Praxis


Virtualisierung hat in alle Bereiche des modernen Rechenzentrums Einzug gefunden. Nach Software Defined Compute und Software Defined Storage wird Software Defined Networking (SDN) und mit Letzterem auch „Network Function Virtualization“ (NFV) immer häufiger eingesetzt. In diesem Artikel sollen die einzelnen Komponenten und Grundlagen kurz beschrieben werden, die sowohl SDN als auch NFV ausmachen. Am Beispiel des Produktes VMware NSX werden die Eigenschaften und Möglichkeiten sowie die betrieblichen Aspekte des Einsatzes von SDN detaillierter betrachtet. Dabei wird ein Fokus auf der sogenannten „Mikrosegmentierung“ liegen, die in vielen Fällen ein Treiber für die Einführung von SDN und NFV ist.

In einem modernen Rechenzentrum wird die Virtualisierung auf allen Ebenen immer ausgeprägter. Während Software Defined Compute (SDC) durch Virtualisierungslösungen wie Hyper-V, VMware vSphere oder KVM schon die Norm ist, werden Software Defined Storage (SDS) und Software Defined Networking (SDN) – Letzteres in Verbindung mit Network Function Virtualization (NFV) – erst langsam eingeführt. Ein Grund für die zögerliche Einführung: SDN und NFV stellen einen besonders tiefen Einschnitt sowohl in die Architektur als auch für den Betrieb dar.

Dieser Artikel wird sich mit diesen Einflüssen beschäftigen. Dazu sollen zunächst die grundlegenden Eigenschaften und Funktionen von SDN und NFV erläutert werden.


Sie wollen den kompletten Artikel lesen? Dann melden Sie sich jetzt zum ComConsult Informationsservice an.

Archiv
Kommentieren »

SecOps: Operative Informationssicherheit


Die Grundlage für eine umfassende und nachhaltige Informationssicherheit bildet ein sogenanntes Information Security Management System (ISMS), in dem Organisation, Rollen und Verantwortlichkeiten sowie ein Richtlinienapparat für die Informationssicherheit festgelegt werden.

Hierzu gehören auch Prozesse zur Erstellung, Umsetzung und Pflege von Sicherheitskonzepten sowie zur Erkennung und Behandlung von Sicherheitsvorfällen und Schwachstellen. Ein ISMS hat also einen erheblichen operativen Anteil (Security Operations, kurz: SecOps). Typischerweise werden diese operativen Elemente der Informationssicherheit als spezieller kontinuierlicher Verbesserungsprozess (KVP, engl. Continuous Improvement Process) realisiert.

Sie wollen den kompletten Artikel lesen? Dann melden Sie sich jetzt zum ComConsult Informationsservice an.

Archiv
Kommentieren »

Datenschutz bei Unified Communications/Collaborations und All-IP/SIP Trunking nach DSGVO, TKG-Änderungen und neuem BDSG

09.09.-10.09.19 in Bonn

Web_rechtvoip Durch die Einführung von Voice over IP ergeben sich zahlreiche neue Funktionen einer Telefonanlage und eine wesentlich bessere Zusammenarbeit von TK- mit CRM- und anderen IT-Systemen. Gleichzeitig lassen sich auf diese Weise erhebliche Kostensenkungen durch gemeinsame Nutzung der IT-Infrastruktur mit der TK erzielen. Dabei entstehen jedoch zahlreiche Gefahren in Bezug auf Datenschutz und Datensicherheit der Mitarbeiter. Bei Überwachungsfunktionen sollten Geschäftsführung und Mitarbeiter bzw. Betriebs- oder Personalrat offen Vor- und Nachteile bestimmter Funktionen diskutieren und abstimmen.

Neue Prozessoren braucht das Land – die Entwicklungen des letzten Jahres


Spectre und Meltdown – ein Synonym für den Fokus auf Leistungsfähigkeit bei der Entwicklung von Prozessoren und die mangelnde Berücksichtigung von Sicherheitsaspekten. Was zu den Anfangszeiten des Internets noch wenig Relevanz hatte, ist in Zeiten von Cloud und gemeinsamer Nutzung von Infrastruktur umso kritischer. Innerhalb von etwas mehr als einem Jahr hat sich aus zwei Sicherheitslücken mittlerweile ein ganzer Zoo entwickelt, der in wenige Gattungen unterteilt werden kann. Was gibt es Neues? Welche Auswirkungen haben die Lücken? Was sagen Experten dazu?

Im Juni letzten Jahres erschien ein erster Artikel zum Thema „CPU-Sicherheit“ im Netzwerk-Insider. Darin wurde bereits darauf hingewiesen, dass auf Basis von Spectre und Meltdown neue architekturbedingte Sicherheitslücken entdeckt wurden, aber Details waren noch nicht bekannt. In den vergangenen 10 Monaten sind diese (und weitere) Sicherheitslücken veröffentlicht und im Detail beschrieben worden. Außerdem konnten in dieser Zeit die Auswirkungen auf den realen Betrieb von IT-Systemen beobachtet werden. Dieser Artikel soll eine Übersicht über die wichtigsten neuen Informationen geben, speziell über die neuen Sicherheitslücken, wobei diese technisch detailliert behandelt werden müssen. Außerdem werden neue Informationen zu den Auswirkungen von Gegenmaßnahmen betrachtet sowie eine Einschätzung zur aktuellen Gefährdungslage dargestellt.



Sie wollen den kompletten Artikel lesen? Dann melden Sie sich jetzt zum ComConsult Informationsservice an.

Archiv
Kommentieren »

Optionaler Thementag „Netzwerk-Sicherheit“

Umgang mit zielgerichteten Angriffen 

  • Wie zielgerichtete Angriffe bzw. Advanced Persisten Threats (APTs) funktionieren und welche Bedrohungen davon ausgehen 
  • Welche Angriffsmethoden werden genutzt und wie sieht ein typischer Werkzeugkasten eines Angreifers aus? 
  • Analyse von bekannten Angriffen: Warum sind system-und anwendungsübergreifende Strategien notwendig? 
  • Wie können Symptome von Angriffen erkannt werden und welche Rolle spielen Protokollierung, 2nd Generation SIEM und Big Data? 
  • Sicherheitsgateways im Netzwerk zur Abwehr von Angriffen 
  • Notwendigkeit einer effektiven und effizienten operativen Informationssicherheit  
  • Entscheidende Grundlage: Security by Design 
  • Bedeutung eines Information Security Management System (ISMS) für den Umgang mit zielgerichteten Angriffe 
  • Sensibilisierung der Nutzer und Administratoren 

Elemente der operativen Informationssicherheit 

  • Anforderungen in Standards: ISO 27001 und BSI IT-Grundschutz-Kompendium 
  • Wie unterscheiden sich spezielle Bereiche wie z.B. Industrial IT und gibt es besondere Anforderungen für Kritis-Bereiche? 
  • Aufbau eines Security Operation Center (SOC) 
  • Prozesse der operativen Informationssicherheit 
  • Systematisches Schwachstellen-Management und zugehöriger Werkzeugkasten 
  • Integration der operativen Informationssicherheit in den Lebenszyklus von IT-Komponenten 
  • Security Testing und Penetration Testing 
  • Kernelement Security Incident Management / Prozess zur Behandlung von Sicherheitsvorfällen 
  • Von Change Management über das Incident Management bis zum Notfallmanagement: Schnittstellen zu IT-Prozessen 
  • Ohne Risikomanagement geht es nicht 

Schwachstellen-Scanner und Angriffswerkzeuge 

  • Wie Schwachstellen-Scanner funktionieren und welche Möglichkeiten sie bieten 
  • Scanning auf Netzwerk-, Betriebssystem- und Anwendungsebene 
  • Scanning und Security Testing von Web-Anwendungen und Web-Services 
  • Compliance Checks: Möglichkeiten und Grenzen 
  • Produktbeispiele: Nessus, OpenVAS, Burp, ZAP und andere Werkzeuge 
  • Automatisiertes Schwachstellen-Scanning 
  • Integration von Schwachstellen-Scannern in internes Netz und in den DMZ-Bereich 
  • Risiken beim Schwachstellen-Scanning und Penetration Testing 
  • Datenschutzaspekte 
  • Welche Anforderungen an Security Scans und Tests gibt es in Standards zur Informationssicherheit? 
  • Elemente eines Konzepts für Schwachstellen-Scanning, Security Testing und Penetration Testing 
  • Festlegung von Scan-Zielen und Vorgaben zu Scan-Methode, Testtiefe, Testfrequenz 
  • Auswertung von Scan- bzw. Testergebnissen und zugehöriges Berichtswesen 

Security Information and Event Management (SIEM) 

  • Architektur, Funktionsweise von SIEM-Lösungen und Abgrenzung zu Log Management 
  • Welchen Mehrwert bietet ein SIEM für den Nutzer? 
  • Typische Anforderungen an eine SIEM-Lösung 
  • Wie funktioniert die Anbindung der IT an ein SIEM? 
  • Schnittstellen zu Ticketing-Systemen und Systemen der operativen Informationssicherheit 
  • Wie funktioniert eine anwendungs- und systemübergreifende die Erkennung von Anomalien und Angriffen? 
  • Besondere Bedeutung von Künstlicher Intelligenz 
  • SIEM as a Service und Managed SIEM: Betriebsformen, Möglichkeiten und Grenzen des Outsourcing 
  • Welche Produkte sind am Markt verfügbar und was leisten sie? 
  • Ist ein SIEM nur passiv oder könnte auch aktiv und selbständig ein Sicherheitsvorfall beseitigt werden? 
  • Prozesse, typische Organisationsformen und notwendige Kompetenzen für Betrieb und Nutzung eines SIEM 
  • Datenschutz und Risiken: Worauf ist beim Betrieb eines SIEM zu achten? 

Automatisierte Abwehr von Angriffen und anderen Sicherheitsvorfällen  

  • Network Access Control (NAC): Einsatz von Profiling-Techniken 
  • Next Generation NAC und Compliance Checks 
  • Dynamische Netzsegmentierung: SDN-basierte Konzepte, Mikrosegmentierung mit VMware NSX und Cisco SDA 
  • Interaktion zwischen Sicherheitskomponenten zur Erkennung und Abwehr von Angriffen 
  • User and Entity Behavior Analytics in Verbindung mit dynamischen Policies auf Sicherheitskomponenten 
  • Beispiele Cisco Tetration und Aruba Introspect 
  • Auslösen von Aktionen auf Sicherheitskomponenten durch ein SIEM 

Praxisdemonstrationen 


Kommentieren »

VMware NSX in Theorie und Praxis

  • Möglichkeiten und Einschränkungen
  • NSX-V vs. NSX-T
  • Unterschiede zwischen NSX und physischer Infrastruktur
  • Praxisbeispiele und Fallstricke


Kommentieren »

Verteilte, parallele Dateisysteme – Definition, Geschichte und aktueller Stand von Hochleistungs-Dateisystemen


In den meisten Unternehmen haben Daten einen enormen Wert. Seien es Pläne für neue Produkte, die die Zukunftsfähigkeit des Unternehmens sicherstellen sollen oder Daten, die aufgrund rechtlicher Vorgaben verfügbar sein müssen. Diese Daten befinden sich im Allgemeinen auf einem zentralen Speicher, der ausfallsicher und ausreichend performant dimensioniert ist. In manchen Bereichen, z.B. Medienbearbeitung oder Big Data, kann die Skalierbarkeit eines zentralen Systems allerdings an seine Grenzen stoßen. Auch bei einem Zugriff vieler verschiedener Clients auf ein einzelnes Storage-System kann das Storage-Netzwerk einen Flaschenhals bilden. In diesem Fall bietet sich an, die Daten auf viele „kleinere“ Server zu verteilen, die dann ein großes Dateisystem bilden und zusammen die Anfragen von Clients beantworten und so eine bessere Auslastung des Netzwerks erreichen. Dies kann mit verteilten, parallelen Dateisystemen erreicht werden.

In diesem Artikel sollen die Geschichte dieser Technologie sowie die technischen Grundlagen erläutert werden. Dabei werden sowohl Vor- als auch Nachteile beschrieben und aktuelle Beispiele für deren Einsatz aufgeführt.

Archiv
Kommentieren »

Datenschutz für Netzwerkadministratoren

23.09.-24.09.19 in Bonn

web_DATNWAdmin Die EU-Datenschutzverordnung enthält neben den administrativen Neuerungen auch zahlreiche technische Anforderungen, die durch die IT-Abteilung des Unternehmens umgesetzt werden muss. Dieses Seminar behelligt Techniker nicht mit den zahlreichen Vorschriften zu Benutzerrechten, sondern konzentriert sich auf die technischen Aspekte der Umsetzung der neuen EU-Datenschutzverordnung.

UC in der Cloud: wie teuer und aufwendig wird die Sicherheit?

  • Mobile Teilnehmer und die Herausforderungen
  • Sicherheitsrisiken bei der Nutzung von Cloud-Diensten
  • Besonderheiten von Voice, Video und UCC
  • Vorgehensweise


Kommentieren »

Neue Prozessoren braucht das Land – Sicherheitsfeatures und -lücken in modernen Prozessor-Architekturen


Im Januar wurden mit „Spectre“ und „Meltdown“ die Grundfesten der Informationstechnologie und -sicherheit erschüttert. Auf einmal war die Annahme, dass der Prozessor sicher und vertrauenswürdig ist und man sich nur um die Software kümmern muss, infrage gestellt. Darauf folgten erste Patches und wieder neue Sicherheitslücken. Die Auswirkungen waren und sind noch nicht endgültig absehbar. Dabei sind auch neue Sicherheitsfunktionen moderner CPUs in den Hintergrund getreten, obwohl diese in vielen Bereichen sinnvoll eingesetzt werden können.

Archiv
Kommentieren »

Offene Diskussion

  • Wie wichtig ist Netzwerk-Sicherheit für die Gesamt-Sicherheit?
  • Wer sollte die Planungs- und die Betriebs-Hoheit haben?
  • Haben wir hiermit eine Neupositionierung der Bedeutung von Netzwerken??


Kommentieren »

IT-Infrastrukturen für das Gebäude der Zukunft

23.09.-24.09.19 in Bonn

Web_it-neubau Das Gebäude der Zukunft erfordert IT-Infrastrukturen, die Gewerk-übergreifend sind, die sowohl in der Datenverarbeitung als auch in der Klimatisierung, Zugangssicherung oder allgemeiner gesprochen der Gebäude-Automatisierung eingesetzt werden können. Diese Veranstaltung wendet sich an Planer aller Gewerke und bietet den idealen Blick über den Tellerrand, um zu einer erfolgreichen und wirtschaftlichen Gewerke-übergreifenden Planung zu kommen und einen langfristig flexiblen Betrieb eines neuen Gebäudes zu erreichen.

Sicherheit im Campus-Netzwerk: Einfallstore, Herausforderungen und technische Lösungen

  • Wie kommt ein Angreifer ins Campus-Netzwerk?
  • Wie wahrscheinlich ist der Erfolg eines Angriffs?
  • Wie kann ich einen Schaden minimieren?
  • Wie kann ich eine korrekte Konfiguration sicherstellen?
  • Kann ich mir regelmäßige Audits leisten? Gibt es Alternativen?
  • Wie gehe ich mit gefundenen Lücken um?


Kommentieren »

High Performance Computing auf dem Weg zur unverzichtbaren Normalität für alle

  • Technologiebausteine
  • Anwendungen
  • Planung


Kommentieren »