24. September 2021 | pArtikel drucken | kKommentieren

Server-Sicherheit in Unternehmen muss ganzheitlich betrachtet werden

Eine wirksame Server-Sicherheit ist für Unternehmen ein wesentlicher Baustein, um ihre IT umfassend abzusichern. Damit das gelingt, ist ein ganzheitlicher Ansatz nötig, der mehrere Maßnahmen umfasst  – vom Auswählen des Server-Standorts bis hin zur technologischen Aufrüstung.

Server stellen Funktionalitäten, Programme, Anwendungen, Daten und Ressourcen bereit, auf die wiederum andere Programme, Anwendungen und Computer zugreifen. Da die meisten Server in einem Netzwerk agieren, auf das viele Clients intern und extern zugreifen, muss wirksame Server-Security ganzheitlich betrachtet werden. Primäres Ziel, besonders in Unternehmen, ist es daher, Server vor internen und externen Bedrohungen zu schützen – damit Daten sicher sind, ohne die Systemleistung zu schmälern. Damit das gelingt, müssen Unternehmen mehrere Maßnahmen umsetzen. Zu den wesentlichen gehören:

1. Den Standort gut auswählen

Das komplexe Thema sicherer Server beginnt bereits in der physischen Realität, beim Auswählen des geeigneten Server-Standorts. Ein sicherer Raum beziehungsweise Rechenzentrum, in dem der Server stehen soll, hat die wichtige Aufgabe, diesen gegen physische Gefahren wie Sturmfluten, Brände und ähnliches zu schützen. Des Weiteren entscheidend ist die Authentisierung.

Ausschließlich diejenigen Administratoren sollen auf den Server zugreifen können, die auch wirklich für die Infrastruktur und das Managen der Server zuständig sind. Um das zu gewährleisten, empfehlen sich Sicherheitschecks beim Zugang zum Server. Regelmäßige Überprüfungen zeigen, wie zuverlässig diese greifen.

2. Admin-Rechte möglichst beschränken

Die Gruppe der Administratoren mit vollen Zugriffsrechten auf die Server sollte weitestmöglich beschränkt werden. Denn sollte ein Eindringling die Gewalt über ein solches Admin-Konto erlangen, steht ihm quasi das gesamte Netzwerk offen.

Um diese Beschränkung umzusetzen, müssen Unternehmen Aufgaben klar verteilen und entsprechende Zugriffsrechte auf die absolut nötigen Bereiche eingrenzen. Dies lässt sich zum Beispiel mit einer Active-Directory-Domain von Windows umsetzen: Hier können Firmen bestimmten Gruppen genau definierte Rechte zuordnen – sodass diese nicht über den vollen Admin-Zugriff verfügen.

3. Kontinuierliche Updates durchführen

Das regelmäßige Updaten des Serversystems und das Einspielen von Sicherheit-Patches zählen zu den vornehmsten Pflichten von Serveradmins. Auch das Betreuen der Clients gehört dazu. Ab einer gewissen Unternehmensgröße bedarf es eines detaillierten Plans, um alle Server und Endgeräte auf dem neuesten Stand zu halten. Das ist gleichermaßen wichtig für Linux wie Windows.

4. Technologisch aufrüsten

Für ein durchgängig hohes Security-Niveau ist es notwendig und sinnvoll, die Server technisch aufzurüsten. Dies lässt sich unter anderem auf Prozessorebene umsetzen. Dafür bietet etwa der Hersteller AMD passende Lösungen wie AMD Infinity Guard an: Die Sicherheitslösung ist auf Chipebene in die aktuellen EPYC-Prozessoren von AMD integriert – die vor allem in Servern verbaut werden.

Hohe Sicherheit mit AMD EPYCTM-Prozessoren

Wie AMD betont, sind die EPYC™-Prozessoren vollständig auf Sicherheit ausgelegt. Demnach bieten die Prozessoren ein robustes Set an Sicherheitsfunktionen, das den ganzheitlichen Sicherheitsansatz auf Software- und Systemebene ergänzt. Dadurch seien sie besonders widerstandsfähig gegen ausgeklügelte aktuelle Angriffe und würden beim Schutz sensibler Daten helfen – ohne zusätzliche Ressourcenbelastung oder Ausfallzeiten.

Mit verschlüsselter Virtualisierung bzw. Secure Encrypted Virtualization (SEV) unterstützen AMD EPYC™-Prozessoren den Schutz und die Integrität von Daten – so AMD weiter. Verschlüsselt werde dabei jede virtuelle Maschine mit einem von bis zu 509 eindeutigen Kodierschlüsseln, die lediglich dem Prozessor bekannt seien.​ Das würde nachhaltig dazu beitragen, vertrauliche Daten zu schützen. Laut AMD ist ein hoher Schutz selbst dann gegeben, wenn eine bösartige virtuelle Maschine den Weg in den Speicher einer virtuellen Maschine findet, oder ein kompromittierter Hypervisor in eine virtuelle Gastmaschine eindringt.

Isolierte Ausführungsumgebung mit Secure Nested Paging

Die AMD EPYC™-Prozessoren der dritten Generation verfügen indes über die neueste Weiterentwicklung der Secure Encrypted Virtualization (SEV): Secure Nested Paging (SEV-SNP). Wie AMD hervorhebt, schafft SEV-SNP eine isolierte Ausführungsumgebung und verhindert so bösartige, hypervisorbasierte Angriffe wie Datenwiederholung oder Speicherneuzuordnung.

Weiterführende Informationen zu den EPYC™-Prozessoren von AMD finden Sie hier.

Quelle Titelbild: © Gorodenkoff/stock.adobe.com

Hier schreibt CANCOM.info Redaktion für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf CANCOM.info