0 fujitsu public copyright 2015 fujitsu fujitsu security solution surient mrs
Post on 06-Apr-2016
233 Views
Preview:
TRANSCRIPT
2 FUJITSU PUBLIC Copyright 2015 FUJITSU
Eine digitalisierte Welt benötigt hohe IT-Sicherheit
Unsere vernetzte Welt, in der wir leben
Services, diedies ermöglichen bzw. erleichtern
Infrastrukturen auf denen dies basiert
Big DataBenutzerzentrier
te Mobilität
Cloud
Wo bleibt die Sicherheit?
3 FUJITSU PUBLIC Copyright 2015 FUJITSU
Angriffspunkte End2End: Endpunkt – Übertragung - Rechenzentrum
Zugriff auf kritische DatenAdmins können auf sensible Daten unbemerkt zugreifen
Daten werden abgefangenAusgehende Daten können abgefangen, mitgelesen und manipuliert werden
HackerangriffeDurch nicht durchgängiges Monitoring werden Hackerangriffe erleichtert; Logs können verfälscht werden
Physischer Zugriffauf Systeme durch unzureichend gesicherte Zugriffsprozesse
Remote ZugriffÜbernahme und Steuerung der Systeme durch FernzugriffBildschirminhalte
können mitgelesen werden
Webcam und Mikrofon (intern/extern) können aktiviert und gesteuert werden (Raumüberwachung möglich)
Externe HDD, USB können Viren und Backdoors unbemerkt installieren
Maus- und Tastatureingaben können mitgelesen werden
Hauptspeicherspeichert Daten unverschlüsselt
Interne Datenträger (HDD, SSD, DVD)sind trotz Verschlüsselung lesbar
BIOS, OS, Treiber, AnwendungKönnen Backdoors enthalten
ExtranetIntranet CloudInternet
Kommunikation (Internet/LAN/WAN) Backdoors in aktiven / passiven Netzwerk-Komponenten
4 FUJITSU PUBLIC Copyright 2015 FUJITSU
Warum ist der Schutz vor physischen Zugriff so wichtig?
Falls ein Angreifer direkten Zugriff auf die Hardware (HDD, RAM, etc.) hat, gibt es kaum ein Möglichkeit das System adäquat zu schützen.
FUJITSU SURIENT MRS schützt die Komponenten im Rack vor unberechtigtem Zugriff durch: Steuerung der Berechtigungen Überwachung der Türen Protokollierung der Aktionen
Angriffspunkte End2End: Endpunkt – Übertragung - Rechenzentrum
Physischer Zugriffauf Systeme durch unzureichend gesicherte Zugriffsprozesse
5 FUJITSU PUBLIC Copyright 2015 FUJITSU
Neuartige SURIENT MRS mit physisch gesichertem Zugang zu den Servern und Komponenten
Überblick
InvestitionsschutzDiese SURIENT MRS kann einfach in bestehende Rechenzentrumsinfrastrukturen integriert werden
BerechtigungskonzeptNur Berechtigte haben physischen Zugriff auf die Server und Komponenten in den Racks bzw. Cages
AuditfähigkeitAlle Zugriffe und Aktionen werden auditfähig protokolliert
BenutzerführungBenutzerführung erfolgt über einfache und intuitive Menüs
6 FUJITSU PUBLIC Copyright 2015 FUJITSU
Nur Berechtigte haben physischen Zugriff auf die Server und Komponenten in den Racks bzw. Cages
Authentifizierungskonzept
Zentrales User-ManagaementDurch das integrierte zentrale User-Management können die Zugangsberichtigungen jederzeit angepasst werden. Damit können auch sehr schnell Berechtigungen gelöscht werden
Biometrische AuthentifizierungBenutzer werden eindeutig über biometrische Verfahren (FUJITSU PalmSecure ID Match) authentifiziert
Granulares BerechtigungskonzeptZugriffsrechte können auf einzelne Türen der Racks/Cages(vorne/hinten) festgelegt werden
Protokollierung Unberechtigte Zugriffsversuche werden durch Sensoren erkannt und protokolliert
7 FUJITSU PUBLIC Copyright 2015 FUJITSU
Lösungskomponenten
Standard 19” Racks (1, 2 oder 3 Käfige) mit elektromechanischen Schlössern, Sensoren und einem Rack Management System (RMS) zur Überwachung des Racks
Biometrische Authentifizierung via PalmSecure ID Match für Zugangskontrolle und Freischaltung der Schlösser
Rack Control Server zur Steuerung und Überwachung mehrerer Racks
Integriertes Monitoring und Protokollierung aller Aktionen
Installation und Setup Service Training
Easy to use SURIENT MRS bestehend aus:
8 FUJITSU PUBLIC Copyright 2015 FUJITSU
Funktionalität und Ablauf
1
4
3
2
Alle Anwender / Administratoren müssen sich mittels Enrollment auf dem PalmSecure ID Match registrieren. Auf der SmartCard werden neben den User Daten die Templates des Venenscan gespeichert. Dies erfolgt mittels einer Webapplikation von einem beliebigen Client System aus.
Auf den Rack Control Servern werden die Zugriffsrechte für die Anwender / Administratoren für die für sie freigegebenen Racks/Cages konfiguriert.
Alle Aktionen werden protokolliert und einem Monitoring System zur Verfügung gestellt.
Die Anwender / Administratoren können dann über die Applikation im PalmSecure ID Match auswählen welches Rack/Cage sie ver- bzw. entriegeln wollen. Nach der erfolgreichen Authentifizierung und Überprüfung der Rechte wird dann die entsprechende Aktion ausgeführt
9 FUJITSU PUBLIC Copyright 2015 FUJITSU
Ablauf Öffnen/Verriegeln eines Racks
*1 Für das Enrollment wechselt das PalmSecure ID Match automatisch in den Enrollment Dialog. Anschließend kann dann wieder zu (1) gewechselt werden.
Überprüfe Authentizit
ät
ÜberprüfeZugriffsrec
hte
ÖffnenVerriegeln
Rack Control Server
PalmSecure ID Match
OK
Nicht OK
OK
*2 Um mehrere Racks gleichzeitig zu administrieren können mehrere Cage IDs eingegeben werden
*2
1 432*1
10 FUJITSU PUBLIC Copyright 2015 FUJITSU
Vorteile und Nutzen
Biometrische AuthentifizierungKein „Duplizieren“ der Schlüssel oder ID-Karten möglichKeine Sicherheitsrisiken durch Verlust von Schlüsseln oder ID-KartenNachdem ein Mitarbeiter das Unternehmen verlassen hat, kann der Zugang durch Löschen der Berechtigung gesperrt werden (kein Einziehen von Schlüsseln, ID Karten, … notwendig)Ent- und Verriegeln der Racks auch remote von einer beliebigen Lokation aus möglich (konfigurierbar)Alle Aktionen werden einem Monitoring System zur Verfügung gestellt Die Lösung kann einfach auf aktuelle Anforderungen erweitert oder angepasst werden
Die FUJITSU SURIENT MRS
11 FUJITSU PUBLIC Copyright 2015 FUJITSU
Internes Rechenzentrum mit erhöhten Sicherheitsanforderungen für einzelne Bereiche Infrastruktur für Bereiche mit erhöhten
Sicherheitsanforderungen kann über die gesicherten Racks extra abgesichert werden
Durch Racks mit bis zu 3 Käfigen können auch kleinere Einheiten (13 HE) abgesichert werden
Use Cases
Hoster (Beispiele: UNI-Betrieb, Housing Provider) Einzelnen Instituten oder Abteilungen (z.B. UNI-
Betrieb) oder einzelnen Kunden (Housing Provider) können auf kleinstem Raum abgesicherte Umgebungen zur Verfügung gestellt werden, zu denen nur dedizierte Personen Zugang haben
Hoster oder interne IT mit über einen Campus verteilten Rechenzentren Zentrale Steuerung und Überwachung aller
Racks in beliebig verteilten Rechenzentrum
Filialbetrieb (N Lokationen mit wenigen Racks) Erhöhte Sicherheit durch „Colocation Racks“ mit
besonderen Sicherheitsmerkmalen lokale und zentrale Steuerung Lokales Enrollment von einem zentralen
Administrationssystem aus möglich
12 FUJITSU PUBLIC Copyright 2015 FUJITSU
Konzept und Architektur
Eine Managed Rack Lösung besteht aus 1-n Blöcken
In jedem Block steuert und überwacht ein Rack Control Server die angeschlossenen Racks/Cages (1-16)
Für jeden Block kann konfiguriert werden, über welche PalmSecure ID Match die Zugangskontrolle und Steuerung erfolgen soll
Das Enrollment der SmartCards erfolgt von einem beliebigen Admin Client über ein Web-Interface
Optional kann für das Enrollment ein eigenes PalmSecure ID Match eingesetzt werden
Der Rack Control Server stellt für die Integration eines Monitoring Systems ein entsprechendes Interface bereit
Enrollment und Monitoring
Rack Control ServerBlock 1
PalmSecure ID Match Block 1
…
Rack/Cage 1Rack/Mgmt.System
Rack/Cage 2Rack/Mgmt.System
Block 1
Customer LAN
Rack Control ServerBlock n
…
Rack/Cage 1Rack/Mgmt.System
Rack/Cage 2Rack/Mgmt.System
Block n…
PalmSecure ID Match Enrollment
Rack/Cage nRack/Mgmt.System
Rack/Cage nRack/Mgmt.System
PalmSecure ID Match Block n
13 FUJITSU PUBLIC Copyright 2015 FUJITSU
Caging im Rechenzentrum - ohne Zäune
Racks sind physisch durch
Zäune gesichert
Racks sind durch SURIENT MRS gesichert
Vorteile:Geringer Platzbedarf und damit niedrigere KostenReduzierte Sicherheitsrisiken
14 FUJITSU PUBLIC Copyright 2015 FUJITSU
Lösungsstruktur - Basispaket
1 Rack FUJITSU M2 oder Emerson-Knürr DCM Colocation mit 1, 2 oder 3 Käfigen
Elektromechanisches Schlösser (MLR1000)
RMSII compact Türkontaktsensoren Optional: Penetration Sensoren
1 Rack Control Server PRIMERGY RX1330
1 PalmSecure ID Match FUJITSU SURIENT MRS Software
Mit Erweiterungen
Installations-, Konfigurations- und Übergabeservice runden das Basispaket ab Installation und Konfiguration
der Infrastruktur Inbetriebnahme in der
Kundenumgebung Übergabe und Einweisung
an den KundenDie Solution wird fertig
installiert und vorkonfiguriert geliefert
Das Basispaket enthält alle notwenigen Komponenten für einen Block einer FUJITSU SURIENT MRS
Das Basispaket kann beliebig erweitert werden: Zusätzliche Racks
unterschiedlicher Typen PalmSecure ID Match
Systeme zur lokalen oder zentralen Steuerung / Enrollment
Weitere Basispakete für zusätzliche Blöcke Services
Zusätzliche Servicepakete für Erweiterung, Beratung und Training runden die Lösung ab
15 FUJITSU PUBLIC Copyright 2015 FUJITSU
Q3 Q4
Rack Solution
Sealed Rack Solution (SRS) Schutz vor physischem Zugriff mit
verstärkten Hardware Cages Schutz vor elektronischen Angriffen
mit geschlossenen Ports und Ende-zu-Ende-Verschlüsselung
Managed Rack Solution (MRS) Nur Berechtigte haben physischen
Zugriff auf die Server und Komponenten in den Racks bzw. Cages
Zugriffe und Aktionen werden auditfähig protokolliert
Benutzerführung erfolgt über einfache und intuitive Menüs
Xxx
Q3 Q1Q1 Q2 Q4 Q2
Not decided Status 60/EOL as long as stock lasts New vs last monthRoadmap product
Xxx
2015 2016 2017
Man
aged
Seal
ed
MRS 1.0 Initial version
SRS POC POC only
MRS 1.1 Monitoring mittels Nagios / Incinga
SRS 1.0 Initial version
MRS POC POC only
16 FUJITSU PUBLIC Copyright 2015 FUJITSU
+ Verwendung von Standard 19” Racks mit elektromechanischen Schlössern und Sensoren
+ Nur berechtigte Benutzer haben physischen Zugriff auf die Server und Komponenten in den Racks bzw. Cages
+ Benutzer müssen sich mit biometrischen Methoden authentifizieren. Daher können Berechtigungen nicht an Dritte weitere gegeben
+ Alle Zugriffe und Zugriffsversuche werden auditfähig protokolliert
+ Setup, Installation und Training werden an einem Tag beim Kunden vor Ort durchgeführt
+ Kostenersparnisse wegen viel höherer Flexibilität und weniger Platzbedarf gegenüber RZ mit Zäunen
ZusammenfassungIn aller Kürze
Effektiver physischer Schutz der Racks vor unbefugtem Zugriff
Protokollierung aller Zugriffe mit biometrischer Authentifizierung
Investitionsschutz und Kostenersparnis
!
17 FUJITSU PUBLIC Copyright 2015 FUJITSU
Informationen & Kontakt
Kontakt
Thomas Schkoda (Produkt Manager)
thomas.schkoda@ts.fujitsu.com
top related