Sichere Virtualisierung gemäß EU-Standard

Virtualisieren nach Kochbuch

Was als "State of the Art" im IT-Umfeld gilt, ist regelmäßig Gegenstand heftiger Kontroversen. Die für IT-Sicherheit zuständige EU-Agentur ENISA hat bereits 2017 ein Dokument veröffentlicht, das diese Frage für Virtualisierung beantwortet. IT-Administrator beleuchtet die wichtigsten Aspekte und stellt sie in einen aktuellen Kontext – denn die Vorgaben werden in vielen europäischen Staaten gerade gesetzlicher Mindeststandard.
Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet ... (mehr)

Die Europäische Agentur für Netzwerk- und Informationssicherheit (ENISA, European Network and Information Security Agency) hat bereits 2017 einen Leitfaden für Sicherheit von Virtualisierung [1] erlassen. Der rückt in vielen Ländern Europas aktuell in den Mittelpunkt des Interesses, weil er nach einer Übergangsfrist gerade gesetzlicher Mindeststandard wird.

Begriffsklärung "Best Practices"

Die allermeisten Admins haben wohl recht klare Vorstellungen davon, was mit "Best Practices" gemeint ist – doch dürfte die Meinung von Admin A mit der von Admin B nicht zwangsläufig übereinstimmen. Verbindliche Standards hinsichtlich der "Best Practices" finden sich in der aktuellen Gesetzgebung mit IT-Bezug relativ selten.

Was sehr gefährlich ist, weil diverse Dokumente wie die DSGVO den Begriff explizit verwenden oder ihn zumindest eindeutig umschreiben. Nach einem meldepflichtigen Einbruch im Sinne eben der DSGVO ist eine Standardfrage etwa, ob die Sicherung der Daten anhand etablierter Verfahren und gängiger Standards durchgeführt wird. Selbst wenn die Wörter "Best Practices" nicht explizit vorkommen, läuft es letztlich auf diese Floskel hinaus.

Was die Sache für Unternehmen nicht leichter macht. Denn ob Stellen wie Behörden und Gerichte im Falle eines Falles einen Schutzmechanismus als "etabliertes Verfahren" betrachten oder nicht, ist im Vorfeld nicht sicher vorhersagbar.

Hier kommen Dokumente wie der Compliance-Guide der ENISA ins Spiel. Die ENISA beschreibt in jenem zunächst Virtualisierung per se und geht auf moderne Ansätze wie Software-defined Networking ein. Danach zählt sie eine Reihe von Verfahren auf, die an Virtualisierung beteiligte Server gegen Angriffe härten und vor Eindringlingen schützen sollen. Aus eben diesem Grund sind verschiedene Staaten mittlerweile dazu übergegangen, den ENISA-Guide im

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021