NETZWERKVERSCHLÜSSLER: UNABDINGBAR FÜR SENSIBLE KUNDENDATEN

FLYNT Bank (Altoo) verwendet für ihre IT-Security einen Netzwerkverschlüssler sowie einen Cluster aus Securosys Primus HSM. Das Technologieunternehmen hat notabene hochsensible Daten ihrer Kunden zu schützen. Stefan Thiel erklärte in einem Vortrag, welche Sicherheitsanforderungen die IT-Architektur von FLYNT (Altoo) erfüllen muss und wie er bei der Evaluation des Netzwerkverschlüsslers vorgegangen ist.

Von Anja

IT-Sicherheit ist ein topgesetztes Technologieziel der neuen FLYNT Bank (Altoo). Das leuchtet ein, wenn man sich vergegenwärtigt, dass das Unternehmen mit seiner Plattform die Möglichkeit bietet, Vermögensdaten zu aggregieren. Von Immobilien über Kunstwerke bis zu Bankvermögen und beweglichen Objekten wie Jachten oder Flugzeuge. Die Daten der Kunden von FLYNT (Altoo) sind also als hochsensitiv zu klassifizieren. Kommt dazu, dass FLYNT für ihre Banklizenz regulatorische Anforderungen hinsichtlich Datenschutz erfüllen muss.

stefan-thiel_9926
Stefan Thiel, Enterprise Architect bei FLYNT (Altoo), während seines Vortrags über die IT-Architektur des Unternehmens.

 

Daraus lassen sich zwei grundlegende Sicherheitsbedürfnisse ableiten:

  • Schutz der sensitiven Daten vor unberechtigter Einsichtnahme und Manipulation
  • operationeller Schutz, d.h. Schutz vor Eindringlingen und Gewährleistung der Verfügbarkeit der Online Services

SO ENTSTEHT SICHERHEIT

Einige Beispiele für entsprechende Sicherheitsmassnahmen bei FLYNT (Altoo):
Unterschiedliche Verschlüsselung von persistierten Daten je Business Entity zwecks Schutz und Trennung gespeicherter Daten. Für die Verschlüsselung und die Schlüsselverwaltung verwendet FLYNT (Altoo) einen Cluster aus Securosys Primus HSM.

  • Beschränkung der Netz-, Daten- und Applikationszugriffe durch spezifische Authentisierung- und Autorisierungs-Systeme.
  • Eine betriebsbereite Backup Office Location. Diese sichert den nahtlosen Fortbestand des operationellen Betriebs bei Ausfällen der Office Locations.
  • Eine hohe Verfügbarkeit der Rechenzentren: Zwei redundant ausgelegte Datacenter sind redundant verlinkt und stellen so die höchstmögliche Verfügbarkeit der zentralen Ressourcen sicher. Über diese Verbindungen synchronisieren sich viele Services (z.B. Storage, HSM, VMotion, carp, VEEAM, Netscaler, Active Directory, Cassandra-Cluster und Akka-Cluster). Deshalb ist der Schutzbedarf für diese Links besonders hoch.
  • Cluster- oder HA-Modus (1+1) für die wichtigsten Hardware-Komponenten. Das gilt auch für die Netzwerkverschlüssler und die HSM.
Schema_netzwerkverschlüssler
Schema: So setzt FLYNT (Altoo) ihre Netzwerkverschlüssler ein.

ANFORDERUNGEN AN SCHUTZ VON DATACENTERLINKS

Folgende Anforderungen stellt FLYNT (Altoo) an den Schutz der Datacenterlinks:

  • Netzwerkkompatibilität, welche einen Ausbau auf weitere Datacenter und Office-Standorte in Zukunft erlaubt. Das bedeutet, die Lösung sollte möglichst sowohl Fiber, Carrier Ethernet, MPLS und IP unterstützen.
  • Kosteneffizienz, welche u.a. durch eine lange Lebens- und Einsatzzeit wegen vielfältigen Einsatzmöglichkeiten (Point-Point oder Multipoint, verschiedene Netzwerktechnologien) erreicht werden kann. Deshalb hat sich FLYNT (Altoo) für eine FPGA- statt für eine ASIC-basierte Lösung entschieden.
  • Leistung, welche die bestehende Bandbreite der Links nicht mindert (Line Rate Forwarding und -Verschlüsselung). Marginale Latenz, um die Kommunikation latenzsensibler Systeme (z.B. gespiegeltes Speichersystem) nicht zu beeinträchtigten.
  • Höchster Sicherheitslevel auf der Geräte-, Management-, Kontroll- und Datenebene; Dazu sichere Schlüssel und sicherer Schlüsselaustausch. Da es sehr schwierig und aufwändig ist, vergleichbare Daten über Geräte zu beschaffen, verliess sich FLYNT (Altoo) auf entsprechende Zertifizierungen.
  • Führen von lokalen Logs aus Compliance-Gründen und sichere Einbindung in die Überwachungsinfrastruktur.
  • Keine weiteren Umsysteme, die ihrerseits weiteren Wartungs- und Sicherheitsaufwand generieren würden.

SCHWIERIGER VERGLEICH VON NETZWERK-VERSCHLÜSSLERN

„Die Evaluation geeigneter Geräte erwies sich als Albtraum“, gestand Stefan Thiel. Bei Online-Recherchen finde man zwar viele Angaben über Netzwerkverschlüssler. Es sei jedoch sehr schwierig und zeitaufwändig, technische Daten zu vergleichen. FLYNT (Altoo) habe schliesslich auf eine bestehende Marktübersicht für Netzwerkverschlüssler zurückgegriffen und einen Berater beigezogen.
Die gewählte Lösung ist jetzt seit zwei Monaten produktiv. „Wir sind sehr zufrieden“, so Thiel. „Wir können mit dieser Technologie einen Sicherheitslevel gewährleisten, der dem Vertrauen unserer Kunden vollumfänglich gerecht wird.“

Dieser Text basiert auf einem Vortrag des FLYNT (Altoo) Enterprise-Architektes Stefan Thiel anlässlich der Lancierung des Securosys Netzwerkverschlüsslers Centurion am 22. August 2017.
Ein weiteres Anwendungsbeispiel für Centurion

Kontaktieren Sie uns

Kontaktieren Sie uns, wenn Sie mehr über unsere Produkte und unser Angebot erfahren möchten.
Schreiben Sie uns eine Nachricht