LANline | 10/2018 | Mit Cloud‑, hybriden und virtuellen IT-Infrastrukturen gewinnen Unternehmen an Flexibilität und reduzieren Kosten sowie ihre IT-Risiken. Denn mit den neuen Techniken steigt auch das Risiko von Cyberkriminalität und Lizenzrechtsverletzungen. Umso wichtiger ist es, dass die IT alle Systeme im Griff hat und Release- wie Lizenzstände stets aktuell hält. Dies gelingt nur mit einem dynamischen und intelligenten Asset-Management.
Bis ein Cyberangriff bemerkt wird, dauert es im Schnitt 200 Tage. Bis er „behoben“ ist, nochmals 80 Tage. Das macht neun Monate, in denen Hacker großen Schaden anrichten können. Zu den beliebtesten IT-Risiken gehören veraltete Patch- und Release-Stände oder gar abgekündigte Software. Neben der sich verschärfenden Sicherheitslage drohen durch den Einsatz von Cloud-Infrastrukturen zudem Compliance-Risiken. Denn für den Betrieb von Private Clouds bilden virtuelle Systeme die technische Basis – und auf deren korrekte Lizenzierung gilt es zu achten.
Inventarisierung für Schützenswertes
Außerdem ist wichtig zu prüfen, welche Geräte auf Terminal- und Citrix-Server zugreifen beziehungsweise welche Devices von der DHCP-Server-Infrastruktur eine IP-Adresse beziehen. Durch den Abgleich der Inventarisierungsergebnisse gegen den autorisierten Bestand wird so „Schatten-IT“ und BYOD identifiziert. Diese Hardware lässt sich nun unmittelbar prüfen und in die Asset-Management-Datenbank aufnehmen oder umgehend aus dem Netzwerk entfernen. Um sich gegen Cyberattacken zu wappnen, reicht dies jedoch nicht aus. Zusätzlich zu Differenzen in der Hardware sind auch Abweichungen zwischen inventarisiertem und autorisiertem Softwarebestand so schnell wie möglich zu adressieren. Zudem muss die IT tagesaktuell über Patch-/Release-Stände und abgekündigte Versionen informiert sein.
IT-Risiken und Sicherheitslücken visualisieren
Potenzielle IT-Risiken wie veraltete Anwendungen sollten deshalb in einem Dashboard visualisiert und übersichtlich gekennzeichnet sein. Dies gelingt durch den Abgleich gegen einen Softwarekatalog, der täglich die neusten Updates aus der Cloud erhält. Damit lässt sich die Software von mehreren Tausend Herstellern nebst aktueller Patch-Stände zuverlässig erkennen. Abhängig von der eingesetzten Lösung ist es außerdem möglich, fertig paketierte Patches, Updates und Anwendungen im LAN oder via Cloud für mobile Workplaces zur sofortigen Verteilung bereitzustellen – von der Freeware wie PDF-Reader oder Browser bis hin zu branchenspezifischen Applikationen mit Managed-Service-Angeboten.
Mit workflow-basierende Softwareverteilung IT-Risiken reduzieren
Im Idealfall geschieht die Verteilung dann direkt und automatisiert. Um die Kommunikation zwischen zentralen und dezentralen Verteilungspunkten und Endgeräten in Echtzeit zu ermöglichen, sollte die Bereitstellung von Software über Web Sockets wie HTTP(S), FTP(S), WEBDAV (SSL) und SMB erfolgen. Dann sind auch mobile Endgeräte – ganz im Sinne eines Unified-Endpoint-Managements – komfortabel mit neuen Applikationen und sicherheitsrelevanten Updates versorgt.
In komplexen Netzenwerken gilt es neben der lokalen Software-Installation, die virtuelle Bereitstellung von Software über Application Streaming, Desktop-Virtualisierung, Application-Virtualisierung oder Pritave-Cloud-Lösungen zu bedienen. Dazu ist ein Softwaremanagement gefordert, das die flexible Konfiguration von Softwareverteilern ermöglicht. Dies umfasst die Festlegung bestimmter Funktionen wie die Vergabe von Up- und Download-Rechten, die Zuweisung von Bandbreiten oder die Information, wann und von welcher Quelle Daten geholt werden sollen. Die Verteilung erfolgt idealerweise Workflow- und regelbasierend. Dabei greift sie am besten auf Organisationseinheiten und Sicherheitsgruppen aus dem Attribute und technische wie organisatorische Informationen aus der Asset-Management-Datenbank zurück. Auch Überprüfungen auf vorhandene Lizenzen dürfen nicht fehlen.
Diese Flexibilität kommt auch dem Deployment des Betriebssystems zugute. Damit ist beispielsweise die Vereilung von Softwarepaketen direkt in den Rollout des OS integrierbar. Auch Sicherheitsfunktionen wie das Aktivieren von Bitlocker zur Verschlüsselung einer Festplatte oder eine Installation über UEFI werden Devices deutlich besser gegen Rootkit-Angriffe geschützt als über das BIOS, da hier bereits beim Start eine Überprüfung daraufhin stattfindet, ob die installierten Treiber überhaupt auf dem Gerät laufen dürfen und ob sie über ein gültiges Zertifikat verfügen.
Fehlerhafte Lizenzierung eines des bekanntesten IT-Risiken
Der Betrieb einer Private Cloud macht neben der Cybersecurity eine zweite Flanke auf – das Risiko fehlerhafter Lizenzierung. Denn um alle Vorteile der Private Cloud zu nutzen, setzen Unternehmen auf Virtualisierungstechnik. Doch unbedachtes Deplyment virtueller Maschinen und zugehöriger Server-Applikationen kann zum Risiko im Lizenz-Audit werden, da diese Systeme in virtuellen Umgebungen anderen Metriken und Regeln unterliegen. Eine intelligente Asset-Management-Lösung bildet deshalb alle gebräuchlichen Server-Lizenzmetriken diverser Hersteller ab, darunter CPU und Zugriffslizenzen für virtuelle Umgebungen und Hosts. Sie inventarisiert die Virtualisierungstechnik wie
- VMware ESX
- Citrix Hypervisor
- Microsoft Hyper-V
- installierten Betriebssysteme und Applikationen
Zusätzlich liest sie den darunterliegenden Hardwareknoten inklusive aller Details wie dessen RAM oder CPU aus. Auf dieser basis lässt sich der Lizenzbedarf für die virtualisierte Software dann automatisch berechnen und somit die Lizenz-Compliance wahren.
Lizenz-Compliance und geringere IT-Risiken als Resultat
Mit automatisierter Inventarisierung und Softwareverteilung sind Unternehmen auf einem guten Weg hin zu einem Sicherheits- und lizenzrechtlich optimierten IT-Betrieb. Denn nicht-autorisierte Hard- und Software deckt die Inventarisierung zuverlässig auf. Prüfroutinen bei der Softwareverteilung verhindern außerdem eine unbewusste Unterlizenzierung. Idealerweise bildet dies einen ganzheitlichen Ansatz, der Discovery und Automation unter Gewährleistung von Security und Compliance zum Ziel hat. Der Aufwand lohnt sich tatsächlich, denn dann gelingt es, Cloud-, hybride und virtuelle IT-Infrastrukturen effizient, sicher sowie kostenoptimiert zu betreiben.
Autor: Benedikt Gasch, CTO, Deskcenter Solutions AG