Modulare Sicherheitslösung Fujitsu Surient Datensafe mit End-to-End-Verschlüsselung

Autor: Klaus Länger

Fujitsu Surient ist eine modulare Sicherheitslösung, die für Ende-zu-Ende-Sicherheit vom Client bis ins Rechenzentrum sorgen soll. Auf dem Fujitsu Forum 2015 hat der Hersteller die ersten fünf Module vorgestellt.

Firmen zum Thema

Fujitsu Surient ist eine modulare Sicherheitslösung, die für eine Ende-zu-Ende-Sicherheit vom Client bis ins Rechenzentrum sorgen soll.
Fujitsu Surient ist eine modulare Sicherheitslösung, die für eine Ende-zu-Ende-Sicherheit vom Client bis ins Rechenzentrum sorgen soll.
(Bild: Fujitsu)

Die Datensicherheit rückt für immer mehr Firmen in das Zentrum der Aufmerksamkeit. Schließlich ist man nicht nur von außen durch Spionage oder neugierige Geheimdienste bedroht, auch in der Firma können digitale Schädlinge den Datenbestand bedrohen. Und die können in den Zeiten von BYOD immer einfacher in ein Firmennetz eingeschleppt werden.

Fujitsu hat daher mit Surient ein mehrstufiges Sicherheitskonzept entwickelt, das auf den Ergebnissen des Forschungs- und Entwicklungsprojekts „Digitale Souveränität“ von Fujitsu Deutschland aufbaut. Surient besteht aus mehreren Modulen. Die ersten fünf Komponenten sollen im Frühjahr 2016 auf den Markt kommen. Die einzelnen Module können separat eingesetzt oder mit anderen kombiniert werden. Neben dem Rechenzentrum und Client-Rechnern soll Surient auch das Internet der Dinge abdecken. Hier wird beispielsweise eine Technologie entwickelt, die mit der Erfassung einer Art digitalen Fingerabdrucks anhand der individuellen Latenzzeiten der Chips erkennen soll, ob Sensordaten auch von tatsächlich eingesetzten Sensoren stammen, oder gefälschte Daten ins System eingeschleust werden sollen.

Bildergalerie
Bildergalerie mit 8 Bildern

Das sichere Rechenzentrum

Das erste Modul für das Rechenzentrum ist die Encrypted Boot Solution (EBS). Diese Lösung basiert auf einer von Fujitsu patentierten Technologie und erlaubt den Start von verschlüsselten Systempartitionen, ohne dass den Administratoren die Schlüssel bekannt sein müssten. Die Schlüssel werden vom System selbst dezentral erzeugt und übergeben. So können keine Passwörter beabsichtigt oder aus Fahrlässigkeit in fremde Hände gelangen.

Für die physikalische Sicherheit der Racks im Rechenzentrum sorgen die Module Managed Rack Solution (MRS) und Sealed Rack Solution (SRS). Bisher waren Server mit sensiblen Daten meist in eigenen Gitterboxen untergebracht. Die belegen zusätzlichen Raum im Rechenzentrum und gehen natürlich auch mit zusätzlichen Kosten einher. Die auf mittlere Sicherheitsniveaus ausgelegte Managed Rack Solution (MRS) sorgt durch Schlösser mit einer biometrischen Zugangskontrolle mittels PalmSecure ID Match dafür, dass nur berechtigte Personen Zugriff auf die Hardwarekomponenten des Servers und vor allem die Festplatten oder SSDs erhalten. Die biometrische Authentifizierung erfolgt über einen Handvenenscanner. Bisher sind keine Verfahren bekannt, mit denen sich diese Geräte überlisten lassen. Auf Wunsch erfolgt die Entriegelung der Schlösser auch erst, wenn sich mehr als eine Person authentifiziert hat (Mehr-Augen-Prinzip). Selbst Zugriffsrechte auf einzelne Türen der Racks oder Laufwerkskäfige sind möglich. Ein optionaler Erschütterungssensor kann Einbruchsversuche mit der Brechstange erkennen und einen Alarm auslösen.

Die Steuerung, Überwachung und Protokollierung der zuvor angemeldeten Zugriffe auf die Racks übernimmt ein Rack-Control-Server, der mehrere Racks verwalten kann.

Die nächste Sicherheitsstufe bildet dann die Sealed Rack Solution (SRS) mit verstärkten Hardware-Cages sowie Monitoring und Auditierbarkeit nach ISO 27000. Surient MRS wird laut Fujitsu im Frühjahr 2016 verfügbar sein, SRS folgt zum Ende 2016.

Die Stealth Connect Solution (SCS) soll die Daten auf den Servern vor elektronischen Angriffen schützen. Alle Zugriffe von berechtigten Anwendern erfolgen über ein sicheres Virtual Private Network (VPN) auf eine den Servern vorgeschaltete Stealth Connect Appliance. Sie besteht aus einem internen Router, einem internen Relay-Server und dem eigentlichen VPN-Server mit einem gehärteten Debian-Linux als Betriebssystem. Für Angreifer existiert auf den hinter der Appliance liegenden Servern kein sichtbarer Port, der als Einfallstor genutzt werden kann. Als Gegenstelle für die Stealth Connect Appliance auf der Client-Seite dient eine Stealth Connect Box für mehrere PCs im Office oder später auch ein Windows-Software-Client (Stealth Connect Client). Auf Kundenanforderung kann auch ein Client für andere Betriebssysteme bereitgestellt werden. Laut Michael Erhard, Pressesprecher für Fujitsu Central Europe, war das Interesse speziell bei deutschen Kunden auf dem Fujitsu Forum sehr hoch.

Weiter geht es mit der Sealed Applications Solution für Client-Rechner

(ID:43751712)

Über den Autor

 Klaus Länger

Klaus Länger

Redakteur