Virtualisierter Schutz für Daten

PFS Pension Fund Services hat im Rahmen einer Server-Virtualisierung auch das Sicherheitskonzept umgestellt. Neu kommt eine agentenlose Software zum Einsatz.

Artikel erschienen in Swiss IT Magazine 2012/04

     

Das Schweizer Unternehmen PFS, das im Pensionskassen-Management sowie der Human-Resources (HR)- und Saläradministration tätig ist, verwaltet die persönlichen Daten von rund 26’000 Versicherten und Pensionären in 29 Vorsorgestiftungen mit knapp sieben Milliarden Schweizer Franken Anlagevermögen. Das Unternehmen ist für die Erstellung von Lohn- und Gehaltsabrechnung von mehr als 20’000 SAP-Stammsätzen zuständig. Dabei ist die Einhaltung gesetzlicher Datenschutzvorgaben entscheidend. Nebst den Anforderungen an die Informationssicherheit, die Verfügbarkeit und die Integrität der Daten muss PFS auch den unterschiedlichen Forderungen der Kunden bezüglich des physikalischen Speicherorts der Daten entsprechen.
«Die strengen Vorgaben des Gesetzgebers sind absolut richtig, personenbezogene Daten dürfen keinesfalls in falsche Hände geraten», betont Michael Flückiger, Leiter Basis IT/Vorsorge-Support bei PFS. Und er führt weiter aus: «Wir können den Herausforderungen einer gesetzeskonformen Datensicherung nur dann gerecht werden, wenn wir höchste Anforderungen an die derzeit am Markt verfügbaren Sicherheitslösungen stellen.»
Deshalb hat sich das Unternehmen 2010 dazu entschieden, in einem ersten Schritt die IT-Infrastruktur, bestehend aus zehn physischen Servern, in eine Vmware-basierte, virtuelle IT-Infrastruktur mit 25 virtuellen Servern und drei Hosts zu überführen. Teile der bestehenden Sicherheitslösung, etwa diverse Firewalls, wurden dabei übernommen. «Damit war der Onboard-Virenschutz zwar gegeben, entsprach aber nicht den von uns formulierten Sicherheitsstandards», erinnert sich Flückiger. Der Ersatz durch eine vollumfängliche Antiviren-Lösung gemäss klar definierter Anforderungen war somit unumgänglich.

Suche nach einer agentenlosen Security-Lösung

Die vorhandene, Agenten-basierte Lösung entsprach also nicht mehr den PFS-Anforderungen an eine Antiviren-Lösung in einer virtualisierten Private-Cloud-Umgebung – zumal dabei auf jeder virtuellen Maschine eine Agenten-Software installiert sein müsste und sich eine Umsetzung als ressourcen- und kostenintensiv erweisen würde. Neuere Lösungen, die auf der Hypervisor-Ebene, also einem so genannten Virtualisierungs-Layer aufbauen, bedürfen im Cloud-Zeitalter nur eines Virenschutzes pro physischem Host, um alle darauf betriebenen virtuellen Maschinen zu schützen. «Wir wollten nichts auf den virtuellen Maschinen installieren, vielmehr sollte der Schutz auf der Hypervisor-Ebene passieren», führt Flückiger aus.

Damit waren die Anforderungen klar definiert: Eine agentenlose Sicherheitslösung für die Vmware-basierte, virtualisierte IT-Infrastruktur war das Ziel von PFS. «Aus Gründen des Investitionsschutzes kam zudem nur eine Lösung von einem der vier grossen Anbieter in Frage», so Flückiger. Die Wahl sei insofern relativ leicht gefallen, als Trend Micros Deep Security zum Zeitpunkt der Evaluation die einzige agentenlose Lösung am Markt war, die auf der Hypervisor-Schnittstelle Vshield aufbaute, so der Projektleiter.
Mit Deep Security bietet Trend Micro eine performante Sicherheitslösung für Server in einem Datenzentrum an – egal, ob es sich dabei um physikalische oder virtuelle Server handelt. Dabei verbindet die Software die Erkennung und Abwehr von Eindringlingen, eine Firewall sowie die Integritätsüberwachung und Protokollprüfung zu einem Software-Agenten. Dank dieser zentral verwalteten Lösung können Unternehmen verdächtige Aktivitäten bereits frühzeitig erkennen.

Rasche Einführung

Für die Einführung der neuen Sicherheitslösung, die lediglich eine Woche dauern sollte, wandte sich PFS direkt an Trend Micro. «Die Lösung Deep Security war relativ neu, und es gab noch keine Installation in der Schweiz», führt Flückiger aus. Da Trend Micro keinen Direktvertrieb in der Schweiz anbietet, empfahl es das Swisscom-Unternehmen Axept als Vertriebspartner. «Letztlich haben wir bei Axept die Lizenzen bezogen, den Know-how-Transfer hat Trend Micro direkt sichergestellt», so Flückiger.
Laut Flückiger hat sich für PFS der Wechsel auf die Trend-Micro-Lösung gelohnt: «Das agentenlose Konzept spart nicht nur personelle Ressourcen, es ist zudem auch leistungsfähiger als unser vorheriges Programm und schützt dabei die virtuellen Maschinen sowie die restlichen, noch in unserer Infrastruktur verbliebenen physischen Maschinen.»
Die Übersichtlichkeit der Managementkonsole gefällt Flückiger ebenso wie die Tools zur Definition der Policies. «Gerade in virtuellen Umgebungen ist es wichtig, dass die Festlegung der Regeln sowie deren Zuordnung zu den virtuellen Maschinen einfach erfolgen kann. Eine Hilfe ist dabei die grosse Auswahl vordefinierter Policies, die bereits auf eine agentenlose Arbeitsweise ausgerichtet sind und sich schnell an die individuellen Bedürfnisse anpassen lassen», führt der Projektleiter aus. Und weiter: «Das Produkt verfügt über einen so grossen Funktionsumfang, dass wir zum gegenwärtigen Zeitpunkt noch gar nicht alle nutzen.»

Vshield-Schnittstelle machte Probleme

Obwohl mit der Lösung zufrieden, betont Flückiger aber auch, dass es bei der Einführung einige Stolpersteine gab. So seien zu Beginn diverse Probleme mit der Vshield-Schnittstelle von Vmware aufgetaucht, die erst nach etwa sechs Monaten mittels zweier Updates behoben werden konnten. «Vorher war die Schnittstelle noch nicht ganz ausgereift», erinnert sich Flückiger. Zudem sei die gesamte Materie sehr komplex gewesen, da viele Komponenten zusammenspielen.
«Für uns war es nicht ganz einfach, bei so komplexen Anforderungen den Durchblick zu behalten. Dank der intensiven Zusammenarbeit mit Trend Micro konnten wir aber innerhalb kurzer Zeit das benötigte Wissen aufbauen», so der Projektleiter.

Desktops werden virtualisiert

Nach dem Wechsel zur Trend-Micro-Lösung hat sich PFS nun den Aufbau einer völlig agentenlosen Umgebung zum Ziel gesetzt. Den nächsten Schritt in diese Richtung wollen die Schweizer bereits im Spätsommer dieses Jahres mit der Umstellung ihrer 70 Clients auf Virtual Desktops machen. Auch hier soll Deep Security als Antivirenschutz zum Einsatz kommen. Dieses Projekt will PFS allerdings alleine durchziehen. «Wir haben im ersten Projekt so viel Know-how von Trend Micro vermittelt bekommen, dass wir uns dieses Vorhaben ohne Weiteres zutrauen», erklärt Flückiger zuversichtlich. (abr)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER