0 FUJITSU PUBLIC Copyright 2015 FUJITSU FUJITSU Security Solution SURIENT MRS.

1 FUJITSU PUBLIC Copyright 2015 FUJITSU

FUJITSU Security Solution SURIENT MRS


Eine digitalisierte Welt benötigt hohe IT-Sicherheit

Unsere vernetzte Welt, in der wir leben

Services, diedies ermöglichen bzw. erleichtern

Infrastrukturen auf denen dies basiert

Big DataBenutzerzentrier

te Mobilität

Cloud

Wo bleibt die Sicherheit?


Angriffspunkte End2End: Endpunkt – Übertragung - Rechenzentrum

Zugriff auf kritische DatenAdmins können auf sensible Daten unbemerkt zugreifen

Daten werden abgefangenAusgehende Daten können abgefangen, mitgelesen und manipuliert werden

HackerangriffeDurch nicht durchgängiges Monitoring werden Hackerangriffe erleichtert; Logs können verfälscht werden

Physischer Zugriffauf Systeme durch unzureichend gesicherte Zugriffsprozesse

Remote ZugriffÜbernahme und Steuerung der Systeme durch FernzugriffBildschirminhalte

können mitgelesen werden

Webcam und Mikrofon (intern/extern) können aktiviert und gesteuert werden (Raumüberwachung möglich)

Externe HDD, USB können Viren und Backdoors unbemerkt installieren

Maus- und Tastatureingaben können mitgelesen werden

Hauptspeicherspeichert Daten unverschlüsselt

Interne Datenträger (HDD, SSD, DVD)sind trotz Verschlüsselung lesbar

BIOS, OS, Treiber, AnwendungKönnen Backdoors enthalten

ExtranetIntranet CloudInternet

Kommunikation (Internet/LAN/WAN) Backdoors in aktiven / passiven Netzwerk-Komponenten


Warum ist der Schutz vor physischen Zugriff so wichtig?

Falls ein Angreifer direkten Zugriff auf die Hardware (HDD, RAM, etc.) hat, gibt es kaum ein Möglichkeit das System adäquat zu schützen.

FUJITSU SURIENT MRS schützt die Komponenten im Rack vor unberechtigtem Zugriff durch: Steuerung der Berechtigungen Überwachung der Türen Protokollierung der Aktionen

Angriffspunkte End2End: Endpunkt – Übertragung - Rechenzentrum

Physischer Zugriffauf Systeme durch unzureichend gesicherte Zugriffsprozesse


Neuartige SURIENT MRS mit physisch gesichertem Zugang zu den Servern und Komponenten

Überblick

InvestitionsschutzDiese SURIENT MRS kann einfach in bestehende Rechenzentrumsinfrastrukturen integriert werden

BerechtigungskonzeptNur Berechtigte haben physischen Zugriff auf die Server und Komponenten in den Racks bzw. Cages

AuditfähigkeitAlle Zugriffe und Aktionen werden auditfähig protokolliert

BenutzerführungBenutzerführung erfolgt über einfache und intuitive Menüs


Nur Berechtigte haben physischen Zugriff auf die Server und Komponenten in den Racks bzw. Cages

Authentifizierungskonzept

Zentrales User-ManagaementDurch das integrierte zentrale User-Management können die Zugangsberichtigungen jederzeit angepasst werden. Damit können auch sehr schnell Berechtigungen gelöscht werden

Biometrische AuthentifizierungBenutzer werden eindeutig über biometrische Verfahren (FUJITSU PalmSecure ID Match) authentifiziert

Granulares BerechtigungskonzeptZugriffsrechte können auf einzelne Türen der Racks/Cages(vorne/hinten) festgelegt werden

Protokollierung Unberechtigte Zugriffsversuche werden durch Sensoren erkannt und protokolliert


Lösungskomponenten

Standard 19” Racks (1, 2 oder 3 Käfige) mit elektromechanischen Schlössern, Sensoren und einem Rack Management System (RMS) zur Überwachung des Racks

Biometrische Authentifizierung via PalmSecure ID Match für Zugangskontrolle und Freischaltung der Schlösser

Rack Control Server zur Steuerung und Überwachung mehrerer Racks

Integriertes Monitoring und Protokollierung aller Aktionen

Installation und Setup Service Training

Easy to use SURIENT MRS bestehend aus:


Funktionalität und Ablauf

1

4

3

2

Alle Anwender / Administratoren müssen sich mittels Enrollment auf dem PalmSecure ID Match registrieren. Auf der SmartCard werden neben den User Daten die Templates des Venenscan gespeichert. Dies erfolgt mittels einer Webapplikation von einem beliebigen Client System aus.

Auf den Rack Control Servern werden die Zugriffsrechte für die Anwender / Administratoren für die für sie freigegebenen Racks/Cages konfiguriert.

Alle Aktionen werden protokolliert und einem Monitoring System zur Verfügung gestellt.

Die Anwender / Administratoren können dann über die Applikation im PalmSecure ID Match auswählen welches Rack/Cage sie ver- bzw. entriegeln wollen. Nach der erfolgreichen Authentifizierung und Überprüfung der Rechte wird dann die entsprechende Aktion ausgeführt


Ablauf Öffnen/Verriegeln eines Racks

*1 Für das Enrollment wechselt das PalmSecure ID Match automatisch in den Enrollment Dialog. Anschließend kann dann wieder zu (1) gewechselt werden.

Überprüfe Authentizit

ät

ÜberprüfeZugriffsrec

hte

ÖffnenVerriegeln

Rack Control Server

PalmSecure ID Match

OK

Nicht OK

OK

*2 Um mehrere Racks gleichzeitig zu administrieren können mehrere Cage IDs eingegeben werden

*2

1 432*1


Vorteile und Nutzen

Biometrische AuthentifizierungKein „Duplizieren“ der Schlüssel oder ID-Karten möglichKeine Sicherheitsrisiken durch Verlust von Schlüsseln oder ID-KartenNachdem ein Mitarbeiter das Unternehmen verlassen hat, kann der Zugang durch Löschen der Berechtigung gesperrt werden (kein Einziehen von Schlüsseln, ID Karten, … notwendig)Ent- und Verriegeln der Racks auch remote von einer beliebigen Lokation aus möglich (konfigurierbar)Alle Aktionen werden einem Monitoring System zur Verfügung gestellt Die Lösung kann einfach auf aktuelle Anforderungen erweitert oder angepasst werden

Die FUJITSU SURIENT MRS


Internes Rechenzentrum mit erhöhten Sicherheitsanforderungen für einzelne Bereiche Infrastruktur für Bereiche mit erhöhten

Sicherheitsanforderungen kann über die gesicherten Racks extra abgesichert werden

Durch Racks mit bis zu 3 Käfigen können auch kleinere Einheiten (13 HE) abgesichert werden

Use Cases

Hoster (Beispiele: UNI-Betrieb, Housing Provider) Einzelnen Instituten oder Abteilungen (z.B. UNI-

Betrieb) oder einzelnen Kunden (Housing Provider) können auf kleinstem Raum abgesicherte Umgebungen zur Verfügung gestellt werden, zu denen nur dedizierte Personen Zugang haben

Hoster oder interne IT mit über einen Campus verteilten Rechenzentren Zentrale Steuerung und Überwachung aller

Racks in beliebig verteilten Rechenzentrum

Filialbetrieb (N Lokationen mit wenigen Racks) Erhöhte Sicherheit durch „Colocation Racks“ mit

besonderen Sicherheitsmerkmalen lokale und zentrale Steuerung Lokales Enrollment von einem zentralen

Administrationssystem aus möglich


Konzept und Architektur

Eine Managed Rack Lösung besteht aus 1-n Blöcken

In jedem Block steuert und überwacht ein Rack Control Server die angeschlossenen Racks/Cages (1-16)

Für jeden Block kann konfiguriert werden, über welche PalmSecure ID Match die Zugangskontrolle und Steuerung erfolgen soll

Das Enrollment der SmartCards erfolgt von einem beliebigen Admin Client über ein Web-Interface

Optional kann für das Enrollment ein eigenes PalmSecure ID Match eingesetzt werden

Der Rack Control Server stellt für die Integration eines Monitoring Systems ein entsprechendes Interface bereit

Enrollment und Monitoring

Rack Control ServerBlock 1

PalmSecure ID Match Block 1

…

Rack/Cage 1Rack/Mgmt.System


Block 1

Customer LAN

Rack Control ServerBlock n

…



Block n…

PalmSecure ID Match Enrollment

Rack/Cage nRack/Mgmt.System

Rack/Cage nRack/Mgmt.System

PalmSecure ID Match Block n


Caging im Rechenzentrum - ohne Zäune

Racks sind physisch durch

Zäune gesichert

Racks sind durch SURIENT MRS gesichert

Vorteile:Geringer Platzbedarf und damit niedrigere KostenReduzierte Sicherheitsrisiken


Lösungsstruktur - Basispaket

1 Rack FUJITSU M2 oder Emerson-Knürr DCM Colocation mit 1, 2 oder 3 Käfigen

Elektromechanisches Schlösser (MLR1000)

RMSII compact Türkontaktsensoren Optional: Penetration Sensoren

1 Rack Control Server PRIMERGY RX1330

1 PalmSecure ID Match FUJITSU SURIENT MRS Software

Mit Erweiterungen

Installations-, Konfigurations- und Übergabeservice runden das Basispaket ab Installation und Konfiguration

der Infrastruktur Inbetriebnahme in der

Kundenumgebung Übergabe und Einweisung

an den KundenDie Solution wird fertig

installiert und vorkonfiguriert geliefert

Das Basispaket enthält alle notwenigen Komponenten für einen Block einer FUJITSU SURIENT MRS

Das Basispaket kann beliebig erweitert werden: Zusätzliche Racks

unterschiedlicher Typen PalmSecure ID Match

Systeme zur lokalen oder zentralen Steuerung / Enrollment

Weitere Basispakete für zusätzliche Blöcke Services

Zusätzliche Servicepakete für Erweiterung, Beratung und Training runden die Lösung ab


Q3 Q4

Rack Solution

Sealed Rack Solution (SRS) Schutz vor physischem Zugriff mit

verstärkten Hardware Cages Schutz vor elektronischen Angriffen

mit geschlossenen Ports und Ende-zu-Ende-Verschlüsselung

Managed Rack Solution (MRS) Nur Berechtigte haben physischen

Zugriff auf die Server und Komponenten in den Racks bzw. Cages

Zugriffe und Aktionen werden auditfähig protokolliert

Benutzerführung erfolgt über einfache und intuitive Menüs

Xxx

Q3 Q1Q1 Q2 Q4 Q2

Not decided Status 60/EOL as long as stock lasts New vs last monthRoadmap product

Xxx

2015 2016 2017

Man

aged

Seal

ed

MRS 1.0 Initial version

SRS POC POC only

MRS 1.1 Monitoring mittels Nagios / Incinga

SRS 1.0 Initial version

MRS POC POC only


+ Verwendung von Standard 19” Racks mit elektromechanischen Schlössern und Sensoren

+ Nur berechtigte Benutzer haben physischen Zugriff auf die Server und Komponenten in den Racks bzw. Cages

+ Benutzer müssen sich mit biometrischen Methoden authentifizieren. Daher können Berechtigungen nicht an Dritte weitere gegeben

+ Alle Zugriffe und Zugriffsversuche werden auditfähig protokolliert

+ Setup, Installation und Training werden an einem Tag beim Kunden vor Ort durchgeführt

+ Kostenersparnisse wegen viel höherer Flexibilität und weniger Platzbedarf gegenüber RZ mit Zäunen

ZusammenfassungIn aller Kürze

Effektiver physischer Schutz der Racks vor unbefugtem Zugriff

Protokollierung aller Zugriffe mit biometrischer Authentifizierung

Investitionsschutz und Kostenersparnis

!


Informationen & Kontakt

Kontakt

Thomas Schkoda (Produkt Manager)

[email protected]

mailto:[email protected]

0 FUJITSU PUBLIC Copyright 2015 FUJITSU FUJITSU Security Solution SURIENT MRS.

Documents

Transcript of 0 FUJITSU PUBLIC Copyright 2015 FUJITSU FUJITSU Security Solution SURIENT MRS.