IBM bringt Mainframe für verschlüsselte Hybrid-Clouds

Mehr Sicherheit für hohe Transaktionsvolumina IBM bringt Mainframe für verschlüsselte Hybrid-Clouds

01.03.2016Autor / Redakteur: Ulrike Ostler / Rainer Graefen

Mit „z13s“ bringt IBM einen Mainframe für den Einstieg in die Großrechnerwelt. Das System soll insbesondere für Mittelständler attraktiv sein, die ein sicheres und hybrides Cloud-Computing betreiben wollen. Dazu ist die integrierte Datenverschlüsselung zweimal schneller als zuvor und die Cyber-Security-Analytik lernt bei Angriffen dazu.

Anbieter zum Thema

Dell GmbH

Fujitsu Technology Solutions GmbH

Scality

IBM Deutschland GmbH

IBM z13s, der neue Einstiegspunkt in das zSystems-Portfolio, ist vollgepackt mit Sicherheitsfunktionen, zum Beispiel mit Kryptographie per Co-Prozessor.
(Bild: IBM)

Die Einstiegs-Mainframes IBM z13s sollen ein höheres Maß an Sicherheit bei der Datenverschlüsselung erlauben als je zuvor, ohne dass sich jedoch die Systemleistung verlangsamt. Insbesondere dadurch sei das System für unternehmenswichtige Informationen und Transaktionen abgesicherte und für Hybrid-Cloud-Umgebungen optimiert. Zudem hat IBM weitere Sicherheitspartnerschaften für den Mainframe angekündigt.

Denn digitale Geschäftsformen sind Standard und die Transaktionsmengen steigen. Damit ist Sicherheit, möglichst immer und überall, eine Notwendigkeit. Nach Evaluationen des IBM 2015 Cyber Security Intelligence Index kann ein durchschnittliches Unternehmen pro Jahr im Durchschnitt mit bis zu 81 Millionen Sicherheitsvorfällen konfrontiert sein.

Da Unternehmen immer mehr Interaktionen mit ihrem Firmennetz über Mobil-Geräte und im Kontakt mit Cloud-Netzwerken abwickeln, können Vorfälle und Bedrohungen zudem in einem erheblichen Maße eskalieren und sich in erschreckendem Maß weiterentwickeln. Die Branchenanalysten von IDC prognostizieren in dem Bericht „IDC FutureScape – Worldwide Cloud 2015 Predictions – Mastering the Raw Material of Digital“, dass 80 Prozent der Unternehmen Hybrid-Clouds bis zum Jahr 2017 im Einsatz haben werden.

Sicher vor Manipulationen

Cyber-Kriminelle heutzutage manipulieren zunehmend Daten, anstatt sie zu stehlen, was ihre Genauigkeit und Zuverlässigkeit stark beeinträchtigen kann. Aus diesen Gründen wird das neue z13s-System Zugriff auf APIs und Mikroservices in einer Hybrid-Cloud-Umgebung ermöglichen, während gleichzeitig die zentralen Unternehmensdaten geschützt sind und ihre Integrität intakt bleibt.

IBMs z13s, der neue Einstiegspunkt in das Portfolio der zSystems, ist vollgepackt mit Sicherheitsinnovationen für Unternehmen und Organisationen bereits ab mittelständischen Dimensionen. So können zSystems-Server sensible Daten verschlüsseln, ohne den Transaktionsdurchsatz und die Antwortzeiten zu beeinträchtigen. Dies ist seit jeher ein Hindernis für IT-Abteilungen bei der Umsetzung von Verschlüsselung.

Die Beschleunigung verdankt z13s insbesondere der Tatsache, dass Kryptographiefunktionen in die über eine manipulationsgesicherte Hardware eingebettet sind. Co-Prozessor-Karten sorgen für schnellere Prozessoren und mehr Speicher. Das Ergebnis: Doppelt so schnell wie bei früheren Mainframe-Midrange-Systemen lassen sich die Daten ver- und entschlüsseln.

"Schnelle und sichere Transaktionsverarbeitungs ist im Kern die Stärke von IBM-Mainframes. Die Plattform unterstützt Kunden bei ihren wachsenden digitalen Geschäften in einem Hybrid-Cloud-Umgebung", sagt Tom Rosamilia, Senior Vice President, IBM Systems.
(Bild: IBM)

Die lernende Analytik

Somit können Kunden doppelt so viele kryptografisch geschützte Transaktionen wie vorher ohne Leistungseinbußen durchführen. Dies entspricht dann auch annähernd doppelt so vielen Online-Käufe oder Mobilgeräte-Zugriffen in der gleichen Zeit. Dies hilft, die Kosten pro Transaktion zu senken.

Außerdem wird IBM seinen z Systems-Kunden einen Cyber-Security-Analytik-Service anbieten, der durch stetiges Dazulernen über das Nutzerverhalten im Laufe der Zeit immer besser bösartige Aktivitäten genauer erkennen kann. Die Analyse, die von IBM Research entwickelt wurde, lernt Verhaltensweisen von Benutzern und ist dann in der Lage, anomale Muster auf der Plattform zu erfassen, um Administratoren auf potenzielle schädliche Aktivitäten aufmerksam zu machen.

Zusammen mit der „IBM Q-Radar“-Sicherheitssoftware, die Daten aus mehr als 500 Quellen korrelieren kann, können Organisationen festzustellen, ob sicherheitsrelevante Ereignisse einfach Anomalien sind oder potentielle Bedrohungen darstellen. Der zSystems-Cyber-Security-Analytics-Service wird als kostenfreies Beta-Angebot für „z13“- und z13s-Kunden zur Verfügung stehen.

Integrität und Frühwarnung

Eine Hybrid-Cloud-Infrastruktur bietet Vorteile in der Flexibilität, bringt aber auch neue Schwachstellen mit sich. Da mehr als die Hälfte aller Angreifer von Insidern kommen, müssen Unternehmen ihre Überwachung automatisieren, um damit menschliches Versagen oder Manipulation auszuschalten. Dagegen kombiniert IBM den Mainframe mit IBM Security-Lösungen, die die Aspekte Privileged Identity Management, Schutz sensibler Daten und integrierte Security Intelligence abdecken. In Kombination mit den z Systems können Kunden dem Ziel einer End-to-End-Sicherheit in ihrer Hybrid-Cloud-Umgebung näher kommen.

IBM Security-Identity-Governance und -Intelligence können dabei helfen, unbeabsichtigten oder böswilligen Verlust interner Daten zu verhindern, indem Zugriffs-Management und -Überwachung auf der Grundlage bekannter Vorgaben durchgeführt werden, wobei dann Zugang für Need-to-know-Benutzer geschaffen wird. Die Software „IBM Security Guardium“ nutzt Analytik, um dabei zu helfen, die Integrität der Daten sicherzustellen. Sie verfolgt, welche Benutzer Zugriff auf welche konkreten Daten haben und hilft, schnell Bedrohungsquellen im Falle einer Sicherheitsverletzung zu identifizieren. „IBM Security zSecure“ und Q-Radar verwenden Warnungen in Echtzeit, um Verantwortliche auf die identifizierten kritischen Sicherheitsrisiken zu fokussieren, die gerade am meisten für das Unternehmen wichtig sein können.

Vier Augen sind besser als zwei; Mutifaktor-Authentifizierung erhöht die Sicherheit: Das Prinzip führt eine weitere Sicherheitsebene ein, indem privilegierte Anwender aufgefordert werden, eine zweite Form der Identifikation einzugeben.
(Bild: IBM)

Multifaktor-Authentifizierung

Zudem ist die „IBM Multi-Faktor-Authentifizierung“ (MFA) jetzt auf dem Betriebssystem „z/OS“ verfügbar: Die Software führt eine weitere Sicherheitsebene ein, indem privilegierte Anwender aufgefordert werden, eine zweite Form der Identifikation einzugeben, wie zum Beispiel eine PIN oder ein auf Zufallsgeneratorbasis erzeugter Token, um Zugriff auf das System zu erlangen.

Dies ist das erste Mal, dass MFA direkt in das Betriebssystem integriert wird, statt dass die Funktion durch eine Add-On Software bereitgestellt wird. Dieses Maß an Integration soll weniger komplexe Konfigurationen und eine bessere Stabilität und Performance schaffen.

Das Sicherheits-Partnerökosystem

Das „Ready for IBM Security Intelligence“ ist ein Partnernetzwerk: IBM arbeitet hier mit Unternehmen in der Cyber-Security-Branche zusammen. Da das Programm sich nun auf die z Systems erweitert hat, ermöglicht es ein zusätzliches Maß an Sicherheit und Access-Governance hin zu kritischen Anwendungen, Ressourcen und Daten, die sich auf dem Mainframe befinden. Denn Gesamtsystemsicherheit erfordert tiefe Kenntnis der spezifischen Branchen und Bedrohungen. Die neuen Partner für z Systems sind Blackridge Technology, Forcepoint (ein Joint Venture von Raytheon und Vista Equity Partners) und RSM Partners.

Blackridge Technologie liefert identitätsbasierte Netzwerksicherheit, die vor dem Bestehen von Netzwerkverbindungen bereits arbeitet. Sicherheitsabwehrmechanismen greifen dann auf der Anwendungsebene. Blackridge ermittelt und authentifiziert die Benutzer- oder Geräte-Identität, bevor Netzwerkverbindungen geschaffen werden. Dies schafft ein Äquivalent zu Secure-Caller-ID auf dem Netzwerk, welches nur identifizierten und autorisierten Benutzer oder Geräten Zugriff auf Unternehmenssysteme erlaubt. Es stoppt damit bekannte und sogar noch unbekannte Bedrohungen.

Der Forcepoint Trusted Thin Client sichert sensible und unternehmenskritische Daten am Endpunkt ab. Mit einem Nur-Lese-Endgerät gibt es keine auf dem Gerät liegenden Daten - bei einer Manipulation kann nichts gestohlen oder abgesaugt werden.

Das Unternehmen RSM Partners bietet umfassendes Know-how in Anwendungs-Readyness, bei Penetrationstests und Sicherheits-Reviews. Es verfügt auch über Software-Produkte, die eine einfachere Sicherheitsverwaltung ermöglichen und Dashboards bieten, die einen Einblick in die gesamte Sicherheitslage einer Organisation mit Blick auf den Mainframe zu geben.

Der Beispielkunde

Ein Anwenderbeispiel: Banco do Nordeste, die größte regionale Entwicklungsbank in Lateinamerika, hat zwei zSystems-Mainframes gekauft, um die ansteigenden Mobile- und Bankautomationstransformationen zu unterstützen. Sicherheit und insbesondere Betrugsprävention ist ein wichtiges Anliegen für die Bank. Mit zSystems als Kernbestandteil der IT-Infrastruktur kann das Unternehmen Analysefunktionen verwenden, um Anomalien zu erkennen und Betrug besser zu verhindern.

Claudio Freire, Superintendent of Information Technology, Banco Nordeste, erläutert: „Da unser Geschäft weiter wächst, brauchen wir eine Computing-Plattform, die mit uns wachsen und gleichzeitig die Sicherheit und Zuverlässigkeit bieten kann, die Banken benötigen.“ Die Kombination aus Leistung und Sicherheit auf dem Mainframe mit der Offenheit von Linux biete „eine optimale Plattform, um Benutzerverhalten zu analysieren und riesige Mengen an sensiblen Kundendaten zu verwalten und sicher zu halten."

Die neuen z13s-Systeme werden im März dieses Jahres allgemein verfügbar.