Als PDF zum

Arvato Systems versorgt
anspruchsvolle Kundschaft
Sichere und hochverfügbare IT-Dienstleistungen
dank zweistufigem Firewall-Cluster
Dass es in Leipzig nachts taghell, in Reutlingen im Winter warm und in Hamburg immer
schön sauber ist – dazu leistet im Hintergrund Arvato Systems ihren Beitrag. Arvato
Systems unterstützt Unternehmen der Energie- und Wasserwirtschaft sowie Entsorgung
und Verkehrsinfrastruktur in ganz Deutschland mit branchenspezifischen IT-Dienstleistungen. Zudem planen, implementieren und betreuen die über 3000 Mitarbeiter des
Unternehmens im Kundenauftrag SAP-Systeme. Um die zentralen Versorger- und Unternehmensanwendungen als Hosting-Lösungen anbieten zu können, betreibt Arvato
Systems zwei Rechenzentren u. a. in Leipzig. Die Verbindungen zu den OutsourcingKunden müssen zuverlässig abgesichert und hochverfügbar sein – hier setzt Arvato
Systems an der Schnittstelle zwischen Rechenzentrum und Internet auf zweistufige und
zertifizierte Firewalls.
Zahlreiche kommunale Ver- und Entsorger wie
die Stadtwerke Leipzig, die Kommunale Netzgesellschaft Südwest oder auch die Leipziger
Messe und die Stadtreinigung Hamburg haben
Arvato Systems wichtige IT-Anwendungen anvertraut: beispielsweise Abrechnungs- und Handelssysteme für den Energievertrieb, Lösungen
für die Logistik, Buchhaltung und das Controlling
aus dem Baukasten der SAP. Diese teils individuell angepassten Anwendungen laufen auf
modernsten Servern in den Rechenzentren von
Arvato Systems, werden fortlaufend gepflegt
und auf Kundenwunsch auch redundant und
somit hochverfügbar vorgehalten. Über verschlüsselte Internet-Verbindungen greifen die
Kunden darauf zu.
Wenn die Systeme dem Datenaustausch mit
Dritten dienen, z. B. Energieerzeugern, Dienstleistern oder dem Finanzamt, stellt Arvato Systems
Hohes Sicherheitsniveau durch
High Resistance Firewall genugate
die Server in spezielle Sicherheitsbereiche – so
genannte Demilitarisierte Zonen (DMZ). Die DMZ
werden vom restlichen Netzwerk abgeschirmt, so
dass externe Zugriffe von Dritten nur auf die explizit freigeschalteten Systeme erfolgen können.
Hohe Ansprüche:
99,9 prozentige Verfügbarkeit
Die Übergänge vom Rechenzentrum zum Internet sowie zu den Demilitarisierten Zonen (DMZ)
werden mit Firewalls überwacht. Die Sicherheitssysteme müssen zulässige Anfragen von Kunden
erkennen und zur angesprochenen Anwendung
durchstellen. Unerwünschte Verbindungen, Viren
und sonstiger Schadcode sind dagegen abzublocken. An die Firewalls stellt Arvato Systems weitreichende Anforderungen: „Unsere Kunden aus
der Versorgerbranche haben hohe Sicherheitsansprüche und verlangen für zentrale Anwendungen Verfügbarkeiten von bis zu 99,9 Prozent.
Diese Anforderungen können wir nur mit Firewalls
erfüllen, die zum einen eine starke Sicherheitsleistung bieten und zum anderen zuverlässig
in ausfallsicheren Clustern arbeiten.“ erläutert
Holger Maschke, Director System & Infrastructure Services bei Arvato Systems.
Zur Absicherung der kritischen NetzwerkÜbergänge wählte Arvato Systems die Firewall
genugate. Bei dieser Lösung des deutschen Herstellers genua sind zwei unterschiedliche Firewalls zu einem mehrstufigen System kombiniert:
ein Application Level Gateway und ein Paketfilter.
Die Firewalls laufen auf separater Hardware, sind
www.genua.de
aber in Reihe geschaltet. Daten aus dem Internet müssen also beide Systeme passieren, um
ins LAN des Rechenzentrums zu gelangen.
Application Level Gateway
prüft Dateninhalt
Nach außen in Richtung öffentliches Internet
ist das Application Level Gateway ausgerichtet.
Dies ist das aufwändigere der beiden FirewallSysteme und überprüft den Inhalt des Datenstroms. Dazu stoppt es die eintreffenden IPPakete und setzt sie zu Datensätzen zusammen.
Denn nur anhand kompletter Datensätze kann
der Inhalt überprüft werden. Jetzt analysieren
Prüfprogramme für alle gängigen Protokolle
sowie ein Virenscanner den Inhalt der empfangenen Daten. Unerwünschter und auch gefährlicher Code wie aktive Inhalte und Viren werden
so zuverlässig identifiziert und abgeblockt.
Ist die Inhaltsprüfung bestanden, erzeugt das
Application Level Gateway eine neue Verbindung und schickt die Datenpakete zum zweiten
Firewall-System, dem Paketfilter. Dieser prüft
die formalen Informationen im Paket-Header wie
Absender- und Empfängeradresse, Protokolltyp
und Port-Nummer. Nur wenn die Verbindung
gemäß den konfigurierten Regeln erlaubt ist,
leitet der Paketfilter die Daten an den Empfänger
im Rechenzentrum von Arvato Systems weiter.
Die Kontrollmechanismen der beiden Firewalls
arbeiten somit auf unterschiedlichen Ebenen und
ergänzen sich.
2
Holger Maschke,
Director System & Infrastructure
Services bei Arvato Systems
Penetrationtests fanden
keine Schwachstelle
GG -CS-0916-3-D
Ein weiterer Vorteil der Zweistufigkeit: Die Demilitarisierten Zonen (DMZ) mit Servern, auf die
externe Dritte zugreifen, können einfach zwischen den beiden Firewalls eingefügt werden. So
sichert das Application Level Gateway in Richtung Internet, und auf der anderen Seite separiert
der Paketfilter die DMZ vom internen Netzwerk.
„Durch die zweifache Prüfung mit Inhaltskontrolle bietet die Firewall starken Schutz, so dass
wir noch nie Sicherheitsprobleme hatten. Auch
wiederholte Penetrationtests, die unabhängige
Experten in unserem bzw. im Auftrag von sicherheitsbewussten Kunden gegen die Firewall
gefahren haben, konnten keine Schwachstellen
aufdecken“, so Thomas Barth, Senior System
Engineer im Bereich System & Infrastructure
Services bei Arvato Systems.
und unter günstigen Bedingungen geschickt
ausgeführten Angriffen wird stärkster Widerstand
entgegengesetzt – hat das BSI den Zusatz Highly
Resistant vergeben. Die genugate ist die einzige
Highly Resistant Firewall der Welt.
Ausfallsicher durch Firewall-Cluster
Die ausfallsichere Anbindung des Rechenzentrums an das Internet gewährleistet ein FirewallCluster: Am zentralen Übergang teilen sich zwei
genugates mittels Load Sharing die Arbeit und
beobachten sich dabei stets gegenseitig. Sollte
ein System ausfallen, übernimmt sofort der
Partner dessen Aufgaben, so dass keine Verbindungen unterbrochen werden. Durch die Zusammenarbeit wird auch ein hoher Datendurchsatz
sichergestellt, der bei steigenden Anforderungen
durch die Einbindung zusätzlicher Firewalls in
das Cluster weiter gesteigert werden kann.
Auch die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die
genugate geprüft. Hier wurde als Maßstab der
internationale Standard Common Criteria (CC)
angelegt. Dabei wird das System ausführlich getestet und die korrekte Umsetzung aller Sicherheitsmechanismen bis hinunter zum Quellcode
nachgeprüft. Das Ergebnis: Sicherheitszertifikat
in der Stufe EAL 4+ mit dem Zusatz „Highly Resistant“. EAL 4+ ist der höchste Level, der auf ein
komplexes System wie eine Firewall vollständig
anwendbar ist. Da die genugate aber beim wichtigen Merkmal Selbstschutz noch höhere Anforderungen erfüllt – selbst sorgfältig vorbereiteten
Über das Cluster führt Arvato Systems alle Verbindungen zu Kunden mit sehr hohen Verfügbarkeitsanforderungen. Weitere Anbindungen des
Rechenzentrums ans Internet werden mit einzelnen genugates abgesichert, an zwei Stellen sind
noch Ersatzsysteme im Cold Standby Modus
beigefügt, die innerhalb weniger Minuten hochgefahren werden können. Heute werden insgesamt
acht dieser Systeme eingesetzt. „Mit der zweistufigen Firewall erreichen wir das Sicherheitsniveau und die Verfügbarkeit, die wir garantieren
müssen, um die hohen Anforderungen unserer
Kunden aus der Versorgerbranche zu erfüllen“,
resümiert Holger Maschke zufrieden.
www.genua.de
genua gmbh, Domagkstraße 7, 85551 Kirchheim bei München
tel +49 89 991950-0, [email protected], www.genublog.de
3