Sicherheit vs. Übereinstimmung in der vSphere-Umgebung

Die Begriffe Sicherheit und Übereinstimmung werden häufig wie Synonyme verwendet. Es handelt sich jedoch um eindeutige und unterschiedliche Konzepte.

Sicherheit, womit häufig Informationssicherheit gemeint ist, wird in der Regel als ein Satz technischer, physischer und administrativer Kontrollen definiert, die Sie implementieren, um für Vertraulichkeit, Integrität und Verfügbarkeit zu sorgen. Sie sichern beispielsweise einen Host, indem Sie eingrenzen, welche Konten sich bei ihm auf welchen Wegen (SSH, direkte Konsole usw.) anmelden können. Übereinstimmung ist im Gegensatz dazu eine Reihe von Anforderungen, die erforderlich sind, um die minimalen Kontrollen zu erfüllen, die von verschiedenen Vorschriftenrahmen festgelegt wurden und eingeschränkte Leitlinien für jeden spezifischen Technologie-, Anbieter- oder Konfigurationstyp bereitstellen. Zum Beispiel hat die Zahlungskartenbranche (Payment Card Industry, PCI) Sicherheitsrichtlinien festgelegt, damit die Organisationen ihre Kundenkontodaten proaktiv besser schützen können.

Sicherheit verringert das Risiko von Datendiebstahl, Cyberangriffen oder nicht autorisiertem Zugriff, während die Übereinstimmung nachweist, dass eine Sicherheitskontrolle eingerichtet wurde, in der Regel innerhalb eines bestimmten Zeitrahmens. Sicherheit wird hauptsächlich in den Designentscheidungen aufgeführt und zeigt sich in den Technologiekonfigurationen. Übereinstimmung konzentriert sich auf die Zuordnung des Bezugs zwischen Sicherheitskontrollen und spezifischen Anforderungen. Eine Übereinstimmungszuordnung bietet eine zentrale Ansicht zur Auflistung vieler der erforderlichen Sicherheitskontrollen. Diese Kontrollen werden durch die jeweiligen Übereinstimmungsanforderungen der einzelnen Sicherheitskontrollen detaillierter aufgeführt, die von einer Domäne vorgegeben werden, wie NIST, PCI, FedRAMP, HIPAA usw.

Effektive Cybersicherheits- und Übereinstimmungsprogramme basieren auf drei Grundlagen: Mitarbeitern, Prozessen und Technologie. Oft wird fälschlicherweise angenommen, dass Technologie allein ausreicht, um alle Cybersicherheitsbedürfnisse zu erfüllen. Technologie spielt in der Tat eine umfassende und wichtige Rolle bei der Entwicklung und Ausführung eines Informationssicherheitsprogramms. Technologie ohne Prozesse und Verfahren, Sensibilisierung und Schulung führt allerdings zu einer Schwachstelle in Ihrer Organisation.

Beim Definieren Ihrer Sicherheits- und Übereinstimmungsstrategien müssen Sie Folgendes beachten:

Alle Mitarbeiter benötigen allgemeine Sensibilisierung und Schulung, die IT-Mitarbeiter darüber hinaus spezifische Schulung.
Der Prozess definiert, wie Aktivitäten, Rollen und Dokumentation innerhalb einer Organisation zur Risikominderung verwendet werden. Prozesse sind nur wirksam, wenn die Mitarbeiter sie ordnungsgemäß befolgen.
Anhand von Technologie können die Auswirkungen eines Cybersicherheitsrisikos für Ihre Organisation verhindert oder reduziert werden. Die zu verwendende Technologie hängt von der Risikoakzeptanzebene innerhalb einer Organisation ab.

VMware bietet Compliance-Kits an, die sowohl einen Audit-Leitfaden als auch einen Leitfaden zur Produktanwendbarkeit enthalten und so die Lücke zwischen den Compliance- und gesetzlichen Anforderungen und den Implementierungsleitfäden schließen. Weitere Informationen finden Sie unter https://core.vmware.com/compliance.

Glossar für Übereinstimmungsbegriffe

Übereinstimmung führt bestimmte wichtige Begriffe und Definitionen ein.

Tabelle 1. Übereinstimmungsbegriffe
Begriff	Definition
CJIS	Criminal Justice Information Services (Informationsdienst Strafrechtspflege). Im Kontext der Übereinstimmung stellt der CJIS eine Sicherheitsrichtlinie zusammen, die vorgibt, welche Sicherheitsvorkehrungen lokale, bundesstaatliche und nationale Strafrechts- und Vollzugsbehörden treffen müssen, um sensible Informationen wie Fingerabdrücke und Angaben zu Vorstrafen zu schützen.
DISA STIG	Defense Information Systems Agency Security Technical Implementation Guide (Verteidigungsinformationssystembehörde – technisches Sicherheitsimplementierungshandbuch). Die Defense Information Systems Agency (DISA) ist die Behörde, die für die Aufrechterhaltung des Sicherheitsstatus der IT-Infrastruktur des Verteidigungsministeriums (Department of Defense, DoD) verantwortlich ist. DISA führt diese Aufgabe durch Entwicklung und Einsatz von Security Technical Implementation Guides (STIGs) aus.
FedRAMP	Federal Risk and Authorization Management Program (Bundesprogramm für Risiko- und Autorisierungsmanagement). FedRAMP ist ein US-Regierungsprogramm, das einen standardisierten Ansatz für die Sicherheitsbeurteilung, Autorisierung und fortlaufende Überwachung von Cloudprodukten und -services bereitstellt.
HIPAA	Health Insurance Portability and Accountability Act (Gesetz zur Übertragbarkeit und Rechenschaftspflicht für Gesundheitsversicherungen). Der HIPAA wurde 1996 vom US-Kongress verabschiedet und legt Folgendes fest: Er gibt Millionen von amerikanischen Arbeitnehmern und deren Familien die Möglichkeit, Gesundheitsversicherungen zu übertragen und weiter zu unterhalten, wenn sie ihre Arbeitsstelle wechseln oder verlieren. Er verringert Betrug und Missbrauch im Gesundheitswesen Er gibt branchenweite Standards für Informationen im Gesundheitswesen zur elektronischen Abrechnung und anderen Prozessen vor Er schreibt den Schutz und die vertrauliche Handhabung geschützter Gesundheitsdaten vor Dieser letzte Punkt ist für die Dokumentation von vSphere-Sicherheit besonders wichtig.
NCCoE	National Cybersecurity Center of Excellence (Nationales Kompetenzzentrum für Cybersicherheit). NCCoE ist eine Organisation der US-Regierung, die Lösungen für Cybersicherheitsprobleme von US-Unternehmen entwickelt und öffentlich bereitstellt. Das Zentrum stellt ein Team aus Mitarbeitern von Cybersicherheit-Technologieunternehmen, anderen Bundesbehörden und Akademikern zusammen, um die einzelnen Probleme zu bearbeiten.
NIST	National Institute of Standards and Technology (Nationales Institut für Standards und Technologie). Das NIST ist eine nichtregulatorische Bundesbehörde, die 1901 innerhalb des US-Handelsministeriums gegründet wurde. Das NIST hat die Aufgabe, die Innovation und industrielle Wettbewerbsfähigkeit der USA zu fördern, indem Messtechniken, Standards und Technologie so vorangetrieben werden, dass sie die wirtschaftliche Sicherheit erhöhen und unsere Lebensqualität verbessern.
PAG	Product Applicability Guide (Produktanwendbarkeitshandbuch). Ein Dokument, das den Organisationen allgemeine Leitlinien an die Hand gibt, wenn sie die Lösungen eines Unternehmens zur Einhaltung der Übereinstimmungsanforderungen erwägen.
PCI DSS	Payment Card Industry Data Security Standard (Datensicherheitsstandard der Zahlungskartenindustrie). Eine Reihe von Sicherheitsstandards, mit denen sichergestellt werden soll, dass alle Unternehmen, die Kreditkarteninformationen annehmen, verarbeiten, speichern oder übertragen, eine sichere Umgebung bereitstellen.
VVD/VCF-Übereinstimmungslösungen	VMware Validated Design/VMware Cloud Foundation. Die VMware Validated Designs stellen umfangreiche und umfassend getestete Entwürfe bereit, um ein softwaredefiniertes Datencenter errichten und betreiben zu können. Anhand von VVD/VCF-Übereinstimmungslösungen können Kunden die Übereinstimmungsanforderungen zahlreicher Regierungs- und Branchenbestimmungen erfüllen.