Anzeige

Anzeige

Cyber Security

Die heterogenen hybriden Netzwerke, mit denen Unternehmen heute zu kämpfen haben, sind das Ergebnis einer Mischung aus neuen und alten Technologien. Und mit der zunehmenden Auslagerung von Anwendungen, Workloads und jüngst auch Nutzern aus dem geschützten Perimeter nimmt die Heterogenität und Komplexität unserer IT-Umgebungen weiter zu. 

Dies stellt vor allem Netzwerkadministratoren und Sicherheitsteams vor große Herausforderungen und fordert von ihnen ein breites Spektrum an Tools, Erfahrung und Wissen, um diese nachhaltig zu bewältigen. So gibt es mittlerweile Dutzende, wenn nicht Hunderte von Firewalls oder Firewall-ähnlichen Lösungen, die Unternehmen in ihrer heterogenen Infrastruktur verwalten müssen. Und da der Multi-Tier-Ansatz zum Schutz von kritischen Daten und Anwendungen auch weiterhin erfolgsversprechend ist, ist ein Ende der Expansion längst nicht in Sicht.

Um die Netzwerkkomplexität, die Netzwerk- und Sicherheitsteams heute bezwingen müssen, zu veranschaulichen, werfen wir einen Blick auf eine typische Architektur. Eine typische Anwendung ist über mehrere Cloud-Plattformen verteilt, wobei einige Workloads in Public Clouds, andere in Private Clouds ausgeführt werden. Einige Elemente werden aller Voraussicht nach auf einer virtuellen Maschine betrieben, während andere in einer Kubernetes-verwalteten Umgebung laufen. Und viele, wenn nicht die meisten dieser Teile erfordern dabei den Zugriff auf eine on-premises-Datenquelle, während die Authentifizierung unterdessen über einen externen Service durchgeführt wird. Und dann verbinden sich die Benutzer natürlich über das Internet. Diese Komplexität macht die Notwendigkeit eines einheitlichen Network Policy-Managements deutlich. Denn eine große Herausforderung besteht darin, dass Sicherheitsrichtlinien über die gesamte Umgebung hinweg einheitlich verwaltet werden müssen.

Heutige Firewalls haben viele verschiedene Namen

Generell kann jedes Gerät oder jede Software, die Richtlinien durchsetzt und dabei steuert, wer mit wem bzw. was mit wem reden darf, als „Firewall“ bezeichnet werden. Ausgehend von dieser weit gefassten Definition, ist die Liste der „Firewalls“, die den Unternehmen heutzutage zur Verwaltung verschiedener Arten von Segmentierung zur Verfügung stehen, lang. Sie umfasst unter anderem:

  • Perimeter- oder interne Firewalls, einschließlich Next-Gen Firewalls, die Konnektivität zu bzw. zwischen Virtual Private Clouds (VPCs) oder Virtual Networks (VNets) bereitstellen
  • „Firewalls“, die den horizontalen Datenverkehr im Rechenzentrum verwalten: Etwa Security Groups in der Cloud und Netzwerkrichtlinien in Kubernetes 
  • Firewalls als Service in der Cloud 
  • Identity & Access Management (IAM) und Role-based Access Control (RBAC): Identity-„Firewalls“, die Richtlinien für Identity-Zugriffe managen
  • Authentifizierungsdienste: eine Form von Identity-Firewalls, da sie bestimmen, welche Benutzer auf welche Aspekte der Anwendung zugreifen können
  • Operating System Level „Firewalls”: Sorgen für die Isolierung zwischen Anwendungen und der Betriebssystemebene
  • Application Level „Firewalls”: Proxys, Load Balancer und Application Gateways
  • Web-Application-Firewalls (WAF)

Die Vorteile der Automatisierung

Diese sehr allgemeine Definition einer Firewall veranschaulicht die verschiedenen Technologien und den Umfang der Richtlinien, die daran beteiligt sind. Dabei besteht die Herausforderung für die Teams nicht nur darin, dass sowohl die Anzahl als auch Arten der verfügbaren „Firewalls" weiterhin zunehmen, sondern auch darin, dass immer mehr Funktionen integriert werden. Dies erfordert bei der Verwaltung zusätzliche Fähigkeiten, eine bessere Netzwerkeinsicht sowie ein vertieftes Verständnis der Geschäftslogik der Anwendungen.

Um dies zu erreichen und die wachsende Komplexität nachhaltig zu bewältigen, bedarf es letztlich einer zentralisierten, skalierbaren und herstellerübergreifenden Richtlinienkontrolle in Kombination mit Automatisierung. Denn die manuelle Konfiguration jeder einzelnen „Firewall“-Kategorie ist sowohl zeitaufwändig als auch ineffizient und kann zu einem Mangel an Kohärenz führen, die „blinde Flecken“ hinterlässt und die Sicherheitslage eines Unternehmens insgesamt schwächt. Bei der Vielzahl an beweglichen Komponenten sind Fehlkonfigurationen vorprogrammiert. Eine zentralisierte Konsole für Sicherheitsrichtlinien, die einen Überblick über die gesamte Bandbreite an „Firewall“-Policies bietet und so deren Durchsetzung im gesamten Netzwerk vereinheitlicht, ist deshalb unabdingbar.  

Die Vorteile der Richtlinien-Abstraktion

Über die herstellerübergreifende Steuerung und Automatisierung hinaus liegt die Zukunft des Policy-Managements in der Abstraktion. So wie die objektorientierte Programmierung (OOP) Daten und Code trennt, erlaubt die Extraktion des „Richtlinien-Codes“ aus der Infrastruktur eine höhere Flexibilität und ein umfassenderes Management. Da Netzwerke nicht statisch sind, die Heterogenität zunimmt und sich die Implementierungen ändern werden, müssen Administratoren die Richtlinien aus den Implementierungen lösen. Denn sie benötigen ein einheitliches und zentrales Management, um zu steuern, wer mit wem und was mit wem kommunizieren kann. Selbstverständlich sollte dieses Management auch dann seine Gültigkeit behalten, wenn sich die zugrunde liegenden IPs, Sicherheitsgruppen oder Plattformen ändern. Dies gewährt ihnen die dringend benötigte Flexibilität sowie eine konsistente Durchsetzung von Richtlinien und eine detaillierte, einheitlichen Sicht auf das gesamte Netzwerk.

IT-Sicherheit ist immer nur so gut wie die definierten Policies. Aus diesem Grund müssen Firewalls stets so konfiguriert werden, dass das Least-Privilege-Prinzip, d.h. das Prinzip der minimalen Rechtevergabe, zu jeder Zeit eingehalten wird.

Thorsten Geissel, Director Sales Engineering EMEA
Thorsten Geissel
Director Sales Engineering EMEA, Tufin Technologies

Artikel zu diesem Thema

Cloud Computing
Feb 08, 2021

Die vier häufigsten Cloud-Mythen

Die Akzeptanz von Public-Cloud-Services leidet unter einer Reihe von Ängsten und…
Netzwerk-Sicherheit
Dez 19, 2020

Netzwerksicherheit als wachsende Herausforderung für deutsche IT-Teams

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert…
Netzwerk-Sicherheit
Dez 07, 2020

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die…

Weitere Artikel

Open Source

Open Source Intelligence erhöht die IT-Sicherheit in Unternehmen

Open Source Intelligence (OSINT) ist ein Konzept, das als Element der IT-Sicherheitsstrategie in Unternehmen zunehmend an Bedeutung gewinnt.
Cyber Security Risk

Wie COVID-19 die IT-Sicherheit in KMU beeinträchtigt

Capterra, die Bewertungsplattform für Unternehmenssoftware, veröffentlicht eine Studie zum Stand der IT-Sicherheit in deutschen KMU.

Schwerwiegende Sicherheitslücke in Microsoft Teams

Tenable hat heute Details zu einer schwerwiegenden Sicherheitslücke in Microsoft Teams bekannt gegeben, die vom Zero-Day Research Team des Unternehmens entdeckt wurde. Durch den Missbrauch der Power Apps-Funktionalität könnten Bedrohungsakteure dauerhaften…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.