Anzeige

Cyber Security

Die heterogenen hybriden Netzwerke, mit denen Unternehmen heute zu kämpfen haben, sind das Ergebnis einer Mischung aus neuen und alten Technologien. Und mit der zunehmenden Auslagerung von Anwendungen, Workloads und jüngst auch Nutzern aus dem geschützten Perimeter nimmt die Heterogenität und Komplexität unserer IT-Umgebungen weiter zu. 

Dies stellt vor allem Netzwerkadministratoren und Sicherheitsteams vor große Herausforderungen und fordert von ihnen ein breites Spektrum an Tools, Erfahrung und Wissen, um diese nachhaltig zu bewältigen. So gibt es mittlerweile Dutzende, wenn nicht Hunderte von Firewalls oder Firewall-ähnlichen Lösungen, die Unternehmen in ihrer heterogenen Infrastruktur verwalten müssen. Und da der Multi-Tier-Ansatz zum Schutz von kritischen Daten und Anwendungen auch weiterhin erfolgsversprechend ist, ist ein Ende der Expansion längst nicht in Sicht.

Um die Netzwerkkomplexität, die Netzwerk- und Sicherheitsteams heute bezwingen müssen, zu veranschaulichen, werfen wir einen Blick auf eine typische Architektur. Eine typische Anwendung ist über mehrere Cloud-Plattformen verteilt, wobei einige Workloads in Public Clouds, andere in Private Clouds ausgeführt werden. Einige Elemente werden aller Voraussicht nach auf einer virtuellen Maschine betrieben, während andere in einer Kubernetes-verwalteten Umgebung laufen. Und viele, wenn nicht die meisten dieser Teile erfordern dabei den Zugriff auf eine on-premises-Datenquelle, während die Authentifizierung unterdessen über einen externen Service durchgeführt wird. Und dann verbinden sich die Benutzer natürlich über das Internet. Diese Komplexität macht die Notwendigkeit eines einheitlichen Network Policy-Managements deutlich. Denn eine große Herausforderung besteht darin, dass Sicherheitsrichtlinien über die gesamte Umgebung hinweg einheitlich verwaltet werden müssen.

Heutige Firewalls haben viele verschiedene Namen

Generell kann jedes Gerät oder jede Software, die Richtlinien durchsetzt und dabei steuert, wer mit wem bzw. was mit wem reden darf, als „Firewall“ bezeichnet werden. Ausgehend von dieser weit gefassten Definition, ist die Liste der „Firewalls“, die den Unternehmen heutzutage zur Verwaltung verschiedener Arten von Segmentierung zur Verfügung stehen, lang. Sie umfasst unter anderem:

  • Perimeter- oder interne Firewalls, einschließlich Next-Gen Firewalls, die Konnektivität zu bzw. zwischen Virtual Private Clouds (VPCs) oder Virtual Networks (VNets) bereitstellen
  • „Firewalls“, die den horizontalen Datenverkehr im Rechenzentrum verwalten: Etwa Security Groups in der Cloud und Netzwerkrichtlinien in Kubernetes 
  • Firewalls als Service in der Cloud 
  • Identity & Access Management (IAM) und Role-based Access Control (RBAC): Identity-„Firewalls“, die Richtlinien für Identity-Zugriffe managen
  • Authentifizierungsdienste: eine Form von Identity-Firewalls, da sie bestimmen, welche Benutzer auf welche Aspekte der Anwendung zugreifen können
  • Operating System Level „Firewalls”: Sorgen für die Isolierung zwischen Anwendungen und der Betriebssystemebene
  • Application Level „Firewalls”: Proxys, Load Balancer und Application Gateways
  • Web-Application-Firewalls (WAF)

Die Vorteile der Automatisierung

Diese sehr allgemeine Definition einer Firewall veranschaulicht die verschiedenen Technologien und den Umfang der Richtlinien, die daran beteiligt sind. Dabei besteht die Herausforderung für die Teams nicht nur darin, dass sowohl die Anzahl als auch Arten der verfügbaren „Firewalls" weiterhin zunehmen, sondern auch darin, dass immer mehr Funktionen integriert werden. Dies erfordert bei der Verwaltung zusätzliche Fähigkeiten, eine bessere Netzwerkeinsicht sowie ein vertieftes Verständnis der Geschäftslogik der Anwendungen.

Um dies zu erreichen und die wachsende Komplexität nachhaltig zu bewältigen, bedarf es letztlich einer zentralisierten, skalierbaren und herstellerübergreifenden Richtlinienkontrolle in Kombination mit Automatisierung. Denn die manuelle Konfiguration jeder einzelnen „Firewall“-Kategorie ist sowohl zeitaufwändig als auch ineffizient und kann zu einem Mangel an Kohärenz führen, die „blinde Flecken“ hinterlässt und die Sicherheitslage eines Unternehmens insgesamt schwächt. Bei der Vielzahl an beweglichen Komponenten sind Fehlkonfigurationen vorprogrammiert. Eine zentralisierte Konsole für Sicherheitsrichtlinien, die einen Überblick über die gesamte Bandbreite an „Firewall“-Policies bietet und so deren Durchsetzung im gesamten Netzwerk vereinheitlicht, ist deshalb unabdingbar.  

Die Vorteile der Richtlinien-Abstraktion

Über die herstellerübergreifende Steuerung und Automatisierung hinaus liegt die Zukunft des Policy-Managements in der Abstraktion. So wie die objektorientierte Programmierung (OOP) Daten und Code trennt, erlaubt die Extraktion des „Richtlinien-Codes“ aus der Infrastruktur eine höhere Flexibilität und ein umfassenderes Management. Da Netzwerke nicht statisch sind, die Heterogenität zunimmt und sich die Implementierungen ändern werden, müssen Administratoren die Richtlinien aus den Implementierungen lösen. Denn sie benötigen ein einheitliches und zentrales Management, um zu steuern, wer mit wem und was mit wem kommunizieren kann. Selbstverständlich sollte dieses Management auch dann seine Gültigkeit behalten, wenn sich die zugrunde liegenden IPs, Sicherheitsgruppen oder Plattformen ändern. Dies gewährt ihnen die dringend benötigte Flexibilität sowie eine konsistente Durchsetzung von Richtlinien und eine detaillierte, einheitlichen Sicht auf das gesamte Netzwerk.

IT-Sicherheit ist immer nur so gut wie die definierten Policies. Aus diesem Grund müssen Firewalls stets so konfiguriert werden, dass das Least-Privilege-Prinzip, d.h. das Prinzip der minimalen Rechtevergabe, zu jeder Zeit eingehalten wird.

Thorsten Geissel, Director Sales Engineering EMEA
Thorsten Geissel
Director Sales Engineering EMEA, Tufin Technologies

Artikel zu diesem Thema

Cloud Computing
Feb 08, 2021

Die vier häufigsten Cloud-Mythen

Die Akzeptanz von Public-Cloud-Services leidet unter einer Reihe von Ängsten und…
Netzwerk-Sicherheit
Dez 19, 2020

Netzwerksicherheit als wachsende Herausforderung für deutsche IT-Teams

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert…
Netzwerk-Sicherheit
Dez 07, 2020

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die…

Weitere Artikel

Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.
Microsoft Exchange

Stellen Sie kritische Systeme niemals ungeschützt ins Internet!

Die Angriffswelle auf Microsoft Exchange Server ist der zweite Security Super-GAU nach dem SolarWinds-Hack. Zehntausende Systeme in Deutschland sind davon betroffen und wurden vermutlich schon kompromittiert. Ein Kommentar von Wolfgang Kurz, CEO bei indevis.
Microsoft Exchange

Microsoft Exchange - Neue Sicherheitslücken entdeckt und geschlossen

Am Dienstag - Patch Tuesday gab es wieder einige kritische Updates für Microsoft Exchange. Ebenso wie bei Hafnium raten Experten dringend zur Installation der Patches. Anders als bei Hafnium kam die Warnung jedoch von der amerikanischen NSA.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.