Thought Leadership
Eins der zahlreichen Probleme, denen Unternehmen heutzutage gegenüberstehen, wenn sie ihre Sicherheitsinfrastruktur erweitern möchten, sind die oft verwirrenden Begriffe, die die Anbieter und Hersteller von Sicherheitslösungen nutzen um neue Technologien und Strategien zu beschreiben.
Viel zu oft werden Sicherheitstools in Marketingsprache verpackt, die nicht immer effektiv vermittelt – oder manchmal sogar bewusst verschleiert –, was ein Gerät oder Tool tatsächlich leisten kann. Auf jeder beliebigen IT-Sicherheitsmesse wird man mit „cloud-fähigen“ Geräten mit „fortschrittlicher Threat Intelligence“ überschwemmt. Aber was bedeutet das eigentlich? Dieses Problem erstreckt sich auf unzählige Produktkategorien. Web Application Firewalls klingen beispielsweise wie eine gute Idee, aber es gibt einfach keinen Industriestandard für die Funktionen, die solch ein Tool bieten sollte. Daher muss jeder wissen, was er benötigt, und sich selbstständig informieren.
Wenn ein Unternehmen natürlich wirkliche Innovationen auf den Markt bringt, hat es keine andere Wahl, als seine Entwicklungen mit neuen Worten zu beschreiben. Häufig wird jedoch nicht das Unternehmen, das die Technologie erfunden hat, mit dieser Innovation in Verbindung gebracht, sondern das Unternehmen, das sich den Begriff ausgedacht hat, der sich schließlich auf dem Markt durchsetzt. Ein gutes Beispiel dafür ist der Ausdruck „Firewall der nächsten Generation“ (Next Generation Firewall/NGFW). Natürlich gab es die Technologie schon eine lange Zeit, bevor sie unter diesem Namen bekannt wurde. Beispielsweise gab – und gibt – es wenig Unterschied zwischen einem NGFW und einem UTM-Gerät (Unified Threat Management). UTM wurden in den Anfängen eher von kleinen und mittelständischen Unternehmen eingesetzt und hatten daher geringere Durchsatzraten als die heutigen NGFWs. Heutzutage spielt das aber keine Rolle mehr. Aber irgendjemand hat sich den Begriff ausgedacht, hat die Aufmerksamkeit der Medien darauf gezogen und sich einen großen Marktanteil gesichert. Das Ergebnis war eine völlig neue hart umkämpfte Kategorie der Sicherheitstechnologie.
UTM – NGFW
Das Problem war allerdings, dass es keinen Standard gab, der definierte, welche Funktionen eine NGFW-Lösung bieten musste. Schnell gab es Dutzende Modelle von unterschiedlichen Anbietern und das Sortiment ging von ausgeklügelten Systemen mit integrierten Technologien über isolierte Lösungen, die mit Blechgehäusen versehen wurden, bis hin zu einfachen klassischen Firewalls mit ein wenig zusätzlichem Schnickschnack und einem hübschen Etikett auf der Verpackung. Zum Glück sind neutrale Testlabors entstanden, die einige Standards definierten und so halfen, Licht ins Dunkel zu bringen.
Das Gleiche gilt nun für neue Ideen, die ebenfalls um Marktanteile konkurrieren: Die Sicherheitsplattform und die Security Fabric. Beide Produkte sind angeblich die nächste Generation der Netzwerksicherheit und beide versuchen oberflächlich betrachtet, die Probleme von wachsenden Netzwerken, zunehmend hoch entwickelten Bedrohungen und die Notwendigkeit der Zusammenarbeit unterschiedlicher Sicherheitstechnologien zu lösen, um Netzwerke effektiver zu schützen. Tatsächlich sind beide Ansätze aber sehr unterschiedlich. Sehen wir sie uns einmal näher an, um zu verstehen, was sie tatsächlich bedeuten.
Die Sicherheitsplattform
Es ist immer ganz nützlich, mit einfachen Definitionen zu beginnen und zum Glück wird der Begriff „Plattform“ schon lange in der Technik verwendet. Eine Plattform ist ganz allgemein eine einzelne Umgebung, normalerweise Hardware, in der unterschiedliche Produkte bereitgestellt oder verschiedene Anwendungen ausgeführt werden. Meistens kann alles über eine einzige Schnittstelle verwaltet werden. Beispielsweise sind Smartphones und Laptops Plattformen.
Und auch eine Sicherheitsplattform folgt dieser Definition. Wenn eine Organisation angibt, eine Sicherheitsplattform zu haben, handelt es sich meistens tatsächlich um Firewalls der nächsten Generation mit ein wenig zusätzlicher Interoperabilität. Normalerweise werden Komponenten wie Firewalls, IPS, Antivirus/Anti-Malware, Anwendungskontrollen und VPN-Lösungen von einem Hersteller in einem Gerät vereint. Die Plattformen werden dann an einem einzigen Standort eingesetzt und prüfen und schützen den Datenverkehr, der durch sie hindurch läuft. Die größte Neuerung ist, dass diese Geräte miteinander kommunizieren können, um Verwaltungs- und Bedrohungsinformationen auszutauschen.
Ebenso wie NGFWs werden Sicherheitsplattformen normalerweise am Rand des Netzwerks eingesetzt, wo sie den Nord-Süd-Datenverkehr nach einem bestimmten Abgrenzungspunkt oder einer Sicherheitszone kontrollieren.
Die Security Fabric
Eine Security Fabric kann man nicht in einem Paket kaufen; eigentlich ist sie nicht einmal ein Produkt. Es handelt sich eher um einen architektonischen Sicherheitsansatz, der mit offenen Standards und Protokollen funktioniert, die es möglich machen, unterschiedliche Sicherheitsgeräte – einschließlich Sicherheitsplattformen – zu einem einzigen integrierten Sicherheitssystem zu verbinden, das sich über das gesamte verteilte Netzwerk erstreckt.
Eine Security Fabric integriert neben den üblichen Plattformtechnologien auch Sicherheitsmechanismen für Endpunkte, Zugriffspunkte, Netzwerksegmentierung, Sicherheitsgeräte und Technologien von Drittanbietern, SIEM und andere Verwaltungstools, fortschrittliche Lösungen für die Bedrohungsabwehr und sogar die Sicherheitslösungen, die direkt in Netzwerkgeräten integriert sind.
Eine Fabric-basierte Sicherheitslösung ermöglicht es Ihnen auch, Sicherheitslösungen, die in hoch dynamischen und verteilten Umgebungen eingesetzt werden, zu einem einzigen Sicherheitsökosystem zu integrieren – und das nicht nur am Rand, sondern auch im Rechenzentrum, in den Zweigstellen, in der Cloud, im IoT und in Geräten am Rand, in parallelen Netzwerken (IT, OT und IoT) und allgemein an allen Stellen, wo es Assets und Menschen gibt. Die geeignete Platzierung von Sicherheitstools in Kombination mit der dynamischen Netzwerksegmentierung ermöglicht es, neue und bereits verwendete Sicherheits-Ressourcen in ein einziges umfassendes Sicherheitssystem zu integrieren.
Fabric vs. Plattform
Viele Anbieter von Sicherheitsplattformen positionieren ihre Produkte als End-to-End-Lösung. Eins der Probleme von Sicherheitsplattformen ist jedoch, dass sie auf einem spezifischen Sicherheitselement wie einen Firewall der nächsten Generation beruhen und dann nach Bedarf mit anderen Sicherheitstools erweitert werden. Das führt zu einigen Problemen und Sicherheitslücken in diesen Bereichen:
Skalierbarkeit: Netzwerke sind zunehmend verteilt und dynamisch, weshalb auch die Sicherheitstechnologie dynamisch skalierbar sein muss. Da Plattformgeräte auf einer statischen Hardwarekonfiguration beruhen, werden sie entweder durch den Ersatz einer bestehenden Plattform durch eine neue, leistungsfähigere Lösung oder durch das Hinzufügen zusätzlicher Plattformen erweitert und zwar unabhängig davon, welche Funktion an einem bestimmten Standort benötigt wird. Mit der Aktivierung zusätzlicher Funktionen oder bei Spitzen im Datenverkehr neigen Plattformen zu erheblichen Performance-Einbußen.
Eine Security Fabric hingegen kann mehrere Technologien umfassen, darunter auch speziell für die steigenden Anforderungen des Datenverkehrs von heute designte Hardware, virtualisierte, nach Bedarf verfügbare Lösungen und einzelne spezialisierte Geräte für Positionen im Netzwerk, an denen Sie nur ganz bestimmte Überprüfungsmethoden benötigen. Außerdem können Anstiege im Datenverkehr auf andere Geräte verteilt werden.
Sichtbarkeit: Da Plattformen häufig aus einem vordefinierten Technologiepaket bestehen, das an einem einzigen Ort angewendet wird, haben sie häufig blinde Flecken. So kann es vorkommen, dass spezialisierte Sicherheitstechnologien von anderen Anbietern Daten sehen und erfassen, die dann nicht ohne Weiteres an die anderen Plattformen übertragen werden können. Außerdem macht es eine „zusammengestückelte“ Infrastruktur eher schwierig, eine ganzheitliche und integrierte Verwaltungsoberfläche zu bieten. Die Realität sieht so aus, dass die meisten Plattformen unterschiedliche Dashboards und Methoden für die Datenerhebung haben, was wiederum die Sichtbarkeit in Echtzeit massiv beeinträchtigt da Bedrohungsinformationen und die Richtlinien-Orchestrierung manuell verwaltet werden müssen.
Eine Security Fabric hingegen integriert alle verwendeten Sicherheitsgeräte, selbst die von Drittanbietern, zu einem Ganzen. Durch offene Standards und APIs (Anwendungsprogrammierschnittstellen) können Daten einfach erhoben, geteilt und korreliert werden. Somit werden Änderungen der Policies und Reaktionen auf Bedrohungen zwischen den Geräten im gesamten verteilten Netzwerk zeitnah synchronisier
Offen/geschlossen: Die Integration mit Drittanbietern ist nicht einfach mit Plattformen, da jedes Produkt häufig auf proprietären Protokollen und Schnittstellen beruht. Das wiederum schränkt die Sichtbarkeit, Steuerung, Orchestrierung und Reaktionsfähigkeit ein.
Eine Security Fabric beruht hingegen auf offenen APIs, einer offenen Authentifizierungstechnologie und standardisierten telemetrischen Daten, die es Organisationen ermöglichen, ihre bestehenden Sicherheitslösungen zu integrieren.
Kosten: Bei einem Plattform-basierten Ansatz müssen Sie ungeachtet der Technologien, die Sie tatsächlich einsetzen möchten, Hardware kaufen, die für eine Vielzahl an Technologien geeignet ist. Und das ist nicht billig. Das bedeutet zudem auch, dass Sie für Rechenleistung zahlen, die nicht genutzt wird, wenn eine bestimmte Funktion nicht benötigt wird, oder die während Spitzen und Anstiegen im Datenverkehr nicht mehr ausreicht.
Durch die Verbindung von Erkennungsmechanismen und Reaktionssystemen der nächsten Generation, intelligenter Netzwerksegmentierung und Orchestrierung mit nur einer einzigen Benutzeroberfläche kann eine Security Fabric auf die ausgeklügeltsten Bedrohungen von heute reagieren und sich gleichzeitig dynamisch an neue Netzwerkarchitekturen anpassen. Dadurch können die eingesetzten Lösungen Bedrohungsinformationen erheben und aktiv austauschen. Eine Security Fabric verteilt automatisch Anweisungen für eine breitere und tiefere synchronisierte Abwehrreaktion im gesamten Netzwerk.
Autor: Christian Vogt, Senior Regional Director Germany, Fortinet
