Thought Leadership
Aerohive Networks® (NYSE:HIVE) enthüllt Details seiner neuen IoT-Sicherheitslösung für kabelgebundene und kabellose Netzwerke. Die auf der Aerohive-SD-LAN-Technologie basierende Lösung schützt Netzwerke vor solchen Ereignissen wie der DDoS-Attacke vom 16. Oktober.
Dabei hatte ein mit der Schadsoftware Mirai infiziertes Botnet mehr als eine halbe Million vernetzter Geräte gekapert und für einen koordinierten Angriff genutzt und so eine Reihe von Diensten wie Twitter, Spotify, Airbnb, Netflix und Reddit lahmgelegt.
Mit seiner SD-LAN-Lösung antwortet das Unternehmen auf neuartige Gefährdungen, die als direkte Folge des Internets der Dinge entstehen. Dabei wird ein Schutzwall an vorderster Front errichtet, d. h. dort, wo der IoT-Traffic erstmals mit dem Netzwerk in Kontakt kommt. Unternehmen können so eine wirksame erste Verteidigungslinie gegen IoT-Malware errichten. Zu den Features der Aerohive-Lösung zählen modernste softwaredefinierte Pre-Shared Keys (PPSKs), die den Zugriff auf bekannte, authentifizierte Geräte beschränken; Anwendungsvisibilität und -kontrolle, um einen ungehinderten Blick auf das Netzwerk zu erhalten; maximale Firewall-Sicherheit auf Basis von Deep Packet Inspection (DPI) für die Durchsetzung von Traffic-Richtlinien sowie effektives Cloudmanagement, um Probleme sofort erkennen und beheben zu können, wo auch immer im Netzwerk sie auftreten.
Die wichtigsten Fakten auf einen Blick
Die stetige Ausdehnung des Internets der Dinge und die wachsende Zahl der vernetzten Geräte eröffnen große Chancen. Bis 2020 werden mehr als 25 Milliarden IoT-Geräte auf Netzwerke zugreifen, der größte Teil davon mittels Wireless-Technologie. Daraus ergeben sich auch völlig neue Sicherheitsgefahren. Vernetzte IoT-Geräte stammen von Tausenden unterschiedlicher Hersteller, sind in der Regel eher einfach aufgebaut und verfügen über keine nennenswerte Benutzeroberfläche. All dies macht es extrem schwer, sie zu sichern – und ihnen zu vertrauen. Wie die Mirai-Attacke gezeigt hat, können Massen von kompromittierten IoT-Geräten sogar Internetgiganten außer Gefecht setzen. Da gerade in Unternehmensnetzen besonders viele IoT-Geräte existieren, können WLAN-Netzwerke als erstes Bollwerk dienen. WLAN-Netzwerke, oft mit statischer IP-Adresse und nicht weiter überwacht, müssen sowohl die IoT-Assets schützen als auch vor diesen geschützt werden. Um die Verletzbarkeit auf Ebene der Zugriffssc hicht zu verringern, bietet sich ein anpassbares, flexibles und sicheres SD-LAN an.
Das entwickelte softwaredefinierte Sicherheitskonzept ist Teil der SD-LAN-Architektur; es verbessert die Visibilität und Kontrolle von Netzwerkzugriffen, ermöglicht ein zentralisiertes Richtlinienmanagement und sorgt für maximalen Schutz bei minimaler Komplexität:
Sichere IoT-Authentifizierung und -Verschlüsselung
Jedem IoT-Gerät im Netzwerk kann ein eigenes Passwort zugewiesen werden, mit dem es sich eindeutig identifizieren und sichern lässt. Möglich wird dies durch softwaredefinierte Private Pre-Shared Keys, die den überragenden Schutz des 802.1X-Standards bieten, ohne dass aufwendige Zertifikate oder spezielle Clientkonfigurationen benötigt werden. Softwaredefinierte PPSKs können für IoT-Geräte definiert werden, obwohl diese den 802.1X-Netzwerkstandard zumeist nicht unterstützen. Aerohive-Kunden können in ein und derselben SSID (d. h. unter einem WLAN-Namen) Zehntausende von eindeutigen Schlüssel für einzelne Geräte oder Gerätegruppen erzeugen und wieder zurücknehmen, wobei sich die Schlüssel über die Cloud, über mobile Applikationen oder mittels Selbstregistrierung der Nutzer verwalten und verteilen lassen.
Granulare Visibilität und Kontrolle
Die in der Zugriffsschicht angesiedelte DPI-Firewall ermöglicht die bedarfsgerechte Upstream- und Downstream-Priorisierung und -Isolierung von IoT-Geräten und -Anwendungen. Damit ist sichergestellt, dass von kompromittierten Geräten keine Gefahr für das weitere Netzwerk ausgeht. Sie gestattet zudem die Begrenzung der Bandbreite für IoT-Anwendungen, die Erkennung und Blockierung von DDoS-Angriffen, die Quarantäne von Schadaktivitäten und die Beschränkung des Zugriffs von IoT-Geräten.
Kontextbasierte Richtlinien
Sichere, kontextabhängige Zugriffsrichtlinien legen fest, welche Nutzer und Geräte dem Netzwerk beitreten können. Mittels rollenbasierten Profilen und zeit-/standortbasierten Zugriffsbeschränkungen, VLAN-Isolierung, Anwendungsrechten und Bandbreitenmanagement kontrollieren sie danach präzise, welche Aktionen den Nutzern/Geräten im Netzwerk gestattet sind.
Zentral verwaltete Policy-Durchsetzung – Sichere Zugriffsrichtlinien können über die öffentliche oder private Cloud von jedem beliebigen Standort aus erzeugt, angewendet und überwacht werden. Die Cloud-Architektur der SD-LAN-Lösung vereinfacht Management und Betrieb von Wired-/Wireless-Netzwerken und sorgt damit für die perfekte Verbindung von Sicherheit und Zugriffskomfort.
