Rethink! IT Security D/A/CH
25.04.18 - 27.04.18
In Hotel Atlantic Kempinski Hamburg

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Safety ZoneUnternehmensanwendungen und -systeme sind in Zeiten der Digitalisierung für viele Unternehmen wichtigstes Gut. Doch wie schützt man sie vor Fremdzugriffen? Eine effektive Maßnahme ist die Ausrichtung der IT-Architektur in Form einer intelligenten Zonenarchitektur. Zur Realisierung bietet sich die eine Sicherheits- und Integrationsplattform wie das IBM DataPower Gateway an.

Aktuelle Meldungen, wie der Diebstahl von vielen Millionen Kundendaten bei Yahoo oder der Verschlüsselungstrojaner Goldeneye, der gezielt Personalabteilungen schadet, zeigen, dass das Thema „IT-Sicherheit“ höchste Brisanz für Unternehmen hat – oder besser: haben sollte. Doch wie können Unternehmen sich vor Hacker-Angriffen von außen schützen?

Unternehmensübergreifende Schutzmaßnahmen für Anwendungen und Web Services

Eine effektive Maßnahme ist die konsequente Ausrichtung der gesamten IT-Architektur in Form einer intelligenten Zonenarchitektur. Eine Zonenarchitektur dient der sicherheitsorientierten Segmentierung von Netzen an verschiedenen Standorten. Dabei kommen Techniken der logischen Netztrennung, die Kontrolle von Verkehrsflüssen an Netzübergängen sowie auch die Zugangskontrolle an Netzzugangspunkten zum Einsatz.

Zonenarchitektur

Bild 1: Beispiel einer Zonenarchitektur (Bildquelle Itaricon GmbH).

Bild 1 zeigt eine beispielhafte Zonenarchitektur für das Szenario „Lebensmittelgroßhandel“. Bei Zugriffen zum Unternehmensnetzwerk muss sich ein Anwender am Security Gateway (Gelber Kreis) autorisieren und wird dann entsprechend seiner Anfrage zum Zielgateway (auch zonenübergreifend) geroutet. Am Zielgateway können Backend-Systeme intern, also in einer Zone angebunden sein, oder extern über das Internet erreicht werden. Im angegebenen Beispiel steht „Intranet“ für die lokale Zone am Standort, eine demilitarisierte Zone (DMZ) sichert den Zugriff zum Internet und eine weitere Zone für Lieferanten/Consumer/etc. (B2X). Lieferanten oder Partner können dann simultan zu den eigenen Standorten an die Zone B2X angebunden werden.

Die Integration-Security-Plattform IBM DataPower Gateway

Zur Realisierung eines Zonenarchitekturkonzeptes bietet sich beispielsweise das IBM DataPower Gateway an – eine Sicherheits- und Integrationsplattform, die speziell für serviceorientierte Architekturen (SOA) im B2B-Umfeld entwickelt wurde und damit Backend-Systeme schnell verbindet und auf sichere Weise als nutzbare Services bereitstellt (IBM DataPower Gateway – Strategische Übersicht ).

IBM DataPower Gateway im ITARICON Integration Lab

Bild 2: IBM DataPower Gateway im Itaricon Integration Lab (Bildquelle Itaricon GmbH).

Das IBM DataPower Gateway bietet ein vielseitiges und breit gefächertes Funktionsspektrum für zahlreiche Anwendungsbereiche, angefangen bei der Bereitstellung des bereits skizzierten sicheren Gateways für die B2B-Kommunikation über eine bessere Lastverteilung und Erhöhung der Sicherheit der internen Kommunikation bis hin zur Nutzung als Enterprise-Service-Bus-Komponente im Rahmen einer serviceorientierten Architektur. Alle Anwendungsgebiete sind in Bild 4 noch einmal dargestellt.

Einsatz einer IBM DataPower Gateway als Demilitarisierte Zone (DMZ) und Enterprise Service Bus (ESB)

Bild 3: Einsatz einer IBM DataPower Gateway als Demilitarisierte Zone (DMZ) und Enterprise Service Bus (ESB) (Bildquelle Itaricon GmbH).

Die wichtigsten Features und Funktionalitäten des IBM DataPower Gateways sind:

Physische Appliance im Rechenzentrum: Bei der DataPower-Appliance handelt es sich um eine spezialisierte, vor externem Zugriff geschützte Hardware mit einem ideal darauf abgestimmten Betriebssystem. Direkt nach der Initialkonfiguration sind alle benötigten Anwendungen bereits verfügbar. Durch die einfache Bedienung (Weboberfläche im Browser) ist eine schnelle Bereitstellung der gewünschten Anwendungsszenarien gegeben.

Der Einsatz von Kryptoprozessoren und optimierter Software ermöglichen eine performante Verarbeitung von XML-Daten, En-/Decryption und XSL-Transformationen. Neben der physischen Version als Appliance gibt es alternativ auch virtuelle Lösungen. Eine kostenfreie Variante bietet das Docker Image. Dieses erlaubt, ohne Hardware-Beschaffung sofort loszulegen; dafür entfällt jedoch der Performance-Vorteil der physischen Appliance.

Skalierbarkeit: Besonders für ein hohes Datenaufkommen bringt die IBM DataPower ein eigenständiges Loadbalancing. Dieses bietet die Möglichkeit, Services durch gezieltes Einschränken von Zugriffshäufigkeiten mittels Service Level Management (SLM-Regeln) abzusichern und dadurch sensible Backend-Systeme vor Überlastung und Denial of Service-Angriffen zu schützen.

Sicherheit: Als Sicherheitsfeatures stehen die Zugriffskontrolle mittels AAA-Rules (Authorize, Authenticate, Audit), verschlüsselte Datentransfers (zertifikatsbasiert), der Schutz vor Code-Injektions-Angriffen (z.B. SQL-Injections) durch XML-Firewalls und der Einsatz von Web-Service-Proxies zur Verfügung.

Konsolidierung: Durch ein Multiprotocol-Gateway können Nachrichten mit verschiedensten Protokollen empfangen und in ein dem Ziel angepasstes Protokoll weiter versendet werden.
Darüber hinaus können Datentransfers innerhalb der Systemlandschaft über eine zentrale Komponente vereinheitlicht werden, wodurch Administration und Monitoring vereinfacht werden. Gleichzeitig kann dabei ein Einsatz als zentraler B2B- und Security-Gateway erfolgen.

Einsatzmöglichkeiten IBM DataPower Gateway zur Sicherung von Unternehmensanwendungen und -systemen

Bild 4: Einsatzmöglichkeiten IBM DataPower Gateway zur Sicherung von Unternehmensanwendungen und -systemen (IBM DataPower Gateway – DatenblattBildquelle Itaricon GmbH).

Der Nutzen von IBM DataPower als Middleware im Rahmen eines ESB-Konzeptes

Wie in Bild 5 auf der linken Seite dargestellt, müssen in einer klassischen Systemlandschaft für vorhandene Applikationen und Server eigene Sicherheitsvorkehrungen getroffen werden, um die Kommunikation der Systeme abzusichern. Jedes System muss dabei für eine ausreichende Autorisierung und Authentifizierung sorgen. Außerdem muss jede Applikation gegen Hackingangriffe von außen abgesichert werden. Die Systeme müssen unterschiedliche Nachrichtentypen akzeptieren und validieren. Und zudem muss jeder Aufrufer eines Dienstes die genaue Adresse des Zielsystems kennen.

Die IBM DataPower beherrscht aktuelle Sicherheitsstandard (TLS 1.2) und kann damit als übergreifendes Security Gateway eingesetzt werden. Durch ihre kryptographischen Hard- und Software-Module kann sie sehr effizient Ver- und Entschlüsselungsvorgänge von XML-Nachrichten durchführen. Die vorhandenen XSLT-Coprozessoren sorgen zudem für besonders schnelle Transformationen zwischen verschiedenen XML-Formaten. Durch den Einsatz der IBM DataPower als Security Gateway können Angriffe auf die Infrastruktur zentralisiert abgewehrt werden. Es erfolgt eine einheitliche Nachrichtenvalidierung und die Aufrufer werden an einer zentralen Stelle authentifiziert. Desweiteren müssen die Aufrufer nur die Adresse dieses Gateway kennen und nicht jedes Backend einzeln ansteuern. Alle Systeme in einer Zone vertrauen dabei dem Gateway innerhalb der Zone ohne Verbindungsinformationen und Vertrauensbeziehungen zu weiteren Systemen zu benötigen.

Vorher-Nachher Vergleich einer Middleware-Security-Lösung

Bild 5: Vorher-Nachher Vergleich einer Middleware-Security-Lösung (Bildquelle Itaricon GmbH).


Martin Friebe
Martin Friebe ist bei Itaricon Digital Customer Solutions als IT-Consultant im 2nd- und 3rd-Level-Support tätig. In diesem Rahmen beschäftigt er sich begeistert mit den Maßnahmen und Methoden des IT Service Management nach ITIL.

 

GRID LIST
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

Thycotic veröffentlicht kostenloses Least Privilege Discovery Tool

Thycotic, ein Anbieter von Privileged Account Management-Lösungen, hat mit Least…
Risiko Businessman

Das Sicherheitsrisiko von Vorständen ermitteln

NTT Security (Germany) erweitert seine umfangreiche Angebotsreihe um den „Management…
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Malwarebytes mit neuer Endpoint Protection and Response-Lösung

Malwarebytes gibt die Veröffentlichung der Malwarebytes Endpoint Protection and…
Policy

EuroCloud: Durchsuchung wichtiges Element der IT-Security-Policy

Wenn Staatsanwalt, Polizei, Steuer- oder Zollfahndung zwecks Durchsuchung vor der Tür…
Jochen Koehler

IT-Sicherheit: Resignation ist unangebracht

Je besser ein Hausbesitzer Fenster und Türen absichert, desto ruhiger kann er schlafen.…
Tb W190 H80 Crop Int 2a9bb0e951b163b628cae908b73607c3

Integrierte Sicherheit ohne Kompromisse

profine ist einer der weltweiten Hersteller von Kunststoffprofilen für Fenster und…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security