metamorworks - stock.adobe.com

Die typischen Herausforderungen bei IT-Anpassungen meistern

Neue Server hinzufügen oder Firewall-Regeln anpassen, derlei alltägliche Vorgänge bergen schnell Risiken. Hier sind typische Herausforderungen bei netzwerkbezogenen Änderungen.

Netzwerkänderungen, die dynamischen Geschäftsanforderungen entsprechen – man denke an das Hinzufügen neuer Server, das Aktualisieren von Firewall-Regeln oder die Außerbetriebnahme von Objekten – können für die Netzwerkteams zeit- und ressourcenbelastend sein, vor allem bei manueller Ausführung.

Dabei steigt die Zahl der Änderungsanfragen seit Jahren kontinuierlich an und stellt die Teams vor ein Dilemma: Dauert die Implementierung einer Änderung zu lange, kann dies die Einführung eines neuen Dienstes verzögern.

Erfolgt eine Änderung zu schnell und ohne zuvor gründlich die Auswirkungen auf das Netzwerk geprüft zu haben, kann dies zu Konfigurationsfehlern führen und das Netzwerk potenziellen Risiken aussetzen. Wollen die Teams diesen Balanceakt meistern, müssen sie auf Automatisierung und moderne Netzwerksicherheits-Tools setzen.

Folgende fünf Herausforderungen beim Umgang mit netzwerkbezogenen Änderungen sollten Netzwerk- und Firewall-Teams im Blick haben und mit Hilfe von Automatisierung überwinden:

Server klonen

Netzwerk- und Firewall-Administratoren sehen sich in ihrer täglichen Arbeit mit etlichen Anfragen bezüglich der Ausweitung von Firewall-Richtlinien konfrontiert. Eine typische Anfrage könnte hier lauten: „Können Sie bitte dem neuen Server Y den gleichen Netzwerkzugang gewähren wie Server X?“.

Während die Arbeit der Server-Admins an dieser Stelle normalerweise endet – der Server ist online und einsatzbereit und ihre Arbeit damit getan – stehen die Netzwerk- beziehungsweise Firewall-Teams nun vor der Herausforderung, Transparenz in die Netzwerkzugänge zu bringen und Richtlinien entsprechend anzupassen.

Dies ist umso aufwendiger, als in vielen Fällen nicht offensichtlich ist, auf welche Bereiche des Netzwerkes ein bestimmter Server tatsächlich Zugriff hat und welche Sicherheitszonen er durchqueren kann.

Da die manuelle Überprüfung zeit- und ressourcenaufwendig ist, sollten die Teams auf Tools mit Automatisierung zurückgreifen, die alle relevanten Zugriffsrichtlinien in ihrer gesamten Umgebung lokalisieren und den neuen Server ganz automatisch zu diesen Richtlinien hinzufügen. Die manuelle Suche nach Einzelheiten – Firewall für Firewall, Richtlinie für Richtlinie und Objekt für Objekt – die stunden- oder gar tagelang andauern kann, fällt so weg und Server können schnell und ohne Betriebsunterbrechung hinzugefügt werden.

Server außer Betrieb nehmen

Neben dem Hinzufügen neuer Server bedarf auch die Außerbetriebnahme veralteter oder nicht mehr benötigter Server eines systematischen und gründlichen Vorgehens. Die Netzwerk-Teams stehen hier vor der Herausforderung, sicherstellen zu müssen, dass sie alle Zugriffe des betroffenen Servers auf das Netzwerk auch tatsächlich entfernt haben. Hierzu kann man eine Firewall nach der anderen durchsuchen und checken oder aber auf einen durchsuchbaren Index von Richtlinien zurückgreifen.

Idealerweise haben die Teams einen Server-Stilllegungs-Workflow zur Hand, der sie Schritt für Schritt durch die Entfernung von Zugriffen veralteter Server leitet. Auf diese Weise kann das Risiko, dass alte IP-Adressen eines stillgelegten Servers neu zugewiesen und beispielsweise von böswilligen Benutzern missbraucht werden, um auf Unternehmens-Assets zuzugreifen, nachhaltig verringert werden.

Für einen reibungslosen Ablauf empfiehlt es sich, Netzwerksicherheitstechnologien einzusetzen, die sich in das ITSM (IT-Service-Management) integrieren lassen und automatisch ein Ticket für eine Serverstilllegung erstellen, sobald ein Mitarbeiter der Serverteams Serverdatensätze aktualisiert. Auf diese Weise können Zugriffe des alten Servers entfernt werden, ohne dass die zuständigen Teams die Kontrolle über den Prozess verlieren.

Konnektivitätsanfragen von Anwendungen

Firewall-Administratoren sind ständig dabei, Tickets zu bearbeiten. So verzeichnen einige Unternehmen pro Monat allein mehr als 1.000 Änderungen im Zusammenhang mit routinemäßigen Firewall-Anfragen.

Und obwohl sie gleichzeitig zahlreiche andere Aufgaben zu erledigen haben, man denke etwa an die Aktualisierung von Firewalls, den Austausch veralteter Netzwerkinfrastruktur oder Fehlerbehebungen bei häufigen Netzwerkproblemen, bearbeiten viele Netzwerkteams diese Anfragen und Änderungen oft manuell, was zu einem erheblichen betrieblichen Aufwand führt und störende Verzögerungen bei der Implementierung von Änderungen nach sich zieht.

Um dies zu vermeiden und den ganzen Prozess zu beschleunigen, bedarf es Change-Management-Lösungen, die in sich in das unternehmenseigene Ticketingsystem integrieren lassen und es ermöglichen, den Änderungsworkflow zu automatisieren. So können die Teams problemlos identifizieren, wo Richtlinien implementiert werden müssen, sicherstellen, dass diese nicht bereits implementiert wurden oder gegen die Security-Policy des Unternehmens verstoßen, und garantieren, dass alle notwendigen Änderungen wie geplant umgesetzt werden.

Thorsten Geissel, Tufin Technologies

„Je schneller, genauer und effizienter Netzwerke beziehungsweise Netzwerkzugriffe und Richtlinienänderungen verwaltet werden können, desto weniger Fehlkonfigurationen und Sicherheitslücken entstehen.“

Thorsten Geissel, Tufin Technologies

Rezertifizierung von Regeln

Wie oft wurde den Firewall- beziehungsweise Sicherheitsteams schon die Frage gestellt: „Können Sie bitte 90 Tage lang die Ports X, Y und Z zu den Servern A, B und C öffnen, während wir ein neues Widget testen?“.

Anfragen wie diese kommen von verschiedenen Seiten und sind heutzutage eher die Regel als die Ausnahme, da neue Technologien während des Testprozesses Zugang zu anderen Bereichen des Netzwerks und manchmal sogar zum Internet erfordern.

Dies ist grundsätzlich kein Problem, solange sich das (möglicherweise überarbeitete und unterbesetzte) Netzwerkteam nach Ablauf der 90 Tage daran erinnert, diese nun eventuell nicht mehr notwendigen Zugänge zu überprüfen und wieder zu löschen.

Auch hier liegt der Schlüssel des Problems in der Automatisierung: Die eingesetzte Netzwerksicherheit muss dafür sorgen, dass die Teams zeitnah ablaufende Regeln leicht erkennen und bearbeiten können. Idealerweise ist der zuständige Admin dann in der Lage, mit wenigen Klicks die Laufzeit der Regeln nach Bedarf zu verlängern oder aber diese zu deaktivieren und gänzlich zu entfernen, um einen Missbrauch zu verhindern.

Server-Bereitstellung ohne Sicherheitslücken

Wenn ein Serveradministrator einen neuen Server einsetzt und beantragt, dass ihm Zugang gewährt wird, wird dieser in der Regel manuell zu allen Firewalls in der Umgebung hinzugefügt. Dabei müssen sich die Sicherheitsverantwortlichen jedoch folgende Fragen stellen: Wurde das Serverbetriebssystem gepatcht und auf die neueste Version aktualisiert?  Und besteht eventuell eine kritische Sicherheitslücke, vor der das Netzwerk geschützt werden muss?

Um umfassende Antworten auf diese Fragen zu bekommen, brauchen Unternehmen eine Lösung zur Automatisierung von Netzwerkänderungen, die eine API-Integration in den Schwachstellenscanner ermöglicht.

Auf diese Weise kann automatisch geprüft werden, ob der Server gescannt wurde, und falls nicht, ein Scan angefordert werden. Dieser Check sollte obligatorisch sein, um zu verhindern, dass Genehmigungen erteilt werden, ohne dass die Netzwerkbereitschaft des Servers zuvor überprüft wurde.

Neben diesen fünf Beispielen stehen Netzwerk- und Sicherheitsteams in Unternehmen in ihrer tagtäglichen Arbeit vielen weiteren Herausforderungen gegenüber, die ebenfalls stark von Automatisierung profitieren. Tatsache ist, je schneller, genauer und effizienter Netzwerke beziehungsweise Netzwerkzugriffe und Richtlinienänderungen verwaltet werden können, desto geringer ist die Arbeitsbelastung der Teams und desto weniger Fehlkonfigurationen und Sicherheitslücken entstehen, die die Sicherheit des Unternehmens gefährden.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Netzwerksicherheit