sdecoret - stock.adobe.com
Mit richtlinienbasierter Sicherheit Komplexität reduzieren
Die Verwaltung hybrider und fragmentierter Netzwerke ist in Sachen Sicherheit eine Herausforderung. Sechs Beispiele zeigen, wo Richtlinien IT-Teams dabei unterstützen können.
Obwohl sie jährlich Milliarden von Euro für Cybersicherheitsmaßnahmen und Management-Tools ausgeben, kämpfen Unternehmen in Deutschland nach wie vor mit komplexen, unübersichtlichen Netzwerken, was sich negativ auf ihre betriebliche Effizienz – dem Sprungbrett zur digitalen Transformation – auswirkt.
Die Ursache liegt dabei in den Unternehmensnetzwerken selbst: Diese werden zunehmend hybrid und immer fragmentierter und erstrecken sich heutzutage über verschiedenste lokale, private und öffentliche Cloud-Umgebungen.
So zählen zu den gängigen Umgebungen nicht nur Hunderte von Firewalls unterschiedlichster Hersteller, Tausende von Routern und Switches, sondern auch private Clouds mit Segmentierungstechnologien wie VMware NSX oder Cisco ACI, öffentliche Clouds mit nativen Sicherheitskontrollen sowie Container, die in Systemen wie Kubernetes oder Docker laufen.
Hinzu kommt, dass DevOps-Praktiken eine erhebliche Zunahme von Software-Releases nach sich ziehen, die zahlreiche Konnektivitätsänderungen erfordern. Dies setzt die Teams nicht nur ressourcenmäßig unter Druck, jede neue Netzwerkverbindung schafft zudem einen neuen potenziellen Einstiegspunkt für Angreifer.
Die Auswirkungen eines komplexen Netzwerks
Zu den größten Hindernissen im schwierigen Spagat zwischen Sicherheit und Agilität zählt heutzutage insbesondere der Mangel an Automatisierung. So stehen aufwendige manuelle Prozesse im Bereich Netzwerkoperationen in vielen Unternehmen noch immer an der Tagesordnung, obgleich sie einerseits extrem fehleranfällig und andererseits äußerst zeitintensiv sind.
Letzteres gilt auch für die beschleunigte Anwendungsbereitstellung. Denn um auf dem sich schnell verändernden Markt wettbewerbsfähig zu bleiben, bringen Unternehmen heute in rasantem Tempo neue Softwareanwendungen auf den Markt. Sicherheitsteams, die neue Anwendungen genehmigen müssen, und Netzwerkteams, die die Änderungen durchführen, stehen ressourcenmäßig deshalb oft unter Druck.
Hinzu kommen Probleme bei der Definition und Umsetzung sinnvoller Sicherheitsrichtlinien. Häufig basiert die Security Policy auf verschiedenen abstrakten Konzepten, die in einem Word- oder PDF-Dokument aufgelistet sind oder im schlimmsten Fall nur in den Köpfen der Netzwerksicherheitsingenieure festgehalten werden.
In Zeiten hybrider Netzwerke kann dies schnell zu einem Chaos führen. So fehlt es den Unternehmen gerade in Sachen Change Management immer häufiger an der notwendigen Transparenz, um zu verstehen, welche Änderungen die Compliance verletzen oder neue Sicherheitslücken generieren.
Ähnliche Probleme ergeben sich hinsichtlich der Konnektivität. Auch hier mangelt es den Teams an den nötigen Einblicken und aus Angst vor Störungen oder Betriebsunterbrechungen werden veraltete Firewall-Regeln einfach beibehalten. Dies führt letztendlich zu unnötig weit gefasste Berechtigungen und überflüssigen Zugriffen und damit zu einer Verlangsamung des Netzwerks und Vergrößerung der Angriffsfläche.
Sechs Gründe für einen richtlinienbasierten Sicherheitsansatz
Um diesem Chaos zu entgehen, braucht es einheitliche, umfassende Sicherheitsrichtlinien, die eine solide Grundlage für die Automatisierung und Analyse des Netzwerkbetriebes bieten. Folgende sechs Beispiele zeigen, wie die konsequente Umsetzung einer Security Policy IT-Teams dabei unterstützt, die Komplexität bei der Verwaltung hybrider und fragmentierter Netzwerke erheblich zu reduzieren.
1. Verstehen Sie Ihre Netzwerktopologie, um Sichtbarkeit über das heterogene, hybride Cloud-Netzwerk zu gewinnen
Um das eigene Unternehmensnetzwerk mit den Sicherheitsrichtlinien abstimmen und gegebenenfalls notwendige Änderungen vornehmen zu können, bedarf es tiefgreifender Einblicke in das Netzwerk. Ein Topologiemodell, das sowohl Netzwerkgeräte als auch Router- und Cloud-Richtlinieneinstellungen abbildet, kann Sicherheitsteams dabei helfen, die Pfade, die durchlaufen werden müssen, um den Zugriff zwischen Diensten und Anwendungen zu ermöglichen, besser zu verstehen.
Korrekt durchgeführt, erreicht man eine umfassende Transparenz über sämtliche Netzwerk- und Anwendungsverbindungen, die Grundlage für die Behebung von Konnektivitätsproblemen sowie die Durchführung von Risikoanalysen ist.
2. Optimieren Sie Ihre operative Leistungsfähigkeit durch ein effektiveres Change Management
Viele Änderungsanfragen, welche die Network Operations Group eines Unternehmens heutzutage erreichen, müssen entweder überarbeitet werden. Untersuchungen zeigen, dass 75 Prozent der ursprünglichen Anfragen entweder auf falschen Daten beruhen oder unnötig sind oder aber fragen nach bereits existierenden Zugriffen, was die betriebliche Effizienz stark belastet.
Indem Sicherheitsrichtlinien auf das Change Management ausgeweitet werden, können Netzwerkingenieure bereits vor der Implementierung prüfen, ob Änderungsanfragen gegen aktuelle Richtlinien verstoßen, und irrelevante und falsche Anfragen frühzeitig entfernen. Dies führt dazu, dass kritische Änderungen schneller ausgeführt und Rückstände bei der Bearbeitung schneller abgebaut werden können.
3. Segmentieren Sie das Netzwerk, um Richtlinien zu verstehen und Sicherheitsstandards zu erfüllen
Netzwerksegmentierung ist unabdingbar, um sensible Bereiche des Netzwerks zu isolieren und unerwünschten Datenverkehr zu verhindern. Daher empfiehlt es sich, konzeptuelle Zonen von logischen oder operativen Einheiten einzurichten, die eine beliebige Sammlung von Netzwerken oder Subnetzen mit einem einzigartigen Sicherheitskontext enthalten.
In einem zweiten Schritt können Netzwerkverantwortliche dann basierend auf den Sicherheitsrichtlinien definieren, ob und wie sich die Zonen untereinander verbinden dürfen. Auf diese Weise ist das Unternehmen dann in der Lage, eine einheitliche netzwerkübergreifende Sicherheitsrichtlinie durchzusetzen, und erreicht eine konsistente Segmentierung über die gesamte Umgebung hinweg. Die Zonen können dabei an offiziellen Konformitätsstandards wie PCI DSS ausgerichtet werden, Frameworks wie NIST folgen oder auf unternehmenseigene Compliance-Standards basieren.
4. Automatisieren Sie die richtlinienbasierte Risikoanalyse und Anwendungsänderungen
Weitere positive Einflüsse hat der Einsatz einer softwaredefinierten Richtlinienplattform zudem in Sachen Prozessautomatisierung. So können erhebliche Zeit- und Ressourceneinsparungen geschaffen werden, indem richtlinienkonforme Netzwerkänderungen automatisiert und gleichzeitig angeforderte, den definierten Richtlinien aber widersprechende Änderungen abgelehnt werden
Die Abstraktion der Netzwerksicherheitsrichtlinie auf Anwendungsebene ist eine weitere effiziente Methode, die Anwendungsverfügbarkeit zu steuern und zu automatisieren. Sie ermöglicht es den Entwicklern, die Anforderungen an die Netzwerk-Konnektivität ihrer Anwendungen zu definieren und zu verwalten – unter Beachtung der Netzwerksicherheitsrichtlinien –, ohne dass sie alle zugrunde liegenden Netzwerkdetails selbst kennen und verstehen müssen.
Die anwendungsbasierte Richtlinienautomatisierung trägt also wesentlich dazu bei, die Reibungen, die zwischen Anwendungs- und Netzwerksicherheitsteams bei der Einhaltung von Richtlinien zwangsläufig entstehen, zu verringern und die Geschäftskontinuität so zu verbessern.
„Auch wenn unsere Netzwerke immer komplexer werden, so kann deren Verwaltung dennoch übersichtlich und einfach gehalten werden – sofern effiziente Sicherheitsrichtlinien eingeführt und konsequent umgesetzt werden.“
Thorsten Geissel, Tufin Technologies
5. Orchestrieren Sie native Cloud-Anwendungen und Container-Umgebungen
Genau wie die Sicherheitsrichtlinien die notwendige Grundlage für das hybride Netzwerk bilden, so benötigen Unternehmen bei der Einführung von Containern und Microservices dieselben Kontrollen, um sicherzustellen, dass Anwendungen keine Regeln verletzen oder gar Schwachstellen erzeugen.
Wenn die Richtlinien in CI/CD-Tools wie Github oder Jenkins integriert werden, ermöglicht dies den DevOps-Teams bei der Erneuerung ihrer Applikationen, Änderungen auf mögliche Compliance-Verstöße zu überprüfen, ohne eine Unterbrechung der Arbeitsabläufe oder Prozessverlangsamungen zu provozieren. Dadurch werden die Reibungsverluste zwischen den Sicherheits- und DevOps-Teams gemildert und Engpässe beseitigt, während die Sicherheitsteams gleichzeitig die nötige Kontrolle über diese Umgebungen erhalten.
6. Stellen Sie ein Sicherheits-Hub für Produktintegrationen bereit
In jedem Unternehmen kommt heutzutage eine Fülle ganz unterschiedlicher Sicherheitsprodukte zum Einsatz. Umso wichtiger ist es, allgemeingültige produktübergreifende Sicherheitsnormen für Integrationen ins Leben zu rufen.
So können beispielsweise Unternehmen, die ITSM- und Ticketing-Systeme wie ServiceNow oder Remedy verwenden, es einrichten, dass mit Tickets versehene Netzwerkänderungsanfragen anhand der festgelegten Sicherheitsrichtlinien analysiert und automatisch innerhalb von Minuten implementiert werden, sofern sie Konformität aufweisen.
Fazit
Wir leben heute in einer komplexen, hybriden Welt: Immer mehr Systeme und Daten wandern in die Cloud, während hochsensible Umgebungen auch weiterhin On-Premises bleiben. Diese Hybridität stellt Netzwerkteams vor große Herausforderungen. Sie müssen einen Weg finden, die sich verschärfenden Risiken zu kontrollieren, und dürfen gleichzeitig die Agilitätsziele ihres Unternehmens nicht aus den Augen verlieren.
Doch auch wenn unsere Netzwerke immer komplexer werden, so kann deren Verwaltung dennoch übersichtlich und einfach gehalten werden – sofern effiziente Sicherheitsrichtlinien eingeführt und konsequent umgesetzt werden.
Sie bilden die notwendige Managementebene zwischen Unternehmensanwendungen und der ihnen zugrunde liegenden Infrastruktur – das heißt Firewalls, Netzwerkgeräte, öffentliche, private oder hybride Clouds und Container. Darüber hinaus unterstützen einheitliche Richtlinien die Automatisierung von Netzwerkänderungen bei gleichzeitiger Aufrechterhaltung der Sicherheitskontrollen.
Über den Autor:
Thorsten Geissel ist Director Sales Engineering EMEA bei Tufin Technologies.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.