Maksim Kabakou - stock.adobe.com
Network Security Policy Management: Fünf wichtige Funktionen
Wenn die IT-Sicherheit mit den Geschäftsprozessen in Einklang gebracht wird, kann die Reaktion auf Vorfälle besser abgestimmt werden. Dabei spielen Richtlinien eine wichtige Rolle.
Unternehmen entwickeln ihre Netzwerke kontinuierlich weiter, um neue Anwendungen zu unterstützen, Initiativen zur Geschäftstransformation wie Cloud und SDN zu ermöglichen und täglich neue und komplexere Cyberangriffe abzuwehren. Aber die Mitarbeiter für Sicherheit und das Netzwerk haben Mühe, mit den Entwicklungen Schritt zu halten. Das wirkt sich nicht nur auf die Agilität des Unternehmens aus, sondern bringt auch neue Risiken für Unternehmen mit sich und behindert ihre Fähigkeit, der modernen Bedrohungslandschaft standzuhalten.
Viele glauben, dass sie die neuesten und besten Werkzeuge benötigen, um diese Herausforderungen zu meistern. Aber was ist, wenn Organisationen bereits das haben, was sie in ihrem Netzwerk benötigen: Eine Network-Security-Policy-Management-Lösung (NSPM)?
Die Verantwortlichen das Sicherheitsrichtlinien-Management sollten sich fünf Möglichkeiten, vor Augen führen, wie eine effektive Lösung zur Verwaltung von Sicherheitsrichtlinien helfen kann, die gesamte Sicherheitssituation besser zu verwalten, Risiken zu reduzieren und schneller auf Vorfälle zu reagieren, während gleichzeitig die Agilität maximiert und die Compliance in den sich ständig verändernden, heterogenen Netzwerken sichergestellt wird.
Ein durchgängiges Change Management
Die Security Policy Orchestration, also der Prozess zur Handhabung einer Richtlinienänderung über zwei oder mehr Geräte hinweg, ist den meisten IT-Sicherheitsteams bereits ein bekanntes Konzept. Die nächste Entwicklung dieses Prozesses, die Unternehmen annehmen müssen, um mit den heutigen dynamischen Netzwerkumgebungen Schritt zu halten, ist das End-to-End Policy Management, bei dem der Änderungswunsch als kompletter Prozess definiert und ausgeführt wird.
Das End-to-End Change Management besteht aus vier Phasen. In der ersten Phase erkennt die NSPM-Lösung automatisch alle Geräte im Netzwerk, für die eine Änderungsanforderung gilt. Entscheidend ist, dass das eingesetzte Produkt, herstellerunabhängig ist, um alle relevanten Geräte zu identifizieren, egal ob eine Firma mit On-Premises oder Next Generation Firewalls, Cloud-Umgebungen wie Microsoft Azure, Amazon Web Services, Cisco ACI oder VMware NSX arbeitet oder gar mehrere dieser Systeme kombiniert.
Im zweiten Schritt muss die Lösung das Risiko einer Änderung bewerten und dabei „Was wäre, wenn“-Szenarien analysieren, um dem Sicherheitsteam bei der Entscheidung zu helfen, ob die Änderung potenzielle Schwachstellen oder Compliance-Risiken impliziert.
Die dritte Stufe ist das Schreiben und Implementieren der beantragten Änderung. Das bedeutet, dass die Lösung für jedes relevante Gerät Empfehlungen für Änderungen der Sicherheitsrichtlinien bereitstellt, wie beispielsweise das Hinzufügen oder Entfernen einer Regel oder Veränderung an einer bestehenden Regel. Jede Änderung muss mit der entsprechenden Terminologie und den entsprechenden Parametern für jedes Gerät geschrieben werden. Einmal definiert, kann die Änderung mit einem Klick automatisch auf den betreffenden Geräten implementiert werden.
Schließlich gibt es einen abschließenden Validierungsprozess, bei dem die Lösung automatisch überprüft, ob der Änderungsauftrag ordnungsgemäß implementiert wurde. Das schließt zwei Elemente ein. Einerseits die Sicherstellung, dass der Datenverkehr jetzt erlaubt ist, und sowie die Kontrolle, dass die Implementierung korrekt war. Das ist bereits ein vollständiges End-to-End Change Management, das in wenigen Minuten, in lokalen Netzwerken ebenso wie Public- und Private-Cloud-Umgebungen umgesetzt wird.
Ein berührungsloses Change Management
Der beschriebene Prozess des End-to-End Change Managements ermöglicht es den Technikern für Netzwerksicherheit, verschiedene Punkte im Prozess einzubinden und zu bearbeiten und bei Bedarf eine Risikoanalyse durchzuführen. Noch wertvoller aus Sicht der Geschäftsprozesse ist die Möglichkeit, den gesamten Prozess zu automatisieren, ohne ihn zu stoppen, so dass Änderung der Sicherheitsrichtlinien berührungslos – das heißt, ohne Eingreifen eines Mitarbeiters – ausgeführt werden.
Um dies zu erreichen, übernimmt die NSPM-Lösung jeden Schritt im Workflow, um ihn zu automatisieren, und wickelt ihn einzeln mit verschiedenen Bedingungen ab. Sobald beispielsweise ein Änderungsauftrag definiert ist und die Lösung alle relevanten Firewall-Regeln identifiziert hat, die geändert werden müssen, prüft die Lösung automatisch, ob sie für den Änderungsauftrag korrekt sind. Wenn alles richtig ist, geht der automatisierte Prozess ohne Eingriffe zum nächsten Schritt über.
Wird jedoch bei der Überprüfung ein Problem festgestellt, wie eine ungewöhnliche Anzahl von Firewalls oder das Fehlen einer Firewall, wird der Prozess gestoppt und das System gibt eine Warnmeldung aus. Anschließend können die Verantwortlichen manuell eingreifen und Korrekturen vornehmen. Ebenso überprüft der automatisierte Prozess die neue Konfiguration auf Compliance-Risiken und geht nur dann zum nächsten Schritt über, wenn keine Risiken erkannt werden. Auch in diesem Fall wird der Prozess angehalten und eine Warnung ausgegeben, um eine Korrektur zu ermöglichen, sobald ein mögliches Risiko erkannt wurde.
Das Ergebnis sind weitaus effizientere und sicherere Change-Prozesse und ein Team, das seiner Organisation die Agilität und Geschwindigkeit berührungsloser Prozesse bietet, während es stets die volle Kontrolle behält.
Kopplung von Cyberangriffen und Geschäftsprozessen
Nicht alle Vorfälle in der Cybersicherheit verdienen eine sofortige Eindämmung: In einigen Fällen können die Reaktionen zur Lösung des Vorfalls (zum Beispiel das Herunterfahren eines Servers) größere negative Auswirkungen auf das Unternehmen haben als der Angriff selbst.
Eine Lösung für die Verwaltung von Sicherheitsrichtlinien sollte in der Lage sein, Daten zu einem Sicherheitsvorfall mit den tatsächlichen, realen Geschäftsprozessen oder kritischen Anwendungen zu verbinden, auf die sich der Vorfall auswirken kann. Dies bereichert die technischen Informationen des Vorfalls mit dem Kontext der von ihm betroffenen Geschäftsanwendungen, so dass Informationen wie „dieser Server ist von dieser Malware betroffen“ zu „dieser Server ist Teil unseres europäischen E-Commerce-Systems, das mit diesen zentralen Zahlungsanwendungen verbunden ist, und wenn wir ihn herunterfahren, werden wir keine Zahlungen von europäischen Kunden verarbeiten können“.
Mit den zusätzlichen Erkenntnissen, die durch die Verknüpfung von Vorfällen mit Geschäftsprozessen gewonnen werden, können Sicherheitsteams die Sicherheitsrisiken im Vergleich zu den operationellen Risiken schnell bewerten und aus Geschäftssicht die intelligentesten Entscheidungen zur Reaktion auf Vorfälle treffen.
Zuordnung von Schwachstellen und Business
In ähnlicher Weise kann die Lösung zum Management von Sicherheitsrichtlinien auch Schwachstellen ihren Auswirkungen auf das Unternehmen zuordnen. Vulnerability Scanner für Netzwerke können Tausende von Ergebnissen liefern, und die Sicherheitstechniker sind dafür verantwortlich, diese zu priorisieren und gemäß ihrer Kritikalität zu beheben. In der Regel basiert diese Priorisierung darauf, wie die der Scanner den Schweregrad der Schwachstellen bewertet.
„Eine Lösung für die Verwaltung von Sicherheitsrichtlinien sollte in der Lage sein, Daten zu einem Sicherheitsvorfall mit den tatsächlichen, realen Geschäftsprozessen oder kritischen Anwendungen zu verbinden, auf die sich der Vorfall auswirken kann.“
Robert Blank, AlgoSec
Ein weitaus besserer Ansatz ist es jedoch, Schwachstellen anhand ihrer geschäftlichen Auswirkungen zu bewerten – das bedeutet, sie im Kontext von Geschäftsanwendungen darzustellen. So wird beispielsweise die Lohn- und Gehaltsabrechnung in der Regel als eine Anwendung mit mittlerem Risiko betrachtet: Sie ist nicht notwendig für den täglichen Betrieb, aber sicherlich ist sie nichts, das wochenlang ohne Patch auskommen kann. Lösungen für das Management von Sicherheitsrichtlinien sollten in der Lage sein, einen Überblick über die Schwachstellen zusammen mit der Kritikalität der damit verbundenen Anwendungen darzustellen. Mit dieser Darstellung ist es für die Sicherheitsteams viel einfacher, zu entscheiden, welche Schwachstellen priorisiert werden sollen.
Herstellerunabhängige Migration von Firewall-Richtlinien
Die meisten Unternehmen verfügen über eine Vielzahl von Firewalls, die in ihren Netzwerken eingesetzt werden, von traditionellen über Gateways der nächsten Generation bis hin zu Cloud-Sicherheitskontrollen. Dies macht die Verwaltung der Firewall-Infrastruktur äußerst komplex.
Denn jede Version und Weiterentwicklung der Firewall funktioniert und kommuniziert in leicht unterschiedlichen Sprachen, was es für IT-Teams immer schwieriger macht, Sicherheit konsistent in allen Bereichen des Netzwerks zu implementieren und zu gewähren, dass der Datenverkehr zwischen geschäftskritischen Anwendungen nicht beeinträchtigt wird. Es gibt leider keinen standardisierten Satz für Syntax und Semantik, den alle Anbieter nutzen. Um jedoch Sicherheitsrichtlinien und -Regeln im gesamten Netzwerk konsistent anwenden zu können, muss es eine gemeinsame Sprache geben, damit jede Firewall innerhalb des Sicherheitsarsenals die Regeln des Unternehmens versteht.
Eine NSPM-Lösung kontert diese Herausforderung, indem sie die gemischten Firewall-Einheit abstrahiert und homogenisiert, so dass eine automatische Übersetzung der Regeln und Syntax in der gesamten Umgebung ermöglicht. Damit können alle Firewalls kohärent zusammenarbeiten, sodass der Netzwerkverkehr sicher zwischen den lokalen Netzwerken und Private oder Public Clouds wechseln kann und sichergestellt ist, dass Regeln und Richtlinien auf allen Geräten einheitlich angewendet werden.
Fazit
Wie sich sehen lässt, kann die richtige Network-Security-Policy-Management-Lösung viel mehr leisten, als nur die Implementierung der Sicherheitsrichtlinien zu automatisieren: Sie kann dazu beitragen, die Sicherheit mit den Geschäftsprozessen eines Unternehmens in Einklang zu bringen und die Organisation agiler, sicherer und Compliance-konformer zu machen.
Über den Autor
Robert Blank ist Regional Sales Manager DACH bei AlgoSec.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!