Tierney - stock.adobe.com
Virtuelle Netzwerke vor unerwünschten Zugriffen schützen
Virtuelle Netzwerke sorgen für einen weiteren Layer im Netz, den es zu sichern gilt. Wir stellen drei Maßnahmen vor, die die Komplexität reduzieren und für mehr Schutz sorgen.
Der Schutz von Netzwerken ist eine äußerst schwierige Aufgabe. Viele Sicherheitsprobleme könnten vermieden werden, wenn etwa Richtlinien leicht umzusetzen wären, die genau definieren, wer wo und wann zugreifen darf. Viele Sicherheits-Tools und -Strategien sind jedoch nicht viel mehr als nur reaktive Mechanismen. Proaktivere Maßnahmen würden zu sichereren Netzwerken und letztlich auch zu einer insgesamt sichereren IT führen.
Bis vor kurzem waren virtuelle Netzwerke meist noch vergleichbar mit einem virtuellen LAN oder einem privaten Netz mit nur wenigen oder gar keinen Sicherheitsproblemen. Neue Lösungen und Dienste wie die Cloud, Software-defined WAN (SD-WAN), Software-defined Networking (SDN) und containerbasierte virtuelle Netze haben jedoch zu einer Art zweitem Netzwerk geführt, das in vielen Unternehmen nun zu finden ist. Diese Netzwerke unterscheiden sich in einigen Punkten fundamental von den bisherigen Modellen. Das hat auch auf ihre Absicherung Auswirkungen. Nur wenn ihr Schutz sorgfältig und geplant erfolgt, wirken sich virtuelle Netze positiv auf das Unternehmen aus und sorgen nicht für neue Risiken.
Im Folgenden stellen wir drei Sicherheitsmaßnahmen für virtuelle Netzwerke vor, mit denen Sie gewährleisten können, dass Ihr „zweites Netzwerk“ sich nicht zu einer Gefahr für Ihr gesamtes Unternehmen entwickelt.
Richtlinien für Verbindungen und zur Validierung von Adressen
Virtuelle Netzwerke setzen in der Regel auf echten Netzwerken auf. Meist werden IP-basierte (Internet Protocol) Netze wie IP-VPNs (Virtual Private Networking) oder gar das Internet als Grundlage verwendet. Das bedeutet, dass jeder virtuelle Endpunkt auch ein echter Endpunkt in einem echten Netzwerk ist. Deswegen ist es auch meist möglich, vom echten Netzwerk aus das virtuelle Netzwerk zu erreichen oder von dort aus Attacken auf die virtuelle Infrastruktur auszuführen. Es ist ein großer Fehler, davon auszugehen, dass virtuelle Netzwerk-Overlays Sicherheitsprobleme per se lösen können. Das echte Netzwerk muss – wie bisher schon auch – ebenfalls abgesichert werden.
Für eine Erhöhung der virtuellen Netzwerksicherheit werden zusätzliche Forwarding-Richtlinien zwischen den beteiligten Subnetzen benötigt. In IP-Netzen sind alle Nutzer und Ressourcen über verschiedene Subnetze miteinander verbunden, die in der Regel auch über ihre eigenen vorher definierten Adressbereiche verfügen. Wenn diese Subnetze jedoch nur Verbindungen zu bestimmten anderen Subnetzen unterstützen sollen, müssen Sie diese Begrenzungen an den Subnetz-Grenzen mit Hilfe von Filtermaßnahmen durchsetzen.
Ein wichtiger Punkt dreht sich dabei um das Thema Spoofing, also das mögliche Fälschen von Absenderadressen. Die Quellen der Datenpakete müssen überprüft werden, um Spoofing-Attacken zu verhindern. Jedes Paket in einem IP-Netz kommt aus einem bestimmten Subnetz. Innerhalb dieser Subnetze stammen alle Adressen aus einem bestimmten vordefinierten Bereich. An den Gateways kann deswegen kontrolliert werden, ob die sendende Adresse auch wirklich dem Adressbereich dieses Subnetzes entspricht oder nicht. Auf diese Weise lässt sich das Risiko von Spoofing-Attacken reduzieren.
Sichere Gateway-Zugriffe zwischen den Netzwerken
Eine der wichtigsten Stellen, wenn es um das Thema Sicherheit geht, ist die Verbindung zwischen virtuellem und echtem Netz, also das Gateway zwischen den verschiedenen Subnetzen.
Ein virtuelles Netzwerk hat in der Regel mehrere Punkte, an denen seine Nutzer mit externen Ressourcen wie dem Internet kommunizieren und an denen externe Anwender mit Ressourcen aus dem virtuellen Netz Kontakt aufnehmen können.
Diese Konnektivität muss dediziert durch ein oder mehrere Gateways in das virtuelle Netzwerk bereitgestellt werden. Außerdem sollten diese Stellen durch Richtlinien gesichert werden, um nicht autorisierte oder unerwünschte Zugriffe zu verhindern. Eine offene Verbindung zwischen dem virtuellen Netzwerk eines Unternehmens und dem Internet kann ansonsten als Zugangspunkt für Eindringlinge in die Infrastruktur missbraucht werden.
Aus diesem Grund sollten nur eindeutig definierte Übergänge in das virtuelle Netzwerk mit der Außenwelt kommunizieren dürfen. Jeder Versuch einer Kontaktaufnahme von anderen Punkten im virtuellen Netz aus sollte wie eine Sicherheitsverletzung behandelt werden, die vergleichbar mit einem böswilligen Hack, einer Infektion mit Malware oder einem DoS-Angriff (Denial of Service) ist.
Kontrollmaßnahmen für die Verbindungen und Zugriffe
Eine Begrenzung der Verbindungen zur Außenwelt verhindert jedoch nicht, dass die Zugriffe auf das Netzwerk noch weiter gesichert werden müssen. Richtlinien zum Schutz der Zugangspunkte ins virtuelle Netz sollen vor allem Eindringlinge abwehren und nicht die Nutzer im Unternehmen kontrollieren.
Es werden deshalb in der Regel zusätzliche Verbindungs-Policies benötigt, um zu verhindern, dass die legitimen Netzwerknutzer – absichtlich oder unabsichtlich – sensible Daten freigeben. Die verfügbaren Lösungen für virtuelle Netzwerke unterscheiden sich jedoch teilweise erheblich bei den von ihnen angebotenen Funktionen zur Absicherung des Netzwerks.
Das trifft besonders auf SD-WANs zu, die mit MPLS (Multiprotocol Label Switching) erzeugte VPNs (Virtual Private Networks) an Orten ermöglichen, an denen MPLS eigentlich nicht zur Verfügung steht, weil eine Implementation zum Beispiel zu teuer ist. Die passende SD-WAN-Lösung kann jedoch eine erhebliche Verbesserung der zur Verfügung stehenden Verbindungs-Policies bieten und damit die gesamte Sicherheit des Netzwerks erhöhen.
Die meisten SD-WAN-Lösungen bieten jedoch keine Möglichkeiten, um Verbindungen wirklich inkrementell zu konfigurieren. Die Anwender müssen deswegen selbst für Zugriffsregeln auf den unteren Schichten des Netzwerks sorgen, also etwa auf dem darunter liegenden IP-Netz. Nur etwa 15 Prozent der verfügbaren SD-WANs bieten allerdings bisher schon spezifische Kontrollmöglichkeiten für Verbindungen und nur sehr wenige können einzelne Sessions oder gar den gesamten Traffic kontrollieren.
Gezielte Kontrollen der Verbindungen auf dem virtuellen Netzwerk-Level gehören jedoch zu den wichtigsten Fortschritten in der Netzwerk- und IT-Sicherheit. Die meisten bisher verfügbaren Sicherheitsmechanismen für Netzwerke konzentrieren sich darauf, Eindringlinge draußen zu halten.
Das hilft aber nur wenig gegen Personen, die das Recht haben, das Netzwerk zu nutzen und die sich für einen Missbrauch entscheiden. Diese Art von Angriffen wird auch Insider-Attacken genannt. Mit gezielten Kontrollen aller Verbindungen können Unternehmen aber zumindest festlegen, welche Sessions sie als berechtigt einstufen. Alle anderen Verbindungen werden dann geblockt. Gezielte Kontrollen der Verbindungen ersetzen dann die bisherige sogenannte permissive Konnektivität, die in den meisten IP-Netzwerken angewandt wird.
Auch wenn es anfangs als sehr aufwändig erscheint, bereits im Vorfeld festzulegen, wie erwünschte Verbindungen aussehen sollen, hat dieser neue Ansatz zum Management der Sicherheit doch erhebliche Vorteile. Die Aufgabe lässt sich oft erledigen, indem alle Nutzer und Ressourcen anhand ihrer Rollen oder Subnetze klassifiziert werden. Dieses Vorgehen sorgt dann dafür, dass weniger Regeln erstellt werden müssen und Zeit gespart werden kann.
Unternehmen sollten dabei jedoch darauf achten, nicht zu allgemeine Regeln zu erstellen, Wenn zum Beispiel festgelegt wird, dass alle Teilnehmer in zwei Subnetzen miteinander kommunizieren dürfen und dies dann um Vorgaben für einzelne Nutzer und Geräte in ihnen erweitert wird, können unbeabsichtigt neue Sicherheitslücken entstehen.
Am Horizont: NetDevOps
Momentan erleben wir eine Phase des Wilden Westens, wenn es um Tests und das Überwachen der Sicherheit in virtuellen Netzwerken geht. Jedes virtuelle Netzwerk erhöht jedoch die Komplexität, indem es eigene Elemente und APIs (Application Programming Interfaces) zur Kontrolle und zum Management mit sich bringt.
Wenn diese nicht sicher konfiguriert werden, kann sich ein Hacker einen teilweisen oder kompletten Zugang zu dem virtuellen Netzwerk verschaffen. Anschließend kann er die Nutzer stören, Informationen stehlen und Anwendungen schädigen. Die Anbieter von virtuellen Netzwerken haben sich bereits viele Maßnahmen überlegt, um die Kontrollmöglichkeiten zu verbessern. Es gibt aber noch einen weiteren Schritt, der benötigt wird und der eine Automatisierung vieler Schritte mit sich bringt. Er nennt sich NetDevOps.
Fehler hängen oft mehr oder weniger direkt mit der Zahl der zu erledigenden Aufgaben zusammen. Wobei Aufgaben als alles definiert werden kann, was einen manuellen Eingriff erfordert. Beispiele dafür sind etwa das Hinzufügen von weiteren Layern im Netzwerk oder Funktionen, für deren Einrichten und Betrieb immer noch Menschen benötigt werden. Virtuelle Netzwerke stellen einen zusätzlichen Layer dar und sind deswegen auch für ein größeres Potenzial an Fehlern verantwortlich. Auch die Schnittstellen zwischen den virtuellen und realen Transportschichten führen zu einer erweiterten Komplexität. Fehler bei der Konfiguration der Netzwerke wirken sich aber nicht nur auf die Stabilität des Betriebs aus, sondern auch auf die Sicherheit.
Der Einsatz einer Automatisierung per NetDevOps, die dem bereits beim Aufbau und Betrieb von Cloud-Umgebungen verbreiteten DevOps ähnelt, ist deswegen der finale Schritt, wenn es um den Aufbau sicherer Netze und einen sicheren Betrieb der IT insgesamt geht. Mit Hilfe passender Automatisierungsmaßnahmen erhöhen virtuelle Netzwerke die Sicherheit sogar und sind nicht nur für neue Schwachstellen verantwortlich, die es schnellstmöglich zu schließen gilt.