leowolfert - Fotolia
Warum Netzwerke Security by Design verwenden sollten
Per Security by Design bauen Sie Sicherheit in die DNA der Netzwerkinfrastruktur ein. Lesen Sie, welche Daten geschützt werden müssen und wie Sie Systeme klassifizieren.
Netzwerke, Sicherheit und Anwendungen werden traditionell unabhängig voneinander entworfen. Ein Team entwirft ein Netzwerk und schickt es dann an ein anderes Team, das die Sicherheit dafür einrichtet. Schlimmer noch: Es ist eher die Ausnahme, dass die technischen Teams für Netzwerke oder Sicherheit mit den Eigentümern und Entwicklern der Anwendungen zusammenarbeiten.
Diese Art des Designprozesses ist analog zu älteren Entwicklungsparadigmen und könnte als Wasserfall-Infrastrukturdesign beschrieben werden.
Security by Design ist ein Architekturkonzept, das die Sicherheit, das Risikomanagement und den Betrieb eines Netzwerks vereinfacht, indem diese Komponenten buchstäblich in die DNA des Systems eingebaut werden. Security by Design bedeutet, dass die Netzwerkarchitektur die Art der verwendeten Anwendungen, Daten und Systeme berücksichtigt.
Dieser ganzheitliche Prozess erfüllt die Sicherheits-, Risiko- und Service-Levels, die von den Serviceeigentümern (dem Unternehmen), den Regulierungsbehörden und den Benutzern gefordert werden. Im Allgemeinen umfasst Security by Design sowohl die logische als auch die physische Segmentierung von Assets im gesamten IT-Ökosystem.
Im Vergleich zum traditionellen Wasserfall-Infrastrukturdesign lässt sich das Security-by-Design-Konstrukt am besten als agiles Infrastrukturdesign beschreiben.
Security by Design für den PCI-Standard
Zur Verdeutlichung nehmen wir ein Regelwerk und untersuchen, wie eine Security-by-Design-Infrastruktur aussehen würde. In unserem Beispiel verwenden wir den PCI-Standard (Payment Card Industry), weil er gut verstandene und dokumentierte Konzepte verkörpert, die für die Prinzipien von Security by Design gelten, wie die folgenden:
- Welche Daten geschützt werden müssen. Im PCI-Beispiel müssen Karteninhaberdaten geschützt werden, wozu Kreditkartennummern und persönlich identifizierbare Informationen (PII) gehören.
- Wie man Systeme klassifiziert. Der PCI-Standard schafft eine Reihe von Kategorien, die gut dokumentiert sind und es den Netzwerk- und Sicherheitsarchitekten ermöglichen, eine klare Strategie zur Netzwerksegmentierung auf der Grundlage der Klassifizierungsstrategie zu definieren.
- Ein gut verstandenes regulatorisches Umfeld. Das PCI Security Standards Council stellt Richtlinien und Standards bereit, die detailliert beschreiben, wie Organisationen ihre Systeme schützen können.
Im Fall eines Rechenzentrums eines Kunden ist ein System ein Server, ein Container oder eine VM, die Daten als Teil einer PCI-Anwendungssuite verarbeitet. Der PCI-Standard bietet Kategorisierungsanforderungen, die sich leicht auf eine Strategie zur Netzwerksegmentierung abbilden lassen, wie in Abbildung 1 dargestellt.
Greenfield- oder virtualisierte Umgebungen
In Greenfield- oder virtualisierten Designs (VMware-, OpenStack-, Container- oder Cloud) ist es möglich, einfach eine Strategie zur Netzwerksegmentierung zu erstellen, die den Kategorien des PCI-Datensicherheitsstandards entspricht, und die Systeme auf das entsprechende Netzwerksegment anzuwenden. Physische oder virtuelle Firewalls können dann die in der Dokumentation beschriebenen High-Level-Richtlinien anwenden. Aufgrund der Netzwerksegmentierung gibt es nun weniger Kontrollpunkte, was den Aufwand für die Sicherung und Prüfung der Umgebung erheblich vereinfacht.
In einem Projekt, um regulatorischen und risikobezogenen Bedenken gerecht zu werden, hat mein Unternehmen ein großes, flaches Rechenzentrum in eine virtualisierte VMware-Instanz mit einem VLAN-Overlay umgestaltet, das den PCI-Kategorien entsprach.
Auf diese Weise konnten wir ein System mit mehr als 500 Anwendungen der Kategorien 1a und 1b, das über 100.000 auf IP-Adressen basierende Firewall-Regeln erforderte, auf weniger als 1.000 Regeln vereinfachen. Dabei wird der Großteil der Sicherheit durch ein paar Dutzend Regeln innerhalb von VMware NSX gewährleistet.
Zuvor musste das Hinzufügen oder Ändern eines Systems der Kategorie 1 über mehr als ein Dutzend Firewall-Paare erfolgen, was oft problematisch war. Die Kombination aus NSX Distributed Firewall für Inter-VLAN-Regeln innerhalb von NSX und Next-Generation Firewalls für die physischen Netzwerksegmente war der Schlüssel, um die Vereinfachung zu erreichen.
Brownfield-Umgebungen
In Brownfield-Designs, also in bestehenden oder veralteten Umgebungen, ist es immer noch möglich, segmentierte und vereinfachte Sicherheit zu bieten. Aber sie ist traditionell schwieriger zu implementieren und zu warten. Hier kommen neuere Sicherheitsanbieter ins Spiel, die innovative Alternativen anbieten, wenn ein vollständiges Redesign nicht möglich ist. Illumio zum Beispiel verwendet einen agentenbasierten Ansatz mit einem Controller, um die gewünschte Sicherheit zu erreichen.
In jedem Fall erfordert Security by Design, dass die Teams ein gründliches Verständnis der zu schützenden Daten haben und dass alle Anforderungen von Risikobeauftragten und Regulierungsbehörden im Mittelpunkt des Netzwerkdesigns stehen müssen.