Obwohl der typische User in der Regel mehrere Endgeräte verwendet, Informationen von vielen Standorten austauscht und Anwendungsdaten über Hybrid-Cloud-Infrastrukturen nutzt, bemüht sich das Netzwerksicherheitsmanagement der meisten Unternehmen immer noch darum, einen sicheren und einheitlichen Zugang zu erhalten. Die IT steht hier vor der Herausforderung, diesen Zugang zu ermöglichen, ohne einen Sumpf von duplizierten und oft widersprüchlichen Richtlinien hervorzubringen. [...]
Laut dem Netzwerksicherheits-Spezialisten Fortinet sammelt sich in Organisationen im Laufe der Zeit eine wachsende Anzahl und Komplexität von Sicherheitsregeln und -richtlinien an, sodass Unternehmen sehr schwer in der Lage sind, effektiv auf die sich verändernde Bedrohungslandschaft zu reagieren. „Es werden ständig neue Regeln für Sicherheitsgeräte hinzugefügt, ohne dass dabei alte Regeln entfernt werden. Dadurch steigt die Komplexität der Regeln und die Situation gerät außer Kontrolle“, sagt Franz Kaiser, Regional Director Österreich und Schweiz bei Fortinet. „Administratoren stehen deshalb vor der Herausforderung, die Sicherheitsmaßnahmen, die sie implementieren, überhaupt zu verstehen. Außerdem stehen sie unter einem unmöglichen Zeitdruck, neu auftretende Probleme zu beheben. Die Gefahr besteht darin, dass sich inmitten dieses Chaos neue Sicherheitslöcher öffnen. Die Antwort auf eine solche Komplexität sollte nicht noch mehr Komplexität beinhalten.“
Fortinet gibt fünf Tipps, um die Anhäufung von Policies zu mindern:
- Für erhöhte Applikationsüberwachung sorgen. Der Prozess zur Vereinfachung von Sicherheitsrichtlinien wird durch die Einführung von Application Control beeinträchtigt – ein wichtiger Grundsatz der Next-Generation-Firewall-Technologie. Es ist jedoch kritisch, die Applikationskontrolle an einzelne User-IDs anzuhängen und sie im gesamten Netzwerk und über Netzwerksicherheitsfunktionen durchzusetzen.
- Single Sign-On aktivieren. Tatsächlich kann die hinzugefügte Granularität, die aus der Ausführung unterschiedlicher Sicherheitsrichtlinien gemäß jedem Authentifizierungsumfeld entsteht, für das Sicherheitsmanagement beschwerlich sein. Wie vereinfachte Sicherheitsrichtlinien nicht auf Kosten wertvollen Kontextes über den Ort oder das Gerät des Nutzers durchgesetzt werden müssen, wird am Beispiel von Single-Sign-On deutlich – sofern der richtige Ansatz umgesetzt wird.
- Netzwerksicherheit und -kontrolle des drahtgebundenen und des drahtlosen Netzwerks vereinheitlichen. Eine rasante Anhäufung von Richtlinien tritt unweigerlich dort auf, wo der drahtlose und der drahtgebundene Netzwerkzugang zu Managementzwecken völlig getrennt voneinander verlaufen. Wo beides nebeneinander besteht, ist der drahtlose Zugang üblicherweise das dynamischere Umfeld mit ähnlichem Traffic-Level wie bei der kabelgebundenen Infrastruktur. Aus diesem Grund sollten beide Zugangswege, einschließlich der anwenderspezifischen Richtlinien, zusammengefügt werden, um eine bessere Übersicht und eine vereinfachte Überwachung zu gewährleisten.
- Rationalisierung der Netzwerksicherheit. Die Verwaltung einer großen Menge an spezialisierten Sicherheitsgeräten von vielen verschiedenen Herstellern ist ein sicherer Weg, um die Anzahl der Live-Sicherheitsrichtlinien zu vervielfachen. Durch die Bereitstellung einer Reihe von komplementären Systemen vom gleichen Hersteller jedoch werden die Betriebskosten gesenkt, da so einfacheres und bedürfnisorientiertes Management mit geringeren Richtlinien, höherer Leistung und besserer Gesamtsicherheit möglich ist. Zudem ermöglicht dies die Integration von Netzwerkzugangsrichtlinien mit allen anderen bereits bestehenden Sicherheitsrichtlinien.
- Fokussierung von Smart-Policies pro User und pro Endgerät. Bis zu einem gewissen Grad erfordern iOS, MacOS, Windows, RIM, Android, Ubuntu, Unix und Linux alle eine Differenzierung der Richtlinien. Dies kann wiederum sehr viel Zeit in Anspruch nehmen. Doch kombiniert mit einem Single-Sign-On-Ansatz zur Richtliniendurchsetzung an einem einheitlichen Eintrittspunkt auf das drahtlose und drahtgebundene Netzwerk, können alle Richtlinien anhand der User-ID, des Gerätetyps und des Ortes bestimmt werden.
Sichere Zugangswege über verschiedene Geräte, Standorte und Hybrid-Cloud-Infrastrukturen können in Unternehmen nur dann gewährleistet werden, wenn die individuellen Sicherheitsrichtlinien klar und überschaubar sind, führt Fortinet aus. Dies entlaste das Netzwerksicherheitsmanagement deutlich und die aus einer Richtlinien-Anhäufung entstehenden Sicherheitsbedrohungen könnten erfolgreich minimiert werden.
Fortinet hat nach der Veröffentlichung seines neuen FortiOS5-Betriebssystems ein neues Whitepaper für Sicherheitsadministratoren erstellt. Das PDF-Dokument mit dem Titel „Making Smart-Policies with FortiOS 5“ soll zeigen, wie Organisationen die Zugangs- und Sicherheitsrichtlinien vereinheitlichen können, wie sie eine integrierte, ID-basierte Authentifizierung und ein ID-basiertes Authorisierungsmodell anwenden und damit von vereinfachter Sichtbarkeit detaillierter Echtzeitdaten profitieren. (pi)
Be the first to comment