alphaspirit - Fotolia

So ermitteln Sie die optimalen Sicherheitsmaßnahmen für Ihr Netzwerk

Welche Maßnahmen die Netzwerksicherheit erhöhen, hängt von der gegebenen Security-Architektur ab. Vor dem Kauf von Tools ist daher einiges zu klären.

Hinweis der Redaktion: Der dritte Teil unserer insgesamt vierteiligen Serie über Netzwerksicherheit beschäftigt sich mit den wesentlichen Kaufkriterien für Netzwerksicherheits-Tools. In Teil eins ging es um die Entwicklung der Netzwerksicherheit im Unternehmensbereich. Der zweite Artikel behandelt wichtige Einsatzszenarien, während wir dann im vierten Teil unsere Kaufkriterien anwenden, um die führenden Anbieter zu vergleichen.

Über die zur Infrastruktur passenden Maßnahmen für die Netzwerksicherheit zu verfügen, ist ein entscheidender Faktor, da der Schutz von sensiblen Daten und die Beseitigung von Sicherheitsbedrohungen von größter Bedeutung sind. Wenn Sie sich auf dem Markt umsehen, werden Sie eine Vielzahl von Anbietern für Sicherheitslösungen entdecken. Und jeder von ihnen wird behaupten, sein Produkt sei das Beste. Doch einige Maßnahmen für die Netzwerksicherheit eignen sich besser für Ihre Netzwerkarchitektur und spezifischen Anforderungen an die Datensicherheit. Dieser Artikel wird Sie dabei unterstützen, verschiedene Kriterien festzulegen, die Sie anwenden können, wenn Sie Netzwerksicherheitsprodukte für Ihr Unternehmen vergleichen.

Speicherort von geschäftskritischen Daten

Sie wissen wo Ihre Unternehmensdaten heute gespeichert werden und an welchem Ort das künftig sein wird? Dann lässt sich daraus hervorragend abschätzen, welche Arten von Sicherheits-Tools Sie benötigen und welche Rolle ihnen in der Sicherheitsarchitektur insgesamt zukommt. Ob die Daten vor Ort, in der Cloud oder in beiden Systemen vorgehalten werden, beeinflusst die Effizienz und Kritikalität des Sicherheits-Tools.

Falls der Großteil der Daten in privaten Rechenzentren untergebracht ist, wird die Perimetersicherheit mittels Next-Generation Firewalls (NGFW) und Network Access Control (NAC) ausschlaggebend, um zu gewährleisten, dass die Daten geschützt sind. Die Firewalls werden die Daten vor Nutzern schützen, die außerhalb des Firmennetzwerks sitzen. NAC hingegen hilft dabei sicherzustellen, dass User und Geräte entsprechend autorisiert sind, um auf Daten zuzugreifen.

Wenn andererseits die Daten in der Cloud gespeichert werden oder dies bald bevorsteht, sollten Ihre Sicherheitsmaßnahmen insgesamt besonderen Wert auf Sicherheits-Tools legen, die mit der Cloud kompatibel sind. Zum Beispiel bieten etliche NGFWs Cloud-Kompatibilität durch virtualisierte Firewalls. Ähnlich sollten Ihre Maßnahmen für die Netzwerksicherheit auf Secure Web Gateways (SWG) und Sandboxes für Malware setzen, um Datenverluste zwischen Netzwerken zu verhindern. Diese Tools hemmen zudem die Verbreitung von möglicherweise durch Malware befallenen Daten zwischen dem Unternehmensnetzwerk und verschiedenen Cloud-Providern sowie dem Internet. Viele SWGs und Malware-Sandboxes bieten Cloud-Dienste, wodurch sie für Unternehmen besser geeignet sind, die Daten in der Cloud speichern.

Interne Benutzer und Geräte

Es ist ein Leichtes, ein Unternehmen vor nicht vertrauenswürdigen externen Verbindungen wie dem Internet- und WAN-Edges zu schützen. Aber was, wenn nur bestimmte Nutzer auf spezielle Daten Zugriff haben sollen? Und was ist mit externen Beratern, Gästen und anderen Anwendern, die Zugang zum internen Netzwerk haben, jedoch nicht als vertrauenswürdig gelten sollten? An dieser Stelle kommen NAC und möglicherweise NGFWs ins Spiel. Mit NAC können Sie die Identität jedes Nutzers überprüfen, der versucht, auf das Netzwerk zuzugreifen. User, die nicht im Netzwerk zugelassen sind, werden komplett von dessen Nutzung ausgeschlossen. Andere mit eingeschränkten Zugangsrechten dürfen das Netzwerk nutzen, können allerdings nur auf die Anwendungen, Netzwerke und Daten zugreifen, die der Sicherheits-Administrator vorgesehen hat. NAC-Regeln lassen sich in Geräte für das Netzwerk-Switching beziehungsweise Netzwerk-Routing integrieren. Eine andere Möglicheit ist der Einsatz von internen NGFWs, die verschiedene interne Netzwerke segmentieren.

Geräten zu vertrauen wird zu einem immer entscheidenderen Element bei den Maßnahmen zur Netzwerksicherheit. Das gilt besonders dann, wenn das Unternehmen erlaubt, dass privat mitgebrachte Geräte (Bring Your Own Device, BYOD) sich mit dem internen Netzwerk verbinden. Der Trend zu BYOD birgt ein erhebliches Risiko für ein Netzwerk, weil mitgebrachte Geräte eventuell nicht sicher genug sind in Sachen Betriebssystem, Anwendungen und den Virenschutz. In einem Worst-Case-Szenario könnte ein Anwender eine Netzwerkverbindung mit einem von Malware befallenen Gerät aufbauen, das daraufhin alle Geräte und Server infizieren würde, auf die es zugreift. Um dies zu verhindern, lässt sich mit NAC der Sicherheitsstatus des Gerätes einschätzen und so ermitteln, welche Hardware vorliegt und welches Betriebssystem und welcher Virenschutz darauf laufen. Außerdem kann man herausfinden, ob das Gerät vorgegebene Standards erfüllt. Falls nicht, erhält der Anwender entweder überhaupt keinen Zugriff, oder er wird so lange in einem Quarantänesegment des Netzwerks geparkt, bis die Probleme geklärt sind.

Bereitstellungsort von Netzwerksicherheits-Tools

Viele Sicherheits-Tools lassen sich entweder lokal oder als Cloud-Dienst bereitstellen. Sicherheits-Tools in der Cloud werden aus zwei wichtigen Gründen zunehmend populär. Erstens macht es Cloud-basierte Sicherheit unnötig, dass Sicherheits-Administratoren das Tool auf einer unteren Ebene verwalten. Der Service-Provider ist für das Funktionieren der Netzwerkkonnektivität, Patches/Updates und sonstige Infrastrukturaufgaben auf einer tieferen Ebene verantwortlich. Dadurch können sich Ihre Security-Administratoren auf das Konfigurieren und Verwalten des Sicherheits-Tools selbst konzentrieren.

Der zweite Vorteil, Maßnahmen für die Netzwerksicherheit über die Cloud bereitzustellen, besteht darin, dass sie sich leichter nutzen lassen, wenn Ihr Netzwerk in hohem Maße verteilt ist. In der Vergangenheit war es zum Beispiel so, dass man extra eine Remote-Site eingerichtet hat, um den gesamten Web-Traffic zurück zur Unternehmenszentrale zu leiten, so dass er durch ein SWG gefiltert werden konnte. Die Kosten, ein SWG an jedem Standort bereitzustellen, waren häufig zu hoch. Traffic erst wieder zum Hauptsitz zu routen, war aus diesem Grund die kostengünstigste Lösung.

Allerdings führte dieses Design oft zu Single Points of Failure und erhöhte die Netzwerklatenz, falls die Remote-Site über keine redundanten WAN-Verbindungen verfügte und sich weit weg von der Firmenzentrale befand. Das Verschieben von SWGs in die Cloud beseitigt potenzielle Single Points of Failure und reduziert die Latenz erheblich. Cloud-Provider sind oftmals geografisch verteilt, und Ihre SWGs können praktisch überall auf der Welt bereitgestellt werden, so dass sich das SWG näher an jeder Remote-Site befindet. Diese Taktik kann Latenzprobleme wesentlich reduzieren. Diese waren bei älteren Designs, die den gesamten Internet-Traffic zu einem zentralen Standort zurücktransportierten, immanent.

Effizienz von Produkten als Teil einer Defense-in-Depth-Strategie

Es ist entscheidend, dass eine Security-Architektur als einheitliche Defense-in-Depth-Strategie betrachtet wird. Zu diesem Zweck müssen viele Maßnahmen zur Netzwerksicherheit ineinandergreifen, um die Performance zu optimieren und die Effizienz zu verbessern. Wenn Sie anfangen, Produkte von verschiedenen Anbietern zu prüfen, achten Sie darauf, dass Sie verstehen und durch Tests bestätigen, von welchen anderen Sicherheits-Tools die Anwendung möglicherweise abhängig ist. Dadurch stellen Sie sicher, dass Sie das richtige Security-Tool für diese spezielle Aufgabe besitzen sowie andere Komponenten, die sich darin integrieren.

Es ist entscheidend, dass eine Sicherheits-Architektur als einheitliche Defense-in-Depth-Strategie betrachtet wird.

Ein typisches Beispiel: Einige Malware-Sandboxes arbeiten komplett unabhängig. Die gesamten Daten fließen durch die Sandbox, und das Malware-Sandbox-Tool filtert den legitimen Traffic aus, während es verdächtig wirkende Daten kennzeichnet – die deshalb zusätzlich getestet werden müssen. Doch andere Malware-Sandboxes sind darauf angewiesen, dass NGFWs und/oder SWGs Daten als verdächtig kennzeichnen. Aus diesem Grund müssen Sie dafür sorgen, dass Ihre NGFWs und SWGs die Funktionen auch ausführen können, die die Malware-Sandbox verlangt.

Darüber hinaus müssen alle Ihre Maßnahmen für die Netzwerksicherheit eng mit Ihrer SIEM-Plattform (Security Information and Event Management) verzahnt sein. Die Rolle von SIEM besteht darin, Ereignis- und Protokolldaten von den unterschiedlichen Sicherheits-Tools zu sammeln und an einer zentralen Stelle zusammenzufassen. Anschließend kann SIEM die Daten analysieren, um Muster von potenziellen Sicherheitsrisiken und Compliance-Probleme zu erkennen. Obwohl die meisten Methoden zur Datenerfassung auf Standards basierende Protokollierung und Simple Network Management Protocol (SNMP) nutzen, ist es wichtig, zu überprüfen, dass das Sicherheits-Tool Ihrer Wahl zu der SIEM-Lösung passt, die Sie bereits haben oder künftig implementieren wollen.

Im nächsten und letzten Artikel dieser Serie werden wir die in diesem Beitrag behandelten Kriterien auf einige häufig bereitgestellte Unternehmensnetzwerke anwenden. Dann werden wir sehen, welche der heute erhältlichen Top-Produkte sich am besten für die Netzwerk- und Sicherheitsumgebung im Unternehmensumfeld eignen – und zwar sowohl aus Sicht der Architektur als auch aus einer integrierten Defense-in-Depth-Perspektive.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksoftware

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close