SDN, Sicherheit, Automatisierung und Co.
Netzwerke im Unternehmen richtig absichern
Tipps für mehr Netzwerk-Security
CIOs müssten deshalb die bisherigen Modelle zur Absicherung der Netzwerke überdenken und neue Wege gehen. Abhilfe könnte hier die Software-defined-Networks (SDN)-Technologie schaffen, die den Aufbau einer frei konfigurierbaren und flexiblen Netzwerkinfrastruktur ermöglichen soll. Im Unterschied zu herkömmlichen Netzwerk- und Switching-Architekturen wird beim SDN der Kontrollpfad vom Datenpfad und somit vom physikalischen Netzwerk getrennt. Dadurch lassen sich die Datenflüsse im Netzwerk direkt zu den Security-Services leiten, ohne dass Änderungen am physikalischen Netzwerk nötig sind. Ebenso könnten über SDN die aktuell benötigten Sicherheits-Services bereitgestellt und auch an künftige Anforderungen angepasst werden.
- Next Generation Firewall
Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung. Als Risiko eingestufte Anwendungen lassen sich blockieren, ohne für den Nutzer den kompletten Internetzugriff zu verhindern. - Webfilter
Webfilter-Dienste wie der Barracuda Web Security Service bieten nicht nur die Möglichkeit, bestimmte Internetadressen zu erlauben oder zu blockieren. Die Zugriffsregelung kann zum Beispiel von der Zeit abhängig gemacht werden, so dass beispielsweise bestimmte Online-Dienste während der Arbeitszeit für die jeweiligen Nutzer nicht zugänglich sind. - Policy-Manager
Während URL- und Content-Filter das Aufrufen riskanter Seiten und Inhalte unterbinden können, erlaubt es die Application Control wie beispielsweise einer gateprotect Appliance GPZ, granularer vorzugehen und nur bestimmte Teile eines Dienstes oder einer Webseite zu blockieren. - Policy Manager
Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll. Dadurch lassen sich bestimmte, als riskant eingestufte Regionen für den Zugriff sperren. - Security Appliances
Eine Security-Appliance wie aus der Dell SonicWALL SRA-Reihe kann die Zugriffsberechtigung auch von dem Sicherheitsstatus des zugreifenden Gerätes abhängig machen. Die Funktion End Point Control sorgt dann für die Blockade von Geräten, die nicht den definierten Gerätestatus entsprechen. Dazu werden unter anderem Firewall-Einstellung, Betriebssystemversion und installierte Sicherheitslösung auf dem Gerät geprüft und bewertet.
Dem Bericht zufolge gibt es vier Kernanforderungen an die Netzwerk-Security in komplexen Rechenzentren:
Operativen Aufwand bei der Netzwerksicherheit verringern: Mithilfe von SDN-Technologie lässt sich der operative Mehraufwand bei der Organisation der Netzwerksicherheit und dem damit verbundenen Change-Management reduzieren.
Sicherstellen von hoher Performance: Die Netzdienste im Rechenzentrum müssen so leistungsstark sein, das sie Datenpakete zeitnah in Verbindungsleitungen mit Bandbreiten von zehn, 40 und 100 Gigabit pro Sekunde weiterleiten können. Dafür werden effiziente Security-Algorithmen benötigt, die auf extrem schnellen Netzwerkprozessoren und Mehrkern-CPUs laufen.
Vielfältige Spezifikationen erfüllen: Netzwerksicherheitskontrollen schließen unter anderem physische Geräte, virtuelle Appliances sowie Cloud-basierte SaaS-Lösungen ein. Durch den Einsatz von SDN können IT-Sicherheitsverantwortliche die passenden Security-Services relativ einfach spezifizieren und im Netzwerk richtig platzieren.
Sicherheitsaufgaben automatisieren: Bislang hat nur knapp ein Drittel der Firmen ein automatisiertes Regelmanagement für die Firewall implementiert, obwohl die IT-Security-Teams personell unterbesetzt und mit zahlreichen manuellen Prozessen überfrachtet sind. Durch die Automatisierung von Sicherheitsaufgaben bliebe den IT-Sicherheitsexperten mehr Zeit, die Komplexität und das Datenwachstum im Rechenzentrum in den Griff zu bekommen. (hal)