SDN, Sicherheit, Automatisierung und Co.

Netzwerke im Unternehmen richtig absichern

19.05.2014 von Andreas Schaffry

Komplexe Netzwerkinfrastrukturen in Rechenzentren lassen sich mit Software-defined Networks (SDN) und einem automatisierten Rules-Management besser absichern.

Hochverfügbare und sichere IT-Prozesse sind für Unternehmen wettbewerbsrelevant. Doch in firmeneigenen Rechenzentren steigt die Komplexität. Dafür gibt es eine Reihe von Gründen. Die zu verarbeitenden Datenmengen wachsen rasant, es werden verstärkt webbasierte, skalierbare Business-Applikationen eingesetzt, und der Trend zur Virtualisierung von Servern hält unvermindert an. Hinzu kommt, dass viele Unternehmen die bisher in regionalen Rechenzentren betriebenen IT-Prozesse ihrer Tochtergesellschaften in einem zentralen Rechenzentrum konsolidieren und verwalten.

Netzwerksicherheit wird vernachlässigt

Doch je komplexer die Strukturen in einem Rechenzentrum werden, desto höher sind auch die Anforderungen an die Absicherung der dort betriebenen Applikationen und gespeicherten Daten. Etwas mehr als die Hälfte der IT-Verantwortlichen sind der Auffassung, dass sie ihre Netzwerkinfrastrukturen im Rechenzentrum modifizieren müssen, um die gestiegenen Anforderungen an die Firewall größtenteils oder in einem bestimmten Umfang zu erfüllen.

Fahrlässig: Viele Unternehmen vernachlässigen ihre Netzwerksicherheit. Einer Umfrage der CIO-Schwesterpublikation Network World zufolge verfügt nur ein Drittel der befragten Firmen über ein automatisiertes Security-Rules-Management.
Foto: Network World

Das hat die CIO.de-Schwesterpublikation Network World in der Untersuchung "Data Center Dinosaur. Adapt or die" herausgefunden, die in Zusammenarbeit mit dem US-Marktforscher Enterprise Strategy Group und dem Netzwerkausrüster Cisco entstanden ist. Die Ergebnisse basieren auf den Angaben von mehr als 200 IT-Verantwortlichen in Unternehmen, die mehr als 1000 Mitarbeiter beschäftigen.

Knapp drei Viertel der Unternehmen sind der Auffassung, dass ihre aktuelle Firewall und das Intrusion Detection System (IDS) beziehungsweise das Intrusion Prevention System (IPS) die steigenden Anforderungen nicht mehr erfüllen. So wird die lückenhafte Netzwerksicherheit zur Bedrohung für die IT und das Business. CIOs stehen hier aber vor einem Dilemma: Business- oder IT-Initiativen wie die Entwicklung und Implementierung neuer Applikationen lassen sich nur dann zügig durchführen, wenn Abstriche bei der Absicherung der Netzwerkinfrastrukturen im Rechenzentrum gemacht werden.

Das mag zwar die Manager in den Geschäftsbereichen zufriedenstellen, doch zugleich steigen die Risiken von Sicherheitsverletzungen. Wird das Niveau der Netzwerk- und Informationssicherheit reduziert, rechnen IT-Verantwortliche mit mehr Sicherheitsvorfällen, wie etwa Distributed-Denial-of-Service (DDoS)- oder Zero-Day-Attacken.

Tipps für mehr Netzwerk-Security

CIOs müssten deshalb die bisherigen Modelle zur Absicherung der Netzwerke überdenken und neue Wege gehen. Abhilfe könnte hier die Software-defined-Networks (SDN)-Technologie schaffen, die den Aufbau einer frei konfigurierbaren und flexiblen Netzwerkinfrastruktur ermöglichen soll. Im Unterschied zu herkömmlichen Netzwerk- und Switching-Architekturen wird beim SDN der Kontrollpfad vom Datenpfad und somit vom physikalischen Netzwerk getrennt. Dadurch lassen sich die Datenflüsse im Netzwerk direkt zu den Security-Services leiten, ohne dass Änderungen am physikalischen Netzwerk nötig sind. Ebenso könnten über SDN die aktuell benötigten Sicherheits-Services bereitgestellt und auch an künftige Anforderungen angepasst werden.

Security-Policies durchsetzen -

Next Generation Firewall
Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung. Als Risiko eingestufte Anwendungen lassen sich blockieren, ohne für den Nutzer den kompletten Internetzugriff zu verhindern.

Webfilter
Webfilter-Dienste wie der Barracuda Web Security Service bieten nicht nur die Möglichkeit, bestimmte Internetadressen zu erlauben oder zu blockieren. Die Zugriffsregelung kann zum Beispiel von der Zeit abhängig gemacht werden, so dass beispielsweise bestimmte Online-Dienste während der Arbeitszeit für die jeweiligen Nutzer nicht zugänglich sind.

Policy-Manager
Während URL- und Content-Filter das Aufrufen riskanter Seiten und Inhalte unterbinden können, erlaubt es die Application Control wie beispielsweise einer gateprotect Appliance GPZ, granularer vorzugehen und nur bestimmte Teile eines Dienstes oder einer Webseite zu blockieren.

Policy Manager
Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll. Dadurch lassen sich bestimmte, als riskant eingestufte Regionen für den Zugriff sperren.

Security Appliances
Eine Security-Appliance wie aus der Dell SonicWALL SRA-Reihe kann die Zugriffsberechtigung auch von dem Sicherheitsstatus des zugreifenden Gerätes abhängig machen. Die Funktion End Point Control sorgt dann für die Blockade von Geräten, die nicht den definierten Gerätestatus entsprechen. Dazu werden unter anderem Firewall-Einstellung, Betriebssystemversion und installierte Sicherheitslösung auf dem Gerät geprüft und bewertet.

Dem Bericht zufolge gibt es vier Kernanforderungen an die Netzwerk-Security in komplexen Rechenzentren:

Operativen Aufwand bei der Netzwerksicherheit verringern: Mithilfe von SDN-Technologie lässt sich der operative Mehraufwand bei der Organisation der Netzwerksicherheit und dem damit verbundenen Change-Management reduzieren.

Sicherstellen von hoher Performance: Die Netzdienste im Rechenzentrum müssen so leistungsstark sein, das sie Datenpakete zeitnah in Verbindungsleitungen mit Bandbreiten von zehn, 40 und 100 Gigabit pro Sekunde weiterleiten können. Dafür werden effiziente Security-Algorithmen benötigt, die auf extrem schnellen Netzwerkprozessoren und Mehrkern-CPUs laufen.

Vielfältige Spezifikationen erfüllen: Netzwerksicherheitskontrollen schließen unter anderem physische Geräte, virtuelle Appliances sowie Cloud-basierte SaaS-Lösungen ein. Durch den Einsatz von SDN können IT-Sicherheitsverantwortliche die passenden Security-Services relativ einfach spezifizieren und im Netzwerk richtig platzieren.

Sicherheitsaufgaben automatisieren: Bislang hat nur knapp ein Drittel der Firmen ein automatisiertes Regelmanagement für die Firewall implementiert, obwohl die IT-Security-Teams personell unterbesetzt und mit zahlreichen manuellen Prozessen überfrachtet sind. Durch die Automatisierung von Sicherheitsaufgaben bliebe den IT-Sicherheitsexperten mehr Zeit, die Komplexität und das Datenwachstum im Rechenzentrum in den Griff zu bekommen. (hal)