Palo Alto Networks empfiehlt User-to-IP-Mapping-Strategie

5 Tipps für die nutzer­basierte Zugriffskontrolle

| Autor / Redakteur: Bernhard Lück / Andreas Donner

Endbenutzer haben häufig an mehreren Standorten mehrere Geräte, Betriebssysteme und Anwendungsversionen im Einsatz.
Endbenutzer haben häufig an mehreren Standorten mehrere Geräte, Betriebssysteme und Anwendungsversionen im Einsatz. (Bild: © - sdecoret – Fotolia.com)

Endbenutzer sind ein Sicherheitsrisiko: Sie wechseln die Standorte und nutzen mehrere Geräte, um auf Daten zuzugreifen. Ein Unternehmen muss deshalb wissen, wer die Netzwerkbenutzer sind und welche Risiken aus dem jeweils verwendeten Gerät hervorgehen.

Endbenutzer sind eine chronische Schwachstelle in der Sicherheitsinfrastruktur von Netzwerken, und mit zunehmender Mobilität droht sich das Problem weiter zu verschärfen, mahnt das Sicherheitsunternehmen Palo Alto Networks. Daher sei es jetzt entscheidend, zu ermitteln, wer die Netzwerkbenutzer – jenseits nur der IP-Adresse – sind.

Das Bedrohungsrisiko, das unwissentlich von den Nutzern erhöht werde, gelte es in den Griff zu bekommen. Hier würde sich eine benutzerbasierte Zugriffskontrolle anbieten. Damit lasse sich der Zugriff auf sanktionierte Anwendungen erlauben, basierend auf Daten zur Benutzeridentität und nicht auf IP-Adressen. Dies verschaffe einen Einblick, wer welche Anwendungen im Netzwerk verwendet und welche Dateien übertragen werden und möglicherweise Bedrohungen darstellen.

Bei ordnungsgemäßer Anwendung könne die benutzerbasierte Zugriffskontrolle die Reaktionszeiten bei einem Vorfall reduzieren und das Sicherheitsniveau maßgeblich erhöhen. Die Sicherheitsexperten von Palo Alto Networks haben fünf Tipps für Administratoren und Sicherheitsverantwortliche zusammengestellt, wie sich User-ID-Technologie optimal nutzen lässt.

1. Benutzerumgebung und Architektur des Unternehmens verstehen

Administratoren und Sicherheitsverantwortliche sollten wissen, an welchen Standorten das Unternehmen aktiv ist (Hauptniederlassung/Hauptcampus, Zweigstellen und sonstige entfernte Standorte), und welche Authentifizierungsmethode an jedem Standort verwendet wird – melden sich Benutzer direkt bei den Verzeichnisservern an oder müssen sie sich an WLAN-Controllern, VPN-Systemen oder Network-Access-Control-Geräten (NAC) authentifizieren und autorisieren. Zudem sollten die Betriebssysteme an jedem Standort bekannt sein. Es könnten heterogene Umgebungen mit Windows, Mac und Linux oder homogene Umgebungen mit nur einem Betriebssystem existieren. Auch die Kenntnis, wie sich Endpunkte im Netzwerk anmelden können, und ob Endpunkte vor der Anmeldung am Netzwerk identifiziert und authentifiziert werden, ist von Belang.

2. Unterstützte User-to-IP-Mapping-Strategien ermitteln und bestimmen

Es gilt zu ermitteln, welche Benutzer-zu-IP-Zuordnungsstrategien von der eigenen Next-Generation-Firewall unterstützt werden. Eine Anzahl von Mechanismen werden typischerweise unterstützt, um Benutzer zu identifizieren: Drittanbieter-Proxy-Server, WLAN-Controller, Agenten für Terminaldienste, Verzeichnisdienstprotokolle und vieles mehr. Basierend auf den Erkenntnissen im ersten Schritt sind dann die User-to-IP-Mapping-Strategien, die für die eigene Umgebung gelten, zu wählen.

3. Ausgewählte User-to-IP-Mapping-Strategie implementieren

Beim Implementieren der ausgewählten Strategie, das Verhalten des Benutzers sichtbar zu machen, ist die Zusammenarbeit mit anderen Teammitgliedern, wie IT-Architekten, Sicherheitsbetreibern und Netzwerkadministratoren wichtig. Diese Sichtbarkeit ermöglicht die Identifizierung von Aktivitäten und Nutzungsmustern, die nicht an die IP-Adressen, sondern an die Benutzer gebunden sind, einschließlich Einsichten wie:

  • aktivste Benutzer und Browserverlauf,
  • Top-Anwendungen, die in den letzten 24 Stunden von Nutzern der Marketinggruppe abgerufen werden,
  • die Nutzung von Software-as-a-Service (SaaS) für jeden einzelnen Benutzer.

Damit stehen wertvolle Daten zur Verfügung, um Kriterien für die benutzerbasierte Zugriffskontrolle zu formulieren.

4. Richtlinien sicherstellen

Bevor die User-ID-Technologie ausgerollt wird, muss sichergestellt sein, dass unterstützende Richtlinien vorhanden sind, um die Zugriffsparameter zu definieren. Typischerweise werden solche Richtlinien durch die Personal- und/oder Rechtsabteilung vorgegeben. Sind solche Richtlinien nicht vorhanden, müssen sie mit den Abteilungen zusammen definiert werden, wobei benutzerbasierte Nutzungsberichte als Leitfaden dienen können. Darüber hinaus empfiehlt sich bei der Definition von benutzerbasierten Zugriffskontrollen, diese basierend auf Gruppen, anstatt auf einzelne Benutzer vorzunehmen. So lassen sich Richtlinien vereinfachen und der Verwaltungsaufwand auf ein Minimum reduzieren.

5. Benutzerbasierte Zugriffsrichtlinie implementieren

Sobald die entsprechenden Geschäftsrichtlinien festgelegt und die Benutzergruppen definiert sind, können benutzerbasierte Zugriffskontrollen implementiert werden. Erst sollte eine Liste von Sicherheitsregeln erstellt werden, welche akzeptable Anwendungen und Websites auflisten und den Zugriff auf alle anderen verweigern, danach kann die Richtlinie für die einzelnen Gruppen implementiert werden.

„Die von den neuen Zugriffskontrollen betroffenen Benutzergruppen werden wahrscheinlich Fragen haben. Kommunikation ist hier der Schlüssel. Lassen Sie die betroffenen Benutzergruppen wissen, was Sie planen, und wann Sie planen, etwas durchzuführen“, rät Martin Zeitler, Senior Manager System Engineering bei Palo Alto Networks. „Unternehmen können auch in Erwägung ziehen, ein spezielles Incident-Response-Team zu bilden, um Anfragen im Zusammenhang mit der Implementierung zu bearbeiten und die Informationssicherheit und den Datenschutz bei der Verarbeitung zu gewährleisten.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44514203 / Endpoint)