Change Management

Firewall-Regeln und -Konfiguration automatisch steuern

| Autor / Redakteur: Jürgen Haekel / Stephan Augsten

In Abetracht der vielen Geräte kann es im Netzwerk schnell sehr unübersichtlich werden.
In Abetracht der vielen Geräte kann es im Netzwerk schnell sehr unübersichtlich werden. (Bild: Arjuna Kodisinghe - Fotolia.com)

Netzwerk-Komponenten wie Router, Firewalls und Load Balancer machen heute einen großen Teil der sensiblen IT-Infrastruktur in Unternehmen aus. Um im Netzwerk den Überblick zu behalten, bedarf es in unübersichtlichen Umgebungen spezieller Tools zur Automatisierung.

Die Koordination aller Netzwerk-Komponenten hat bei der Umsetzung wirkungsvoller Sicherheitskonzepte heute oberste Priorität. Auch die Einhaltung hoher Compliance-Anforderungen bedarf einer laufend aktuellen Analyse des Ist-Zustands. Diese Aufgabe lässt sich mit steigender Komplexität des Netzwerks und dem Trend zur Dezentralisierung oft nur noch mit Hilfe professioneller Automatisierungstechniken erfüllen.

Schon längst sind die Zeiten einer einzigen zentralen Firewall vorbei; selbst mittelgroße Unternehmen arbeiten mit hunderten Firewalls und sich stetig ändernden Regelwerken. Die Herausforderung, jede einzelne Firewall immer auf dem aktuellen Stand zu halten, bleiben die verwundbarste Stelle jedes Unternehmens, das mit sensiblen Daten hantiert.

Auch wenn Absicherung erste Pflicht ist, bringt heute vor allem die enormer hohe Anzahl von Kommunikationsbeziehungen Firewall-Experten ins Schwitzen. Millionen Pakete pro Tag können in größeren Organisationen schnell auflaufen, davon muss jedes einzelne auf Lücken, Fehler und Wechselwirkungen analysiert und eine nahtlose und zuverlässige Funktion sichergestellt werden.

Je gewissenhafter die Security Policy des Unternehmens, desto problematischer wird die Nachverfolgung, denn nicht selten gehen die implementierten Regeln und Objekte in die Hunderte oder gar Tausende. Ob Server-Cluster, Clients oder komplette Subnetze, für jedes Objekt müssen Berechtigungen und Updates zeitkritisch verwaltet werden.

Komplexität ist ein unverzichtbares Risiko

Die gestiegene Komplexität in der Netzwerkarchitektur wird nirgends so deutlich (aber auch so kritisch) wahrgenommen wie bei Sicherheitsverantwortlichen. Der Grad der Virtualisierung von Netzwerken rennt den Anpassungen der Security-Konzepte davon. Das ist insofern nicht verwunderlich, als in einem stark zergliederten Netzwerk ein Gerät nicht unbedingt wissen muss, wo sich die Zieldaten genau befinden.

Ergänzendes zum Thema
 
Security-Insider hat nachgefragt: „Gibt man mit Automatisierung nicht zu viel Kontrolle aus der Hand?“

Bei der Installation einer Firewall-Konfigurationsänderung darf keine unnötige Kommunikation zugelassen werden, dennoch muss der Dynamik in einer virtuellen Umgebung Rechnung getragen werden. Die beiden Ansprüche stehen in einem direkten Widerspruch und können mit Tool-gestützter Hilfe in Einklang gebracht werden. Auch die Zahl der möglichen Angriffsvektoren erhöht sich zunehmend, umso mehr müssen sich Unternehmen auf die Firewall-Konfiguration verlassen können.

Das Hauptaugenmerk der IT-Administration liegt folglich in deren laufender Optimierung und Aktualisierung. Anstelle fester Konfigurationen werden heute virtuelle Server je nach Bedarf neu zusammengestellt und Produkte unterschiedlichster Hersteller unter einem Dach zusammengefasst. Die Anpassung von Sicherheitsmaßnahmen an diese Dynamik birgt die Gefahr des Übersehens entstehender Lücken ebenso wie eine durch den enormen Aufwand verspätete Implementierung essentieller Updates.

Mit der Komplexität der Netzwerk-Infrastruktur und der Änderungshäufigkeit steigt auch die Fehleranfälligkeit bei manueller Administration. Gerade wenn Regeln nur für begrenzte Zeit sinnvoll anwendbar sind, beispielsweise in einer speziell nur für ein bestimmtes Projekt erstellten Zugriffsberichtigungen, kann deren Deaktivierung unvollständig oder fehlerhaft erfolgen. Auch die Business Continuity leidet unter ungewollten Einschränkungen beim Zugriff auf Server oder Applikationen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43391931 / Firewalls)