Suchen

Change Management Firewall-Regeln und -Konfiguration automatisch steuern

| Autor / Redakteur: Jürgen Haekel / Stephan Augsten

Netzwerk-Komponenten wie Router, Firewalls und Load Balancer machen heute einen großen Teil der sensiblen IT-Infrastruktur in Unternehmen aus. Um im Netzwerk den Überblick zu behalten, bedarf es in unübersichtlichen Umgebungen spezieller Tools zur Automatisierung.

Firmen zum Thema

In Abetracht der vielen Geräte kann es im Netzwerk schnell sehr unübersichtlich werden.
In Abetracht der vielen Geräte kann es im Netzwerk schnell sehr unübersichtlich werden.
(Bild: Arjuna Kodisinghe - Fotolia.com)

Die Koordination aller Netzwerk-Komponenten hat bei der Umsetzung wirkungsvoller Sicherheitskonzepte heute oberste Priorität. Auch die Einhaltung hoher Compliance-Anforderungen bedarf einer laufend aktuellen Analyse des Ist-Zustands. Diese Aufgabe lässt sich mit steigender Komplexität des Netzwerks und dem Trend zur Dezentralisierung oft nur noch mit Hilfe professioneller Automatisierungstechniken erfüllen.

Schon längst sind die Zeiten einer einzigen zentralen Firewall vorbei; selbst mittelgroße Unternehmen arbeiten mit hunderten Firewalls und sich stetig ändernden Regelwerken. Die Herausforderung, jede einzelne Firewall immer auf dem aktuellen Stand zu halten, bleiben die verwundbarste Stelle jedes Unternehmens, das mit sensiblen Daten hantiert.

Auch wenn Absicherung erste Pflicht ist, bringt heute vor allem die enormer hohe Anzahl von Kommunikationsbeziehungen Firewall-Experten ins Schwitzen. Millionen Pakete pro Tag können in größeren Organisationen schnell auflaufen, davon muss jedes einzelne auf Lücken, Fehler und Wechselwirkungen analysiert und eine nahtlose und zuverlässige Funktion sichergestellt werden.

Je gewissenhafter die Security Policy des Unternehmens, desto problematischer wird die Nachverfolgung, denn nicht selten gehen die implementierten Regeln und Objekte in die Hunderte oder gar Tausende. Ob Server-Cluster, Clients oder komplette Subnetze, für jedes Objekt müssen Berechtigungen und Updates zeitkritisch verwaltet werden.

Komplexität ist ein unverzichtbares Risiko

Die gestiegene Komplexität in der Netzwerkarchitektur wird nirgends so deutlich (aber auch so kritisch) wahrgenommen wie bei Sicherheitsverantwortlichen. Der Grad der Virtualisierung von Netzwerken rennt den Anpassungen der Security-Konzepte davon. Das ist insofern nicht verwunderlich, als in einem stark zergliederten Netzwerk ein Gerät nicht unbedingt wissen muss, wo sich die Zieldaten genau befinden.

Bei der Installation einer Firewall-Konfigurationsänderung darf keine unnötige Kommunikation zugelassen werden, dennoch muss der Dynamik in einer virtuellen Umgebung Rechnung getragen werden. Die beiden Ansprüche stehen in einem direkten Widerspruch und können mit Tool-gestützter Hilfe in Einklang gebracht werden. Auch die Zahl der möglichen Angriffsvektoren erhöht sich zunehmend, umso mehr müssen sich Unternehmen auf die Firewall-Konfiguration verlassen können.

Das Hauptaugenmerk der IT-Administration liegt folglich in deren laufender Optimierung und Aktualisierung. Anstelle fester Konfigurationen werden heute virtuelle Server je nach Bedarf neu zusammengestellt und Produkte unterschiedlichster Hersteller unter einem Dach zusammengefasst. Die Anpassung von Sicherheitsmaßnahmen an diese Dynamik birgt die Gefahr des Übersehens entstehender Lücken ebenso wie eine durch den enormen Aufwand verspätete Implementierung essentieller Updates.

Mit der Komplexität der Netzwerk-Infrastruktur und der Änderungshäufigkeit steigt auch die Fehleranfälligkeit bei manueller Administration. Gerade wenn Regeln nur für begrenzte Zeit sinnvoll anwendbar sind, beispielsweise in einer speziell nur für ein bestimmtes Projekt erstellten Zugriffsberichtigungen, kann deren Deaktivierung unvollständig oder fehlerhaft erfolgen. Auch die Business Continuity leidet unter ungewollten Einschränkungen beim Zugriff auf Server oder Applikationen.

(ID:43391931)