Absicherung von Internet-of-Things-Geräten in Unternehmen SD-WAN-Edge-Plattform für mehr Sicherheit bei IoT-Geräten

Autor / Redakteur: Axel Simon / Dipl.-Ing. (FH) Andreas Donner

In Unternehmen werden zunehmend mehr IoT-Geräte eingesetzt, wodurch sich Geschäftsprozesse leichter überwachen, automatisieren und optimieren lassen – von der Fertigungsstraße und der Automatisierung von Heizung, Lüftung und Klimaanlage (HLK) bis hin zur Energiesparbeleuchtung. IoT macht Unternehmen effizienter – aber auch komplexer und angreifbarer.

Firmen zum Thema

IoT-Geräte automatisieren Geschäftsabläufe und steigern die betriebliche Effizienz. Die damit wachsenden Sicherheitsherausforderungen lassen sich mit hochentwickelten SD-WAN-Edge-Plattformen beherrschen.
IoT-Geräte automatisieren Geschäftsabläufe und steigern die betriebliche Effizienz. Die damit wachsenden Sicherheitsherausforderungen lassen sich mit hochentwickelten SD-WAN-Edge-Plattformen beherrschen.
(Bild: © ipopba - stock.adobe.com)

Beispiele für IoT-Geräte in Unternehmen sind Point-of-Sale-Kartenlesegeräte (PoS), Heizungs-, Lüftungs- und Klimasteuerungssysteme, IP-Überwachungskameras, Durchflusssensoren oder intelligente Lüftungssysteme. All diese Geräte sind mit dem Netzwerk verbunden und kommunizieren über das Internet mit einem Kontrollzentrum.

Das Kontrollzentrum befindet sich wiederum in einer Public Cloud-Umgebung wie AWS, Azure, Google Cloud oder einem Unternehmensrechenzentrum. An diesem Ort werden die großen Datensätze der IoT-Geräte gespeichert und analysiert. Da sich die Kameras, Sensoren, Lüftungssysteme, etc. über das Internet verbinden, setzt sich das Unternehmen einer zusätzlichen Bedrohung aus.

Zero-Trust-Netzwerkzugang

Unter einer Zero-Trust-Network-Access-Lösung (ZTNA) versteht man die Sicherung von mobilen Geräten. Eine ZTNA-Lösung basiert auf dem Zero-Trust-Modell und wird über einen Endpunkt-Agent gesteuert, der auf einem Endgerät wie einem Laptop, Tablet oder Mobiltelefon installiert wird. Dieser Software-Agent leitet den Datenverkehr vom Endgerät an einen in der Cloud bereitgestellten Sicherheitsdienst, bevor er an eine SaaS-Anwendung oder einen IaaS-Anbieter weitergeleitet wird.

Im Gegensatz zu Tablets und Smartphones können ZTNA-Software-Agenten jedoch nicht auf IoT-Geräten installiert werden, da diese agentenlos sind – d.h., die Installation von Software-Agenten auf IoT-Geräten wird nicht unterstützt. Aus diesem Grund benötigen Unternehmen eine andere Sicherheitslösung, um das Unternehmensnetzwerk vor Eindringlingen über IoT-Devices zu schützen.

SD-WAN-Edge-Plattform sorgt für mehr Sicherheit bei IoT-Geräten

Mit einer hochentwickelten, geschäftsorientierten SD-WAN-Edge-Plattform können Unternehmen das Risiko von Sicherheitsverletzungen im Zusammenhang mit IoT-Geräten verringern. Eine hochentwickelte SD-WAN-Plattform identifizieret und klassifizieret den Daten-Traffic der Anwender beim ersten Paket, fängt ihn am Netzwerkrand (Edge) in einer geeigneten Zone oder einem Segment ab und isoliert den IoT-Verkehr von anderem Verkehr im Netzwerk. Eine SD-WAN-Plattform orchestriert eine End-to-End-Segmentierung, die das WLAN, kabelgebundene Netzwerke und Wide Area Networking (WAN) sowie das Data-Center/Cloud-LAN-WAN umfasst. Das Ergebnis sind konsistente und automatisierte Sicherheitsrichtlinien und eine größere Transparenz.

Mit der End-to-End-Segmentierung können Unternehmen isolierte Segmente für den Datenverkehr von IoT-Geräten erstellen. Für jedes Segment kann dann eine unabhängige Sicherheitsrichtlinie definiert werden. Da der Verkehr in einem Segment vom Verkehr in anderen Segmenten isoliert ist, wird ein unbefugter Zugriff auf breitere Netzwerksegmente verhindert. Selbst wenn eine Bedrohung auftreten sollte, sind die Auswirkungen auf das Segment, in dem sie entstanden ist, beschränkt. Mit einer integrierten, zonenbasierten Stateful-Firewall können Unternehmen zudem Remote-Standorte und IoT-Geräte vor potenziellen Bedrohungen schützen, indem sie diese blockieren.

Standort mit agentenlosen IoT-Geräten.
Standort mit agentenlosen IoT-Geräten.
(Bild: Silver Peak / HPE/Aruba)

Die abgebildete Grafik zeigt einen Standort mit agentenlosen IoT-Geräten wie PoS- und HLK-Systemen. Die Anwendungen der Geräte werden von einer hochentwickelten SD-WAN-Edge-Plattform identifiziert. Eine Systemrichtlinie fängt den PoS-Datenverkehr ab und leitet ihn an das Unternehmensrechenzentrum weiter, das die Anwendung zur Verarbeitung von Kreditkartentransaktionen hostet. Vorhandene Firewall-Sicherheitsdienste der nächsten Generation werden eingesetzt, um den Datenverkehr zu überprüfen.

Richtlinien helfen auch den HLK-Datenverkehr des HLK-Systems zu segmentieren und leiten ihn zur Sicherheitsüberprüfung an den in der Cloud bereitgestellten Sicherheitsanbieter weiter – wie Checkpoint, McAfee, Netskope, Palo Alto Networks oder Zscaler. Die Sicherheitsprüfung erfolgt, bevor der Datenverkehr das IoT-Kontrollzentrum erreicht, das in der Public Cloud gehostet wird. Da der IoT-Verkehr gemäß den Unternehmensrichtlinien isoliert wird, gefährdet ein Verstoß im HLK-Segment nicht die Kreditkarten- und personenbezogenen Daten im PoS-Segment.

Die segmentierten Richtlinien helfen Unternehmen auch bei PCI- (oder anderen) Compliance-Anforderungen. Wie in diesem Beispiel gezeigt, kann eine umfassende Sicherheitsimplementierung mit einer hochentwickelten SD-WAN-Edge-Plattform die heutigen Cloud-first-Unternehmen auf ihrer Transformationsreise besser schützen, während sie die Vorteile des IoT nutzen.

Mit fortschrittlichem SD-WAN IoT-Geräte absichern

Mit einer hochentwickelten SD-WAN-Plattform können Unternehmen IoT-Geräte hinter der integrierten zonenbasierten Firewall schützen, den Datenverkehr von IoT-Geräten dynamisch identifizieren, individuelle Richtlinien konfigurieren und das Netzwerk granular segmentieren, um Compliance-Anforderungen zu erfüllen.

Eine hochentwickelte SD-WAN-Edge-Plattform verfügt zudem über intelligente Auswahl verschiedenster WAN-Verbindungen, wie MPLS, Breitband und LTE/5G, die das Underlay-Netzwerk vor Spannungsabfällen oder Stromausfällen schützt. Die Plattform überwacht den Zustand des Unternehmensnetzwerks und der IoT-Anwendungen kontinuierlich, erkennt veränderte Bedingungen – einschließlich eines DDoS-Angriffs – und löst sofort automatisierte Reaktionen in Echtzeit aus.

Fazit

IoT-Geräte automatisieren Geschäftsabläufe, steigern die betriebliche Effizienz und liefern Informationen in Echtzeit. Da Unternehmen immer mehr vernetzte Geräte einsetzen, sind die zu bewältigenden Sicherheitsherausforderungen von entscheidender Bedeutung. Mit dem Einsatz einer hochentwickelten SD-WAN-Edge-Plattform können Unternehmen den reibungslosen Geschäftsbetrieb gewährleisten, indem IoT-Investitionen identifiziert und segmentiert werden.

Axel Simon.
Axel Simon.
(Bild: HPE/Aruba)

Über den Autor

Axel Simon ist seit November 2015 Chief Technologist Networking für Deutschland bei HPE/Aruba. In dieser Funktion ist er verantwortlich dafür, die mit der digitalen Transformation einhergehenden Kundenanforderungen an End-to-End-Networking-Lösungen mit dem gesamten HPE/Aruba-Portfolio in Einklang zu bringen.

(ID:47598224)