Software-defined Protection von Check Point

SDN-basierte Sicherheitsarchitektur

| Autor / Redakteur: Michael Matzer / Peter Schmitz

Die Drei-Schichten-Architektur von Check Point SDP trennt Verwaltungs- und Kontrollebene von der Durchsetzungsebene und nutzt dazu Techniken des Software-defined Networking (SDN).
Die Drei-Schichten-Architektur von Check Point SDP trennt Verwaltungs- und Kontrollebene von der Durchsetzungsebene und nutzt dazu Techniken des Software-defined Networking (SDN). (Bild: Georg Preissl - Fotolia.com)

Software-defined Networking (SDN) ist der neue, große Trend in der IT. Der Firewall-Pionier Check Point hat jetzt eine Sicherheitsarchitektur namens "Software-defined Protection" (SDP) vorgestellt. Sie nutzt die Möglichkeiten von Software-defined Networking für Durchsetzung, Kontrolle und Verwaltung von Sicherheitsrichtlinien und Gefahreninformationen.

Check Point SDP schützt auf den drei Ebenen Kontrolle, Durchsetzung und Verwaltung ein Unternehmensnetzwerk u.a. vor Advanced Persistent Threats (APTs), die versuchen, sich von einem Punkt über das ganze Netzwerk auszubreiten und dabei immer weitreichendere Zugriffsrechte zu erlangen.

Indem der Admin mit Hilfe von SDN sein Netzwerk in logische Segmente aufteilt und zwischen den Segmenten Kontrollpunkte errichtet, erschwert er es den APTs, ihr Ziel zu erreichen. Die drei SDP-Ebenen sind eine Weiterentwicklung der drei Ebenen „People", „Policies" und „Enforcement", die Check Point "3D Security" umsetzte. Dies war wiederum eine direkte Weiterentwicklung der NextGeneration Firewall von Check Point.

Die Vorstellung, das es genügt, den Perimeter zu sichern, taugt nicht mehr für die heutige Bedrohungslandschaft. "Deshalb muss die Sicherheit ein Bestandteil der inneren Architektur eines Netzwerks sein", sagt Bernd Ullritz, Security Evangelist bei Check Point.

Sichere Netzwerksegmentierung dank SDP

Mit Hilfe der Möglichkeiten von Software-defined Networking (SDN) lassen sich laut Ullritz die drei notwendigen Ebenen für diese netzwerk-basierte modulare und agile Sicherheitsarchitektur umsetzen: Durchsetzung, Kontrolle und Verwaltung. So können Netzwerk-Admins bekanntlich mit SDN auf einfache Weise Netzwerkbereiche segmentieren und überwachen, bis sie nur für sehr wenige befugte Nutzer zugänglich sind.

Die Drei-Schichten-Architektur trennt die Kontrollebene von der Durchsetzungsebene ab. Auf der Kontrollebene in der Mitte erhält das System laufend Sicherheits-Updates aus der Check Point Threat Cloud. Diese Quelle, gespeist aus CERTs und CSIRT-Teams und anderen Informationsgebern, spielt also für den Echtzeitschutz eine wesentliche Rolle. Andererseits soll Threat Intelligence auch aus der Analyse von abgewehrten internen Bedrohungen gewonnen werden.

Sobald ein Alert oder Update dies nötig macht, reagiert die Kontrollebene laut Ullritz "binnen acht bis zehn Sekunden" in Real-Time mit einer neuen Protection oder Regel auf diese neue Bedrohung. Diese Regel gibt die Kontrollebene sofort an die Durchsetzungsebene weiter. Diese Schicht umfasst sämtliche Schutzrichtlinien für alle zu schützenden Anlagen, seien sie physisch, mobil, virtuell oder gehostet (Cloud).

Hier findet auch die SDP-basierte Segmentierung des Netzwerks statt. An den Kontaktpunkten zwischen den Ebenen wie auch zwischen Netzwerksegmenten lassen sich Sicherheitskontrollen einrichten, um Bedrohungen abzuwehren. Die Kontrollebene setzt dabei auch alle Zugriffskontrollen um.

Zusätzlich werden laut Ullritz Distributed Denial-of-service Attacken durch die Einführung intelligenter Abwehrmechanismen, die in 8 bis 15 Sekunden notwendige Filter setzen, keine Chance gegeben. Umgekehrt haben bereits infizierte Bot-Rechner keine Chance, mit ihrem Command & Control Server Kontakt aufzunehmen.

Auf der Verwaltungsebene wird die gesamte Infrastruktur orchestriert und gemäß den Anforderungen, etwa bei einem Angriff, agil mit Informationen versorgt. So soll der Ausfall von Systemen verhindert werden. Hier ist auch das gesamte Identity Management verankert, das mit den Rollen im Directory und dem Asset Management verknüpft ist. Hier bringen sich die Systemverwalter ein, sowohl mit unternehmensweiten Richtlinien, als auch um Einblick über die Systeme und Vorfälle innerhalb der SDP-Architektur zu erhalten. Vorfälle, die hier sichtbar werden, bzw. deren Behandlung leitet die Verwaltungsebene aber auch automatisch an die Kontroll- und Durchsetzungsebenen weiter, um sie zu behandeln.

Check Point bietet die SDP Architektur über alle aktuellen Gateway- und Management-Appliances an, die alle über das Checkpoint-Betriebssystem GAiA verfügen. Damit überhaupt die SDP-Methodik umgesetzt werden kann, werden auch virtuelle Gateways unterstützt, über die sich dann weitere Gateways, Router und Switches anbinden lassen. Die Kapazität der Appliances soll laut Ullritz vom Klein- bis zum Großunternehmen für SDP-Zwecke ausreichend sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42561546 / Netzwerk-Security-Devices)