Computerpartner

  
Sie befinden sich hier: HOMENachrichtenKnow HowIT-Grundlagen
09.05.2017

Kommende Netzgeneration beeinträchtigt die IT-Sicherheit

Die Kosten für eine verbesserte Sicherheit reduzieren sich in den Unternehmen zusehends. Dies wirkt sich positiv auf die Geschäftsanwendungen und den IT-Betrieb aus.

M. Hein

In den vergangenen Jahren haben viele Geschichten von Sicherheitsproblemen bei großen Unternehmen Schlagzeilen gemacht. Viele meiner Kunden fragen sich immer wieder: Wie konnte dies diesen Unternehmen passieren könnte, die über extrem große IT-Budgets und erheblichen Personalressourcen verfügen? Die Antwort auf diese Frage ist gleichzeitig einfach und komplex.

Bei diesen Unternehmen findet täglich ein Balanceakt zwischen den Investitionen in neue Technologien und den Kosten für den Betrieb dieser Technologien statt. Die Unternehmen versuchen die Komplexität ihrer Netzwerke möglichst zu minimieren. Leider führt die Minimierung der Netzkomplexität oftmals zu einer Reduzierung der Sicherheit. In der Praxis führt dies zu einer Reduzierung der Netzwerksegmentierung, der Aufteilung des Computernetzwerks in Subnetze.

In einer idealen Welt wird aus Sicht der Sicherheit das Netzwerk so konzipiert, dass jeder Endpunkt über ein eigenes Netzwerksegment verfügt. Einige Sicherheitsexperten bezeichnen diese Segmentierung als "Hyper-Segmentierung". Nutze man traditionelle Netzwerktechnologien, dann wäre die Sicherheit ausreichend. Dies genügt jedoch nicht für Geschäftsanwendungen.

Bei der traditionellen Vernetzung werden VLANs (Virtual Local Area Networks) und Protokolle wie MPLS (Multiprotocol Label Switching) zur Segmentierung der Netzwerke und der Netzwerkbenutzer eingesetzt. Anhand der virtuellen Netze werden die Dienste und Geräte in den verschiedenen Zonen zueinander isoliert. Durch zusätzliche Zonen, die auf jedem Knoten (Switch, Firewall, etc.) für die Netzwerke konfiguriert werden müssen, erhöht sich die Komplexität für die Verwaltung des Netzwerks. Zwangsläufig erhöht sich die Komplexität weiter, wenn weitere Systeme dem Netzwerk hinzugefügt werden. Dies ist der Fall, wenn viele Hindert Internet of Things (IoT) Geräten in die Netze integriert werden. In den meisten Unternehmen werden die Betriebskosten jedoch gegengerechnet, multipliziert, subtrahiert, addiert und dividiert. Folglich wurden in den vergangenen Jahren in vielen Unternehmen die Netzwerksegmentierungen reduziert, um auf Basis reduzierter Netzsegmente die Betriebskosten spürbar zu senken. Eine solche Lösung steht jedoch im Widerspruch zu den bewährten IT-Sicherheits-Frameworks wie ISO 27002, PCI, CoBIT und NIST.

Traditionelles Netzwerk

In den eingangs erwähnten Beispielen von Sicherheitsverletzungen bei großen Unternehmen, wurde nach eingehenden Analysen deutlich, dass ein Mangel an Netzwerksegmentierungen wesentlich zu den Sicherheitsproblemen beigetragen hat. Diese Verstöße gegen die Sicherheit und der Verlust von Kundendaten führte zu erheblichen Folgekosten (Klagen, Strafen und letztendlich die Sanierung der Infrastrukturen).

Größere Unternehmen verfügen typischerweise über mehrere Websites, die durch einzelne logische MPLS- oder VPN-Verbindungen miteinander verbunden sind. Dadurch wird eine gemeinsame Architektur gebildet, die jedoch eine entsprechende Netzwerksegmentierung über die Websites hinweg erfordert. Um die Netzwerksegmentierung zu aktivieren, müssen die entsprechenden Sicherheitszonen verwaltet werden.

Mehrere Networking-Anbieter erkannten die Notwendigkeit einer Netzwerk-Segmentierung und dem Zwang zur Vereinfachung des Managements. Diese Lösungen werden heute als Netzwerk-Virtualisierung bezeichnet. Die Grundlage dieser Virtualisierung der Netzwerke basiert auf dem Konzept, dass während der Konfiguration menschlichen Fehler zu eliminieren sind. Dies führt im Resultat zu einer nahezu unendlichen Netzwerksegmentierung. Inzwischen gibt es zwei Technologienansätze zur Netzwerksegmentierung:

  • Das Dynamic BGP mit GRE Tunneln und
  • das Shortest Path Bridging (SPB/IEEE 802.1aq).

Beim dynamischen BGP mit GRE-Tunneln wird ein weiteres logisches Layer 3-Netzwerk (GRE-Tunneln und dynamisches BGP-Routing) auf den die WebSites verbindenden Schicht 3 Netzwerk-Links hinzugefügt. Dieser Ansatz ist jedoch sehr kompliziert, denn es müssen viele Protokolle gleichzeitig verwaltet werden. Mit dem Anwachsen der Anzahl an weiteren Standorten wird dieser Lösungsansatz immer komplexer. Daher wird dieses Verfahren nur in kleineren Netzkonstellationen genutzt.

Die bessere Alternative stellt das Shortest Path Bridging (SPB) dar. Durch SPB wird der traditionelle Netzwerk-Stack von über 20 Netzwerkprotokollen ersetzt und reduziert diese in einem Protokoll. Das Shortest Path Bridging ist in der Lage, Millionen von Netzwerksegmenten sowohl zwischen als auch innerhalb von Standorten bereitstellen. Das SPB sorgt für eine Skalierung von Carrier-Netzen und ermöglicht gleichzeitig die Bereitstellung eines Unternehmensnetzwerks über mehrere aktive Pfade. Dies vereinfacht die bisherigen Netzwerk-Segmentierungsprobleme und verbessert folglich auch die Sicherheit. Mit SPB lassen sich Sicherheitszonen problemlos über MPLS- oder (vorzugsweise) VPLS-Verbindungen erweitern.

SPB ermöglicht die Virtualisierung von Layer 2, Layer 3 und Multicasts

 Die Verbesserungen in der Netzwerkvirtualisierung führten zur Erkenntnis, dass im nächsten Schritt eine Optimierung der Virtualisierung von Firewalls erfolgen muss. Nur durch die Virtualisierungsfunktionen auf Firewalls können die jeweiligen  Netzwerksegment von einander isoliert, ein entsprechendes Routing bereitgestellt und die Sicherung des Netzverkehrs garantiert werden. Neuere Firewall-Appliances basieren inzwischen auf Software (statt auf Hardware) und bieten deutlich höhere Verarbeitungskapazitäten als ihre Vorgänger. Damit lassen sich die Unternehmensnetzwerke so segmentiert, dass die Performance der Netze erhalten bleibt und trotzdem ein zentralisiertes Sicherheitsmanagement realisiert werden kann. Darüber hinaus sorgen die neuen Komponenten für eine Kostenreduktion bei der Umsetzung der Sicherheitsanforderungen im Bereich der Hyper-Segmentierung. Dadurch lassen sich ein großer Teil der Sicherheitsverletzungen vermeiden.

 +